Terminalserver2008R2 Anmeldung nur als Admin

[goat82 2]

Hallo Zusammen,

ich habe das Problem dass sich nur Administratoren am Terminalserver anmelden können.

Der Workarround hier hat leider nicht geholfen. Hat jhemand noch eine Idee?

Wir haben folgende Umgebung:

2008R2 Domaincontroller, Terminalserver mit Xenapp 6.5.

User xy ist in Publicgruppe, welche am Terminalserver in der lokalen Admingruppe ist.

Es funktioniert nur, wenn der User in der lokalen Admingruppe des Terminalserveres ist.

Wie kann ich hier Hauptbenutzer oder Benutzer verwenden um den Zugriff einzuschränken?

Bei Anmelden über RDP zulassen habe ich den User xy hinzugefügt, leider ohne Erfolg.

Wenn der User in der Remotedesktopusergruppe ist, funktioniert es auch nicht, nur in der Administratorengruppe.

Und ja, gpupdate lief auch.

Wo kann ich noch etwas drehen?

 

 

bearbeitet 30. Mai 2018 von goat82

[NorbertFe 2.289]

Die Meldung kommt afaik über Citrix, da ist dann eine Anmeldung über RDP nicht erlaubt.

Dass TS und DC keine besonders sichere Konfiguration darstellt, weißt du hoffentlich selbst. :)

bearbeitet 30. Mai 2018 von NorbertFe

[testperson 1.864]

Hi,

 

im Citrix App Center in den Richtlinien gibt es eine User Policy "Desktop starten". Die musst du auf "Zugelassen" konfigurieren bei XenApp 6.5.

  Zitat

Desktop starten

 

XenApp 6.0 oder höher (nur Terminalserver)
Lässt zu oder verhindert, dass Nicht-Administratoren eine Verbindung zu einer Desktopsitzung auf dem Server herstellen können.
Wenn zugelassen, können Nicht-Administratoren die Verbindung herstellen. Standardmäßig können Nicht-Administratoren sich nicht mit Desktopsitzungen verbinden.

Mehr  

 

Gruß

Jan

 

P.S.: XenApp 6.5 ist ab dem 30.06.2018 EOL und nur noch im Extended Support!

P.P.S.:

  Am 30.5.2018 um 11:53 schrieb NorbertFe:

Dass TS und DC keine besonders sichere Konfiguration darstellt, weißt du hoffentlich selbst. :)

Mehr  

Es sind min. 2 DCs und X Terminalserver. ;) Nicht immer vom Schlimmsten ausgehen. :)

 

bearbeitet 30. Mai 2018 von testperson

[NorbertFe 2.289]

  Am 30.5.2018 um 12:20 schrieb testperson:

P.S.: XenApp 6.5 ist ab dem 30.06.2018 EOL und nur noch im Extended Support!

Mehr  

Macht nix, Windows 2008R2 ist schon lange im Extended Support. ;)

  Am 30.5.2018 um 12:20 schrieb testperson:

Es sind min. 2 DCs und X Terminalserver. ;) Nicht immer vom Schlimmsten ausgehen. :)

Mehr  

Müßte ich das voraussetzen, oder steht das irgendwo? :p

[goat82 2]

  Am 30.5.2018 um 11:53 schrieb NorbertFe:

Die Meldung kommt afaik über Citrix, da ist dann eine Anmeldung über RDP nicht erlaubt.

Dass TS und DC keine besonders sichere Konfiguration darstellt, weißt du hoffentlich selbst. :)

Mehr  

Der Terminalserver ist natürlich seperat. Optimal ist es dennoch nicht.

Im Citrix XenappCenter lassen sich leider nur Administratoren hinzufügenb. Hast du eine Idee wo ich suchen muss?

 

[NorbertFe 2.289]

  Am 30.5.2018 um 12:28 schrieb goat82:

Der Terminalserver ist natürlich seperat. Optimal ist es dennoch nicht.

Mehr  

Achso, wenns separat ist, hab ich nix gesagt. :) Was wäre denn optimal?

Jan hatte dir den Hinweis gegeben, schon getestet?

 

Bye

Norbert

[goat82 2]

  Am 30.5.2018 um 12:20 schrieb testperson:

Hi,

 

im Citrix App Center in den Richtlinien gibt es eine User Policy "Desktop starten". Die musst du auf "Zugelassen" konfigurieren bei XenApp 6.5.

 

Gruß

Jan

 

P.S.: XenApp 6.5 ist ab dem 30.06.2018 EOL und nur noch im Extended Support!

P.P.S.:

Es sind min. 2 DCs und X Terminalserver. ;) Nicht immer vom Schlimmsten ausgehen. :)

 

Mehr  

Hi Jan, wo kann ich diese Einstellung aktivieren? Hört sich plausiebel an.

Wir haben 2 DCs und einen Terminalserver mit Xenapp 6.5.

[NorbertFe 2.289]

  Am 30.5.2018 um 12:30 schrieb goat82:

Hi Jan, wo kann ich diese Einstellung aktivieren? Hört sich plausiebel an.

Mehr  

https://docs.citrix.com/de-de/xenapp-and-xendesktop/xenapp-6-5/xenapp65-w2k8-wrapper/xenapp65-admin-wrapper/ps-maintain-wrapper-v3-tsk.html

 

hört sich für mich plausibel an.

[testperson 1.864]

  Am 30.5.2018 um 12:30 schrieb goat82:

Hi Jan, wo kann ich diese Einstellung aktivieren? Hört sich plausiebel an.

Wir haben 2 DCs und einen Terminalserver mit Xenapp 6.5.

Mehr  

Auf dem Terminalserver wird es das Citrix AppCenter geben -> XenApp -> <Farm Name> -> Richtlinien -> Benutzer.

Evtl. findet sich da schon eine passende Richtlinie. Ansonsten erstellst du eine neue und nimmst nicht die "Unfiltered". ;)

 

Ggfs. startest du am Terminalserver auch mal die gpmc.msc und guckst, ob es da entsprechende Citrix Richtlinen gibt.

[goat82 2]

Heilige Schei.... es funktioniert!

Vielen Dank an Alle!

Der Testuser xy ist jedoch lokal weder in der Admingruppe, noch im AD einer Admingruppe zugeordnet, nur Benutzer. Er kann trotzdem alle Administratorenaufgaben am Terminalserver ausführen.

Was kann hier noch falsch sein.

 

 

[NorbertFe 2.289]

In welchen Gruppen (AD und lokal am TS) steckt er denn?

[goat82 2]

Auf Terminalserver in der Gruppe: Domaine\Benutzer

Auf dem DC in der Gruppe Terminalservertest

 

[NorbertFe 2.289]

Ein whoami /groups war dir jetzt zu umständlich zu lesen? ;)

wenn der User wirklich Adminrechte hat, dann ist da irgendwo eine geschachtelte Gruppenmitgliedschaft schuld.

[testperson 1.864]

Wäre der User lokaler Administrator, dann hättest du die o.g. Richtlinie nicht benötigt.

Geht evtl. nur der Servermanager o.ä. auf oder kann der User tatsächlich Einstellungen ändern für die es administrative Rechte braucht?

[Sunny61 834]

Und nachdem Einstellungen getätigt worde sind, auch unbedingt auf Speichern klicken. Funktioniert das Speichern auch?