Dr.Melzer 191 Geschrieben 10. März 2005 Melden Teilen Geschrieben 10. März 2005 Entweder Du machst alle Benutzer zu Domain-Admins oder Du verbiegst die Default Domain Controller Policy. Das ist allerdings ****sinn! Die User müssen keine Domänenadmins sein, woher hast denn den Schmarrn? Es muss allerdings erlaubt sein, dass sie sich lokal am DC anmelden. Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 10. März 2005 Melden Teilen Geschrieben 10. März 2005 Wir verwenden aber kein Citrix und sonst ist der Server perfekt aufgesetzt und super am laufen. Das habe ich schon mitbekommen... ;) Es war auch nur ein Beispiel. Ob jetzt MetaFrame oben drauf sitzt oder nicht spielt nicht unbedingt die Rolle. Es ist halt in diesem Fall nicht gerade förderlich gewesen, da wieder ein zusätzliches Stück Software auf dem Server lief/läuft. Mit welchem Image Programm habt ihr gute Erfahrungen gemacht? Acronis True Image Server und Deploy Center von Powerquest (dürfte jetzt Symantec gehören). Bis jetzt hat zumindest immer eines von beiden Programmen auf den Servern funktioniert... Zitieren Link zu diesem Kommentar
rablu 10 Geschrieben 10. März 2005 Melden Teilen Geschrieben 10. März 2005 @Dr.Melzer: Genauer lesen und verstehen. Es stand entweder ... oder ... in meinem Satz. Nicht und.;) Die Defaulteinstellung der DC Policy ist, dass sich nur Domain Admins lokal anmelden duerfen. D.h. ohne Veraenderung der DC Policy muessten die User in diese Gruppe aufgenommen. Und dazukommt auch noch, dass bei Windows Server 2003 das Recht Lokale Anmeldung nicht ausreicht. Das ist bei 2003 nur die Konsolenanmeldung. Es muss hier zusaetzlich das Recht Anmeldung durch Terminaldienste angepasst werden.;) Zitieren Link zu diesem Kommentar
hochfrequenzG5 10 Geschrieben 27. Juni 2005 Autor Melden Teilen Geschrieben 27. Juni 2005 Hi Michael! Ja ich weis TS + DC auf einer Maschine ist schon klar. Aber sieh es doch mal so: Der Server hat genug Power übrig und schafft das alles locker. Ich habe ja nur 20 Workstations in der Firma. Bei den 20 Clients möchte ich aber auch nicht auf AD verzichten müssen. Wenn sich ein paar 100 User am DC anmelden ist das mit der Sicherheit schon klar. Bei uns in der Firma ist ein 2. Server aber auch eine Kostenfrage. Die 20 Clients melden sich im Endeffekt wie vorher am selben Server an. Ob nun auf diesem Server ein DC läuft macht für die 20 clients kein unterschied. Ohne DC haben sie sich genauso angemeldet und sie haben nur ihre Anwendungen und keinen Desktop. Sie können wie vorher nichts am Server verändern. Ich denke bei wenig Benutzern im kleinen Rahmen ist ein DC+TS schon okay. Gruß Björn "Michael" schrieb: > Hi Björn, > > sag mal das ist ein schlechter Scherz oder? > Terminal Server aufm DC ???? > > also wenn du noch einen funken Sicherheit haben willst, kaufst du dir einen > neuen Server für die TS Umgebung und trennst das wieder. > > Die Userinit managed diverse Dienste, die man beim Start braucht, u.a. sorgt > der/die dafür dass deine Netzwerkdienste etc. laufen, also abschalten ist da > eher nicht so doll. > > Michael > > > > "Björn" schrieb: > > > HILFE! Verzögerte Terminalserver Abmeldung wegen userinit.exe > > > > -------------------------------------------------------------------------------- > > > > Hallo, > > nach der erfolgreichen Installation des AD mit DNS server auf unserem > > Terminalserver 2003 (ja ich weiß) läuft nun in jeder Remotesitzung der > > Prozess userinit.exe mit. Für was ist dieser Prozess gut ? Wie kann man > > diesen deaktivieren ? Auf einem reinen TS Server wird dieser Prozess nicht > > gestartet. > > > > Bei einer TS Sitzung in der ein Porgramm automatsich beim Anmelden gestartet > > wird, gibt es nun beim Beenden des Programms eine