Lokale Anmeldung erlauben

[xrated2 15]

Hallo

ich möchte einem User die lokale Anmeldung auf einem einzelnen Server erteilen weil er dort RSAT benutzen möchte. Auf seinem PC mag der Chef nichts installieren 

Jetzt gibts ja mehrere Möglichkeiten, die eine wäre auf dem entsprechenden Server die lokale Gruppenrichtlinienverwaltung zu starten und den dort hinzufügen.

 

Oder über AD mittels GPO Computer->Richtlinien->Windows-Einstellungen->Sicherheitseinstellungen->Lokale Richtlinien->Zuweisen von Benutzerrechten, wenn man dann bei Sicherheitsfilterung die entsprechende Gruppe auswählt, ist das dann Safe?

Die folgenden lokalen Gruppen muss man dann wohl noch extra hinzufügen: Administratoren, Benutzer, Sicherungs-Operatoren.

 

Oder steckt man den AD User besser in die lokale Benutzergruppe vom Server die sich anmelden darf? Das kann man ja via GPP steuern.

 

Ich tendiere mehr zu letzterem aber darf ein User überhaupt RSAT starten oder werden da wieder Adminrechte benötigt? 

bearbeitet 26. Juli 2019 von xrated2

[Dukel 468]

Wieso Lokal anmelden? Wieso nicht via RDP und den User einfach in die RDP Gruppe aufnehmen?

Für RSAT braucht er keine Adminrechte, aber Rechte in den Applikationen, die er konfigurieren will.

bearbeitet 26. Juli 2019 von Dukel

[xrated2 15]

Danke da hatte ich einen Denkknoten. Also hab ich den jetzt einfach manuell in die RDP Gruppe gesteckt. Im AD hat er User und Gruppenverwaltungsrechte in einer bestimmten OU.

[daabm 1.428]

RDP ist lokal (interaktiv). Kommt noch "über Terminaldienste" dazu. Aber warum adminstrieren alle immer über RDP direkt auf den Servern? Das ist Technik aus dem letzten Jahrhundert...

Falls es Dich interessiert: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html