4
Computerverwaltung Benutzer Remotedesktopbenutzer
Hallo Zusammen,
ich bin mir hier unsicher, vielleicht kann mir jemand einen MS Artikel dazu liefern?
Ich stelle meine Einstellung in Frage:
Zugriffsrechte jedes neue Servers wird über AD GPO gesteuert, dabei gibt es drei Standardgruppen:
SERVERNAME_Administratoren
SERVERNAME_Benutzer
SERVERNAME_Remotedesktopbenutzer
Was ist der Unterschied von RDP Benutzer und Benutzer, d.h. muss ein RDP Benutzer immer auch Benutzer sein, so dass es Sinn macht (Programme verwenden,...)?
Macht es Sinn Administrator und Benutzer zu sein?
Benutzer arbeiten teilweise lokal auf dem Server,
teilweise nur über Anwendungsveröffentlichung.
Wie geht hier vor?
Ich bin am überlegen, ob ich
SERVERNAME_Benutzer
SERVERNAME_Remotedesktopbenutzer
nicht zusammenfassen sollte, bisher trage ich in beide Gruppen gleiche User ein. Ich hab kein Beispiel warum ich das weiterhin trennen sollte.
ich bin mir hier unsicher, vielleicht kann mir jemand einen MS Artikel dazu liefern?
Ich stelle meine Einstellung in Frage:
Zugriffsrechte jedes neue Servers wird über AD GPO gesteuert, dabei gibt es drei Standardgruppen:
SERVERNAME_Administratoren
SERVERNAME_Benutzer
SERVERNAME_Remotedesktopbenutzer
Was ist der Unterschied von RDP Benutzer und Benutzer, d.h. muss ein RDP Benutzer immer auch Benutzer sein, so dass es Sinn macht (Programme verwenden,...)?
Macht es Sinn Administrator und Benutzer zu sein?
Benutzer arbeiten teilweise lokal auf dem Server,
teilweise nur über Anwendungsveröffentlichung.
Wie geht hier vor?
Ich bin am überlegen, ob ich
SERVERNAME_Benutzer
SERVERNAME_Remotedesktopbenutzer
nicht zusammenfassen sollte, bisher trage ich in beide Gruppen gleiche User ein. Ich hab kein Beispiel warum ich das weiterhin trennen sollte.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 264741
Url: https://administrator.de/contentid/264741
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
die Remotedesktopbenutzer brauchst du nur bei RDS-Hosts. Nicht für administrative Zugänge... Benutzer ist sozusagen das Grundrecht. Mit der GRuppe erlaubst du den Benutzer den Zugriff per RDP auf den Server.
Wie fein du nun unterscheidest, liegt an dir. Um so feiner um so flexibler.
Gruß,
Dani
die Remotedesktopbenutzer brauchst du nur bei RDS-Hosts. Nicht für administrative Zugänge... Benutzer ist sozusagen das Grundrecht. Mit der GRuppe erlaubst du den Benutzer den Zugriff per RDP auf den Server.
Wie fein du nun unterscheidest, liegt an dir. Um so feiner um so flexibler.
Gruß,
Dani
Ja soweit klar, aber macht es überhaupt Sinn einen
SERVERNAME_Remotedesktopbenutzer
einzurichten, ohne
SERVERNAME_Benutzer
, also ohne dieses Recht. Ich wüsste kein praktisches Beispiel. Es kann auch sein das der _Remotedesktopbenutzer alle Rechte vom _Benutzer sowieso beinhaltet... ?!
SERVERNAME_Remotedesktopbenutzer
einzurichten, ohne
SERVERNAME_Benutzer
, also ohne dieses Recht. Ich wüsste kein praktisches Beispiel. Es kann auch sein das der _Remotedesktopbenutzer alle Rechte vom _Benutzer sowieso beinhaltet... ?!
Moin,
Gruß,
Dani
Es kann auch sein das der _Remotedesktopbenutzer alle Rechte vom _Benutzer sowieso beinhaltet... ?!
Per Default ist die AD-Gruppe "Domänenbenutzer" Mitglied der lokalen Gruppe "Benutzer". Somit stellt sich die Frage gar nicht.SERVERNAME_Benutzer
Was möchtest du mit dieser Gruppe erreichen?Gruß,
Dani
Hallo Dani,
eine default Gruppe möchte ich nicht, d.h. nicht jeder Domain User darf auf jeden Server, daher mache ich SERVERNAME_Benutzer - so behalten ich die Übersicht wer auf welchen Server kann.
Aus der Historie habe ich aber auch eine AD Gruppe für SERVERNAME_Remotedesktopbenutzer, da jeder User auch per RDP auf den Server muss - oder Programme per Anwendungsveröffentlichung nutzen muss.
Ich frage mich aber, macht es überhaupt Sinn die o.g. Gruppen noch immer zu spalten - ich brauch ja doch immer beide.
Ich check bloß den PRAKTISCHEN Unterschied nicht:
SERVERNAME_Benutzer
"Benutzer können keine zufälligen oder beabsichtigten Änderungen am System durchführen und dürfen die meisten herkömmlichen Anwendungen ausführen."
SERVERNAME_Remotedesktopbenutzer
"Mitglieder dieser Gruppe haben die Berechtigung, sich remote anzumelden."
Aus meiner Sicht macht es keine Sinn mehr, ich packe einfach die AD Gruppe SERVERNAME_Benutzer in Benutzer+Remotedesktopbenutzer.
eine default Gruppe möchte ich nicht, d.h. nicht jeder Domain User darf auf jeden Server, daher mache ich SERVERNAME_Benutzer - so behalten ich die Übersicht wer auf welchen Server kann.
Aus der Historie habe ich aber auch eine AD Gruppe für SERVERNAME_Remotedesktopbenutzer, da jeder User auch per RDP auf den Server muss - oder Programme per Anwendungsveröffentlichung nutzen muss.
Ich frage mich aber, macht es überhaupt Sinn die o.g. Gruppen noch immer zu spalten - ich brauch ja doch immer beide.
Ich check bloß den PRAKTISCHEN Unterschied nicht:
SERVERNAME_Benutzer
"Benutzer können keine zufälligen oder beabsichtigten Änderungen am System durchführen und dürfen die meisten herkömmlichen Anwendungen ausführen."
SERVERNAME_Remotedesktopbenutzer
"Mitglieder dieser Gruppe haben die Berechtigung, sich remote anzumelden."
Aus meiner Sicht macht es keine Sinn mehr, ich packe einfach die AD Gruppe SERVERNAME_Benutzer in Benutzer+Remotedesktopbenutzer.
