Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Berechtigung Shadow - Remoteüberwachung - Windows 2012 R2

Mitglied: Der-Phil

Der-Phil (Level 3) - Jetzt verbinden

24.09.2015, aktualisiert 10:16 Uhr, 3900 Aufrufe, 12 Kommentare

Hallo!

Ich suche gerade nach einer Möglichkeit, Benutzern das Recht zur Remoteüberwachung/Shadow von anderen zu geben. Ich habe einige Mitarbeiter, die so Hilfestellung leisten, aber keine Admin-Accounts haben.

Unter Windows 2003 war das möglich mit:
Terminaldienstekonfiguration -> Berechtigungen - > Spezielle Berechtigungen


Gleiches möchte ich jetzt unter Windows 2012 R2 machen.

Hier habe ich keine Möglichkeit gefunden, die berechtigten Benutzer einzuschränken.

Gibt es diese Option einfach nicht? Das würde ja bedeuten: Alle oder Keiner...

Danke für eure Hilfe

Gruß
Phil
Mitglied: DerWoWusste
LÖSUNG 24.09.2015, aktualisiert um 10:16 Uhr
Hi.
--
to allow non-administrators permissions to shadow you can use the following command which is also applicable for Windows Server 2008 R2 (Credits for this command go to fellow RDS MVP TP who posted this on Technet* Forum.

01.
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "domain\group",2
--

Dieser Befehl berechtigt die Gruppe domain\group zum Shadowing und (wenn ich mich recht erinnere) auch zum Trennen und beenden von Sitzungen anderer - feiner ist es nicht mehr einstellbar.

* http://social.technet.microsoft.com/Forums/windowsserver/en-US/0d119172 ...
Bitte warten ..
Mitglied: Der-Phil
24.09.2015 um 10:16 Uhr
Hallo!

Vielen Dank!!
Das hilft mir sehr.

Grüße
Phil
Bitte warten ..
Mitglied: beidermachtvongreyscull
24.09.2015, aktualisiert um 10:23 Uhr
Darf ich zuerst mal dumm fragen?

Ist das im Hinblick auf den Datenschutz eigentlich genehmigt worden (z.B. durch einen Betriebsrat)?
Wenn da auch nur ein Nutzer dabei ist, der sich daran stört, gibt es ungeahnten Ärger.

Ich setze bei meinen Nutzern auf einen anderen Weg.
Wir arbeiten zwar auch mit Terminaldiensten (aber unter Wind 2008 R2), allerdings lege ich viel Wert darauf, dass meine Nutzer sich selbst entscheiden können, ob sie mich zuschauen lassen oder nicht.

Ich habe per GPO die Windows-Remoteunterstützung domänenweit eingerichtet.
Ich starte das Tool mit "msra /offerra", gebe den Clientnamen ein (nicht den des TS natürlich) und verbinde mich.
Dem Nutzer schlägt ein PopUp entgegen und er kann entscheiden, ob ich seinen Bildschirm in erster Stufe sehen darf.

Wenn ich auch noch die Steuerung brauche, fordere ich die per Mausklick an und der Nutzer kann erneut zustimmen oder ablehnen.

Eine runde Sache, die aus meiner Sicht bei jedem Betriebsrat Genehmigung finden dürfte und keine Datenschutzbedenken schüren dürfte.
Bitte warten ..
Mitglied: Der-Phil
24.09.2015 um 10:26 Uhr
Hallo!

Ich sehe da nicht so den Unterschied zur Remoteüberwachung. Hier kann ja auch verlangt werden, dass die Zustimmung vom Nutzer eingeholt wird.

Gruß
Phil
Bitte warten ..
Mitglied: Der-Phil
24.09.2015 um 15:55 Uhr
Hallo!

Leider hat das wohl doch nicht ausgereicht. Die User haben noch keine Berechtigung für das Shadow. Hast Du noch eine Idee, woran das liegen könnte?

Vielen Dank und Grüße
Phil
Bitte warten ..
Mitglied: DerWoWusste
24.09.2015 um 16:34 Uhr
Das ging so bei mir.
Hast Du auf eine Gruppe berechtigt? Dann müssen sich diese steuernden Nutzer neu anmelden.
Bitte warten ..
Mitglied: DerWoWusste
24.09.2015, aktualisiert um 17:13 Uhr
Hab's gerade nochmal gemacht, geht.
Man muss mit qwinsta die Session auslesen (Spalte "ID") und dann folgendes Kommando am Server als steuernder Nutzer ausführen:
01.
mstsc /shadow:2
(ID ist hier=2)
Bitte warten ..
Mitglied: Der-Phil
25.09.2015, aktualisiert um 08:16 Uhr
Hallo!

Ich habe die Gruppe berechtigt, den Server neu gestartet und einen User, sowie einen Admin (der in der berechtigten Gruppe ist) angemeldet.

Testweise habe ich die Gruppe "Domänen-Admins" genutzt.

Das Ergebnis ist:
DOMAIN\Administrator -> Alles funktioniert
DOMAIN\Adminuser (der in der Gruppe Domänen-Admins ist) -> Funktioniert nicht -> Meldung: Spiegelungsfehler - Zugriff verweigert.

Ich habe auch mit tsconfig.msc von einem Windows 2008R2-Terminalserver mal auf den 2012R2-Server geschaut. Auch hier sieht alles gut aus, aber aktuell kann nur der User "Administrator" und keine anderen Administratoren oder User die Remoteüberwachung starten, obwohl die Gruppe und nicht der User berechtigt sind.

