Jump to content

Relaunch 2018: Willkommen im neuen Forum - Das MCSEboard.de wurde runderneuert. Wir wünschen Euch viel Spaß an Board.

Thorsten77

Berechtigung für Remotedesktopnutzer

Empfohlene Beiträge

Hallo, zusammen,

 

bin gerade am testen, um für unser Unternehmen ein kleines Netzwerk einzurichten. Meiner Server-Erfahrungen sind noch entsprechend gering.

 

Deshalb kurze Beschreibung der Vorgehensweise:

 

Zunächst auf physischem Server Windows 2012 R2 installiert und diesen zum Domänencontroller gemacht. Da dieser ja - laut meiner Recherche - nicht selber auch der Remotedesktop-Server sein soll, habe ich mittels Hyper-V einen zweiten erstellt und auf diesem die Installationen vorgenommen. Soweit ok?

 

Nun wären m. E. sämtliche Berechtigungen / GPO's etc. auf dem Domänencontroller einzustellen, da diese dann für den Remote-Sever ebenfalls Gültigkeit haben, richtig?

 

Folgende Situation ergibt sich nun im Praxistest, die ich nicht richtig interpretieren kann: sobald ich einen neuen Benutzer anlege, wird dieser automatisch Mitglied der Domänen-Benutzer-Gruppe. Mich wundert, warum dieser Nutzer automatisch Remote-Berechtigung hat, obwohl ich im diese Erlaubnis gar nicht erteilt habe bspw. mittels Builtin-Gruppe Remotedesktopnutzer. Andererseits kann sich ein Nutzer nicht mehr mittels RDP anmelden, wenn ich ihn aus der Domänen-Benutzer-Gruppe entferne und ihm stattdessen der Builtin-Gruppe Remotedesktopnutzer zuweise. Wo ist der Denkfehler?

 

Vielen Dank im Voraus für Eure Antworten.

 

Grüße

Thorsten

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

Zunächst auf physischem Server Windows 2012 R2 installiert und diesen zum Domänencontroller gemacht. Da dieser ja - laut meiner Recherche - nicht selber auch der Remotedesktop-Server sein soll, habe ich mittels Hyper-V einen zweiten erstellt und auf diesem die Installationen vorgenommen. Soweit ok?

 

du hast auf dem Blech einen Server 2012 R2 installiert der Domänencontroller ist und zustzlich die Hyper-V Rolle ausführt? Falls ja, solltest du nochmal neu anfangen.

 

 

Folgende Situation ergibt sich nun im Praxistest, die ich nicht richtig interpretieren kann: sobald ich einen neuen Benutzer anlege, wird dieser automatisch Mitglied der Domänen-Benutzer-Gruppe. Mich wundert, warum dieser Nutzer automatisch Remote-Berechtigung hat, obwohl ich im diese Erlaubnis gar nicht erteilt habe bspw. mittels Builtin-Gruppe Remotedesktopnutzer. Andererseits kann sich ein Nutzer nicht mehr mittels RDP anmelden, wenn ich ihn aus der Domänen-Benutzer-Gruppe entferne und ihm stattdessen der Builtin-Gruppe Remotedesktopnutzer zuweise. Wo ist der Denkfehler?

Das wird vermutlich daran liegen, dass du beim erstellen der RDS Sammlung den Domänen-Benutzern das Recht zur Anmeldung an der Sammlung erteilt hast.

 

Gruß

Jan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

du hast auf dem Blech einen Server 2012 R2 installiert der Domänencontroller ist und zustzlich die Hyper-V Rolle ausführt? Falls ja, solltest du nochmal neu anfangen.

 

  Übersetzt heißt das, dass du auf dem Blech Win2012R2 installierst und nur die Hyper-V Rolle hinzufügst und anschließend eine VM mit 2012R2 erstellt und dann dort den Domänencontroller usw. installierst. Wenn du eine Standard Version hast, kannst du auch eine 2.VM anlegen sofern du auf dem Blech keine weiteren Rollen oder Prog. installiert hast.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

  Übersetzt heißt das, dass du auf dem Blech Win2012R2 installierst und nur die Hyper-V Rolle hinzufügst und anschließend eine VM mit 2012R2 erstellt und dann dort den Domänencontroller usw. installierst. Wenn du eine Standard Version hast, kannst du auch eine 2.VM anlegen sofern du auf dem Blech keine weiteren Rollen oder Prog. installiert hast.

 

Ok, das heißt, dass ich zumindest schonmal keine zweite Hardware zwingend benötige. Meine Frage ist noch, wo dann der Remote aufgesetzt wird: auf dem Blech, der ersten VM oder gar auf einer 2. VM.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ok, das heißt, dass ich zumindest schonmal keine zweite Hardware zwingend benötige. Meine Frage ist noch, wo dann der Remote aufgesetzt wird: auf dem Blech, der ersten VM oder gar auf einer 2. VM.

Lies was du zitiert hast. Das entscheidende Wort ist extra unterstrichen. Das zusammen mit der Regel "ein DC ist ein DC ist ein DC" beantwortet dann deine Frage.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ok, das heißt, dass ich zumindest schonmal keine zweite Hardware zwingend benötige. Meine Frage ist noch, wo dann der Remote aufgesetzt wird: auf dem Blech, der ersten VM oder gar auf einer 2. VM.

Weil meine Vorredner die Frage zwar beantwortet haben aber nicht explizit:

 

Der RDP Server muss auf eine 2 VM. Anmeldungen per RDP sind wie lokale Anmeldungen auf dem Gerät. Da der DC das Herz deines Netzes ist wäre es ein nicht vertretbar hohes Sicherheitsrisiko dort Benutzer anmelden zu lassen.

 

Beachte, dass die Installation auf dem physischen Blech nur als Virtualisierungsinstanz dienen darf, alles weiter (DC, DHCP, DNS, RDP, etc) muss in einer der beiden virtuellen Maschinen laufen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×