Verzögerung von 1 Minute > > bis sich die Sitzung abmeldet. Der Grund daran ist, dass der Prozess > > userinit.exe nach Beenden der Application in der TS Sitzung noch genau 1 > > minute weiterläuft und so diese noch offen hält. Erst nach den 60 sec wird > > die TS Sitzung geschlossen bzw. es kommt die Abmeldung. > > > > Dies ist sehr ärgerlich und ich hoffe man kann das konfigurieren. > > > > Das betrifft RemoteDesktopBenutzer im Anwendungsmodus. > > > > Wenn man sich als Admin anmeldet und auf abmelden klickt (logoff.exe) wird > > man sofort abgemeldet da userinit.exe beendet wird. > > > > Gruß Björn > > > > Nähere Problembeschreibung > > > > wie ich gerade herausgefunden habe, erfolgt die Terminalabmeldung sofort > > wenn eine TS Sitzung länger als 5 Minuten dauert. > > > > Wenn ich mich hingegen einlogge und das im Anwendungsmodus bereitgestellte > > Programm gleich nach dem Anmelden oder nach 1 - 2 Minuten wieder beende, > > tritt das oben beschriebene Problem auf und es kommt zur 1 minütigen > > Abmeldeverzögerung der TS Sitzung. > > > > Statt sofort nach dem Beenden des Programms den Win 2003 Abmeldedialog > > anzuzeigen, sieht der Benutzer 60 sec lang einen leeren Desktop und erst nach > > Ablauf von 1 Minute erfolgt die TS Abmeldung. > > > > An was kann dies liegen ? Wie gesagt wenn das Problem auftritt läuft der > > Prozess userinit.exe und hält die Sitzung 1 Minute lang zusätzlich offen. > > > > Ist es vielleicht eine Sicherheitsrichtlinie des AD ? Ich hoffe jemand hat > > eine Idee. > > > > Gruß Björn > > Habe außerdem gerade beobachtet, dass sich der Prozess userinit.exe nach 5 > > Minuten in der TS Sitzung des Benutzers von selbst beendet. Nach 5 Minuten > > ist ja auch die Abmeldung schnell. Solange userinit.exe noch läuft kommt es > > zur Verzögerung. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. Juni 2005 Melden Teilen Geschrieben 27. Juni 2005 Also darf ich auch mal :D Bei 2003 müssen sich die User nicht merh lokal auf dem Server anmelden können (Benutzerrecht "Lokale Anmeldung zulassen"). Man muss auc nicht die Default Domain Policy verbiegen. Nein, muss man alles nicht. Dennoch, Dr. Melzer hat Recht, die benutzer arbeiten als wären sie lokal angemeldet auf dem DC, im Sinne der Sicherheit ist das ganz und gar nicht (da hat wohl hochfrequenzG5 im Moment auch sein Problem, wenn er sagt, es sei doch das gleich wie vorher auch). Nein es ist nicht das gleiche, der Sicherheistaufwadn ußist enorm höher, die User sehen im Explorer die Platten vom DC!! Sie hätten u.U. Zugriff auf die Verwaltungstools, unsauberes Arbeiten mit berechtigungen und Rechten auf dem DC und der Schaden ist gleich gechätzt :rolleyes: Auf einem Memberserver habe ich diese Risiken nicht. Punkt, das ist Faktum. Daher st diese Möglichkeit z.B. beim SBS auch ganz weggelassen worden. Aber es ist möglich grizzly999 Zitieren Link zu diesem Kommentar
hochfrequenzG5 10 Geschrieben 27. Juni 2005 Autor Melden Teilen Geschrieben 27. Juni 2005 Hi grizzly999 ! aber meine Benutzer haben alle natürlich keinen Explorer oder Desktop in ihrer Sitzung. Es gibt auch kein Startmenü und keine Taskleiste. Das würde ich niemals machen! Wenn sie sich anmelden wird sofort die Firmensoftware gestartet und nur diese Anwendung. Wenn diese Software beendet wird, wird die TS Sitzung geschlossen. Es läuft sonst nichts, kein Explorer Prozess. Okay es gibt da noch die Öffnen/Sichern Dialoge, Vorsicht. Ich habe aber dort die Festplatten für die User per ACL List gesperrt. Mit welcher Richtlinie kann ich denn Lauftware in den Dialogen ausblenden ? Rein kommen sie nicht, löschen können sie nicht aber noch ausblenden der Laufwerke wäre schön. Gruß Björn Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.