Warum ist überhaupt DOMAIN\Administrator dann berechtigt?

Fragen über Fragen...

Gruß
Phil
Bitte warten ..
Mitglied: DerWoWusste
25.09.2015 um 08:12 Uhr
Berechtige mal den User explizit.
Bitte warten ..
Mitglied: Der-Phil
25.09.2015 um 08:25 Uhr
Hallo!

Ich schätze, es lag an den Umlauten der berechtigten Gruppen. Am liebsten würde ich alles auf englische Sprache migrieren, um dem Mist zu entgehen.

Jetzt läuft es. Lösung war:

Mit tsconfig.msc vom Windows 2008R2-Server auf die Windows 2012 R2-Server verbinden. Berechtigungen löschen -> Berechtigungen neu setzen.

Ich habe übrigens noch ein kleiner Powershell-Skript gebastelt, das ein Menü bereitstellt, um auf mehreren Servern RDP-Sessions zu Überwachen, Nachrichten zu verschicken, etc. Bei Interesse kann ich das bereitstellen, aber hübsch ist es definitiv nicht...

Gruß
Phil
Bitte warten ..
Mitglied: DerWoWusste
25.09.2015 um 08:29 Uhr
Über 2008, slick. Ja, stell Dein Script doch als Wissensbeitrag aus, hübsch machen es dann vielleicht andere.
Und Umlaute unbedingt vermeiden.
Bitte warten ..
Mitglied: Der-Phil
25.09.2015 um 09:39 Uhr
Hallo!

Die schöne Gruppe der "Domänen-Admins" hat noch Windows NT4 hier angelegt. Da bin ich von jeder Schuld freigesprochen

Gruß
Phil
Bitte warten ..
Ähnliche Inhalte
Windows Server
Testumgebung Windows 2012 R2
Frage von RAMbrandWindows Server10 Kommentare

Hi, ich bin grad dabei mir eine Testumgebung auf einem Rechner zu installieren. Es sollen letztendlich 1 DC, ein ...

Windows Server
Windows 2012 R2 ausgesperrt
gelöst Frage von momaiWindows Server2 Kommentare

Hallo, ich habe mich heute wohl von einem Windows Server ausgesperrt bzw. ich komme nicht mehr via RDP drauf. ...

Windows Server
Taskmanager Windows Server 2012 R2
gelöst Frage von nano1994Windows Server6 Kommentare

Eine Frage, ist es per GPO noch möglich einzelne Reiter im Task-Manager zu sperren? Falls ja, wo? Das System ...

Windows Server
Windows Server 2012 R2 DC
Frage von specialuserWindows Server7 Kommentare

Hallo zusammen, Mein Betriebssystem ist Windows 10 und um Windows Server kennenzulernen habe ich auf einem VMware Workstation Player ...

Neue Wissensbeiträge
Windows Netzwerk

Ereignis-ID 20226 RasClient Ursachencode 829 VPN Verbindung wird abgebrochen

Anleitung von Hardstyles vor 5 TagenWindows Netzwerk

Hallo zusammen, nach Stundenlanger Analysen und test konnten wir den Fehler Lösen. es geht um folgende Fehler Meldung in ...

Windows 10

Windows 10 Version 1903: Update KB4522015 blockt VMware Workstation

Information von kgborn vor 8 TagenWindows 10

Nur eine kurze Information für Leute, die schon Windows 10 Version 1903 in Betrieb haben und dort VMware Workstation ...

VB for Applications

Fritzbox Telefonbuch - XML-Importdatei aus Excel erstellen

Tipp von PeterleB vor 9 TagenVB for Applications1 Kommentar

Das Thema geistert schon seit Jahren durch verschiedene Foren. Habe mich jetzt mal damit etwas intensiver befasst und hoffe, ...

Administrator.de Feedback
Entwicklertagebuch: Editor Version 6
Information von admtech vor 11 TagenAdministrator.de Feedback1 Kommentar

Hallo Administrator User, in der letzten Post habe ich über die berichtet. Hier will ich nun einen ersten Ausblick ...

Heiß diskutierte Inhalte
Windows Server
Dateioperationen bei Stromausfall
gelöst Frage von mkrausseWindows Server47 Kommentare

Ein wunderschönen guten Morgen! Ich hoffe das Thema wurde nicht schon Dutzendmal behandelt, aber eine Suche meinerseits hat leider ...

LAN, WAN, Wireless
Hausnetzwerk mit Routern
Frage von perhaps-labs.comLAN, WAN, Wireless19 Kommentare

Hallo an Alle, ich habe ein Riesenhaus erworben und möchte nun überall ein Netzwerk dafür installieren. Das Haus hat ...

Debian
Linux VM nach umzug langsam
Frage von bofh110Debian18 Kommentare

Hallo, ich habe meinen Server von 2012R2 auf 2019 neu installiert. Also erst die VM´s exportiert und anschließend nach ...

Batch & Shell
pdf - Dateien aus Netzwerkordner in bestimmter Reihenfolge ausdrucken
Frage von dani75chBatch & Shell17 Kommentare

Hallo zusammen Wir bekommen von einem Kunden dreimal täglich Lieferscheine und dazugehörende Listen und Barcodes in einen Netzwerkordner übermittelt. ...