Joshua2005 10 Posted December 28, 2005 Report Share Posted December 28, 2005 Hallo liebe Boardmitglieder :-) Ich habe hier einen 2k3 SB-Server als DC und einen in die Domäne integrierten 2k3 Standard Server, der als Terminalserver fungieren soll. Der Domänen Admin kann sich auch Problemlos am TS remote anmelden, der User (Profil Power User und Remotedesktopbenutzer) kann es nicht, da ihm die Rechte fehlen. Wenn ich es richtig verstanden habe, müsste dem User im AD im Terminaldiensteprofil noch eine Freigabe zur Remoteanmeldung erteilt werden. Ich kann hier jedoch nur eine Anmeldung verweigern, deshalb ist der Haken nicht gesetzt. Was fehlt denn nun noch an Berechtigungen? Vielen Dank im voraus für Eure Hilfe! Joshua Quote Link to comment
weg5st0 10 Posted December 28, 2005 Report Share Posted December 28, 2005 Hi, wenn er sich am DC anmelden soll braucht er dort noch mindestens das Recht "Lokale anmeldung Zulassen". Findest du im Default Domaincontrollers Policy. Quote Link to comment
Joshua2005 10 Posted December 28, 2005 Author Report Share Posted December 28, 2005 Hi, es geht nur um die Remoteanmeldung als "normaler" TS-User an einem nicht-DC Server, also kein Admin und die Berechtigung dazu sollte eigentlich über die Zugehörigkeit als Remotedesktopbenutzer gegeben sein, soweit ich das richtig verstanden habe... Quote Link to comment
IThome 10 Posted December 28, 2005 Report Share Posted December 28, 2005 Da der TS Domänenmitglied ist, kannst Du seiner lokalen Gruppe Remotedesktopbenutzer eine globale Domänengruppe zufügen ... Gruss Sven Quote Link to comment
mbrock 10 Posted December 29, 2005 Report Share Posted December 29, 2005 Hi, schon mal an die Lizenzen gedacht? Für nicht administrative Terminalserversitzungen sind diese wohl nötig (incl. Lizenzserverdienst) Gruss MBrock Quote Link to comment
Joshua2005 10 Posted December 29, 2005 Author Report Share Posted December 29, 2005 Hallo Sven, so habe ich es am Ende auch gemacht, interssieren würde mich aber eine Lösung, die unabhänig von den lokalen Einstellungen eines nicht DCs ist, das sollte doch eigentlich der Sinn des ganzen sein oder? @MBrock Lizenzen dürften meines Wissens nach erst ab drei Usern ein Problem darstellen, wie gesagt, mit einer Änderung der lokalen Remotedesktopbenutzer Gruppe des TS funktioniert es... Gruss Joshua Quote Link to comment
weg5st0 10 Posted December 29, 2005 Report Share Posted December 29, 2005 Hi Joshua, du kannst die Gruppenzugehörigkeit auch über eine Gruppenrichtlinie für eine OU "Terminalserver" ändern. Lizenzen: Täusch dich nicht: Hast du den Terminalserverdienst installiert, dann geht das 60 Tage gut und dann kommt keiner mehr drauf. Wenn du weniger als 3 Benutzer hast, dann genügt in der Tat der Remoteadministrationsmodus. Dazu darf aber kein Terminalserver installiert sein. Nur unter Eigenschaften von Arbeitsplatz bei Remote den Haken setzen... Quote Link to comment
IThome 10 Posted December 29, 2005 Report Share Posted December 29, 2005 Hallo Sven, so habe ich es am Ende auch gemacht, interssieren würde mich aber eine Lösung, die unabhänig von den lokalen Einstellungen eines nicht DCs ist, das sollte doch eigentlich der Sinn des ganzen sein oder? @MBrock Lizenzen dürften meines Wissens nach erst ab drei Usern ein Problem darstellen, wie gesagt, mit einer Änderung der lokalen Remotedesktopbenutzer Gruppe des TS funktioniert es... Gruss Joshua Letztlich ist es der Terminalserver, der Dich auf sich rauf lässt (wie hört sich das denn an :suspect: ), also muss er mit Hilfe seiner lokalen Datenbank überprüfen, ob das Konto zugelassen wird oder nicht. Diesen Schritt, den Du ja händisch durchgeführt hast, kannst Du, wie weg5st0 auch schon gesagt hat, über eine Gruppenrichtlinie lösen. Da sich der Terminalserver wahrscheinlich in einer eigenen OU befindet und Du zwecks Einschränkungen ein GPO in diese OU gelinkt hast, kannst Du innerhalb dieses GPOs die "Eingeschränkten Gruppen" konfigurieren. Aber auch dieser Schritt bearbeitet die lokale Gruppe des Terminalservers, man automatisiert es nur ... Quote Link to comment
landau 10 Posted December 29, 2005 Report Share Posted December 29, 2005 Hi Joshua, ich gehe mal davon aus, daß dein TS auch tatsächlich im TS Mode und nicht im Remote Admin Mode läuft. Soviel ich weiß, sind standardmäßig bei einem TS lediglich lokale Admins zur Anmeldung zugelassen. Um den normalsterblichen User zuzulassen sind meines Wissens zwei Schritte notwendig: 1. In den lokalen Sicherheitsrichtlinien des Terminalservers sollten unter "Zuweisen von Benutzerrechten"\"Anmelden über Terminaldienste zulassen" die betroffenen User bzw. die Gruppen in denen sich diese User befinden eingetraggen werden. 2. In der Terminaldienstekonfiguration (Start\Verwaltung) unter Verbindungen\RDP-Tcp öffnest Du per Rechtsklick die Eigenschaften von RDP-Tcp und wechselst auf den Seitenreiter Berechtigungen. Hier trägst du ebenfalls die entspr. User bzw. Gruppen ein und gibst ihnen Benutzerzugriff. That´s it! Damit sollte einer Anmeldung auch für normale User nichts mehr im Wege stehen. Gruß, Tim Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.