Jump to content

Berechtigung für Remotedesktopnutzer


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo, zusammen,

 

bin gerade am testen, um für unser Unternehmen ein kleines Netzwerk einzurichten. Meiner Server-Erfahrungen sind noch entsprechend gering.

 

Deshalb kurze Beschreibung der Vorgehensweise:

 

Zunächst auf physischem Server Windows 2012 R2 installiert und diesen zum Domänencontroller gemacht. Da dieser ja - laut meiner Recherche - nicht selber auch der Remotedesktop-Server sein soll, habe ich mittels Hyper-V einen zweiten erstellt und auf diesem die Installationen vorgenommen. Soweit ok?

 

Nun wären m. E. sämtliche Berechtigungen / GPO's etc. auf dem Domänencontroller einzustellen, da diese dann für den Remote-Sever ebenfalls Gültigkeit haben, richtig?

 

Folgende Situation ergibt sich nun im Praxistest, die ich nicht richtig interpretieren kann: sobald ich einen neuen Benutzer anlege, wird dieser automatisch Mitglied der Domänen-Benutzer-Gruppe. Mich wundert, warum dieser Nutzer automatisch Remote-Berechtigung hat, obwohl ich im diese Erlaubnis gar nicht erteilt habe bspw. mittels Builtin-Gruppe Remotedesktopnutzer. Andererseits kann sich ein Nutzer nicht mehr mittels RDP anmelden, wenn ich ihn aus der Domänen-Benutzer-Gruppe entferne und ihm stattdessen der Builtin-Gruppe Remotedesktopnutzer zuweise. Wo ist der Denkfehler?

 

Vielen Dank im Voraus für Eure Antworten.

 

Grüße

Thorsten

Link zu diesem Kommentar

Hi,

Zunächst auf physischem Server Windows 2012 R2 installiert und diesen zum Domänencontroller gemacht. Da dieser ja - laut meiner Recherche - nicht selber auch der Remotedesktop-Server sein soll, habe ich mittels Hyper-V einen zweiten erstellt und auf diesem die Installationen vorgenommen. Soweit ok?

 

du hast auf dem Blech einen Server 2012 R2 installiert der Domänencontroller ist und zustzlich die Hyper-V Rolle ausführt? Falls ja, solltest du nochmal neu anfangen.

 

 

Folgende Situation ergibt sich nun im Praxistest, die ich nicht richtig interpretieren kann: sobald ich einen neuen Benutzer anlege, wird dieser automatisch Mitglied der Domänen-Benutzer-Gruppe. Mich wundert, warum dieser Nutzer automatisch Remote-Berechtigung hat, obwohl ich im diese Erlaubnis gar nicht erteilt habe bspw. mittels Builtin-Gruppe Remotedesktopnutzer. Andererseits kann sich ein Nutzer nicht mehr mittels RDP anmelden, wenn ich ihn aus der Domänen-Benutzer-Gruppe entferne und ihm stattdessen der Builtin-Gruppe Remotedesktopnutzer zuweise. Wo ist der Denkfehler?

Das wird vermutlich daran liegen, dass du beim erstellen der RDS Sammlung den Domänen-Benutzern das Recht zur Anmeldung an der Sammlung erteilt hast.

 

Gruß

Jan

Link zu diesem Kommentar

Hi,

 

du hast auf dem Blech einen Server 2012 R2 installiert der Domänencontroller ist und zustzlich die Hyper-V Rolle ausführt? Falls ja, solltest du nochmal neu anfangen.

 

  Übersetzt heißt das, dass du auf dem Blech Win2012R2 installierst und nur die Hyper-V Rolle hinzufügst und anschließend eine VM mit 2012R2 erstellt und dann dort den Domänencontroller usw. installierst. Wenn du eine Standard Version hast, kannst du auch eine 2.VM anlegen sofern du auf dem Blech keine weiteren Rollen oder Prog. installiert hast.

Link zu diesem Kommentar

  Übersetzt heißt das, dass du auf dem Blech Win2012R2 installierst und nur die Hyper-V Rolle hinzufügst und anschließend eine VM mit 2012R2 erstellt und dann dort den Domänencontroller usw. installierst. Wenn du eine Standard Version hast, kannst du auch eine 2.VM anlegen sofern du auf dem Blech keine weiteren Rollen oder Prog. installiert hast.

 

Ok, das heißt, dass ich zumindest schonmal keine zweite Hardware zwingend benötige. Meine Frage ist noch, wo dann der Remote aufgesetzt wird: auf dem Blech, der ersten VM oder gar auf einer 2. VM.

Link zu diesem Kommentar

Ok, das heißt, dass ich zumindest schonmal keine zweite Hardware zwingend benötige. Meine Frage ist noch, wo dann der Remote aufgesetzt wird: auf dem Blech, der ersten VM oder gar auf einer 2. VM.

Lies was du zitiert hast. Das entscheidende Wort ist extra unterstrichen. Das zusammen mit der Regel "ein DC ist ein DC ist ein DC" beantwortet dann deine Frage.

Link zu diesem Kommentar

Ok, das heißt, dass ich zumindest schonmal keine zweite Hardware zwingend benötige. Meine Frage ist noch, wo dann der Remote aufgesetzt wird: auf dem Blech, der ersten VM oder gar auf einer 2. VM.

Weil meine Vorredner die Frage zwar beantwortet haben aber nicht explizit:

 

Der RDP Server muss auf eine 2 VM. Anmeldungen per RDP sind wie lokale Anmeldungen auf dem Gerät. Da der DC das Herz deines Netzes ist wäre es ein nicht vertretbar hohes Sicherheitsrisiko dort Benutzer anmelden zu lassen.

 

Beachte, dass die Installation auf dem physischen Blech nur als Virtualisierungsinstanz dienen darf, alles weiter (DC, DHCP, DNS, RDP, etc) muss in einer der beiden virtuellen Maschinen laufen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...