ozricxx
Goto Top

Frage bezüglich RDP per GPO

Hallo Zusammen!

Ich bin auf ein eigenartiges Verhalten gestoßen und würde euch gerne im Rat bitten.

In AD Nr 1 konnte ich RDP-Zugang auf Server für einen neuen Benutzer wie folgt per GPO regeln:
Sicherheitsgruppe "RDP-SRV01", dort alle User rein, per Gruppenrichtlinie RDP aktiviert und die Sicherheitsgruppe in "Allow Log on through Remote Desktop Services".
Funktioniert prima. Nur, dass ich den Account "Administrator" auch so versorgen musste, weil Er (wie eigl. per Default) nicht mehr per RDP rauf kam.

Nun habe ich in AD Nr 2 den o.g. Weg probiert. Funktioniert nicht.
Klappte erst, als ich die Gruppe "RDP-SRV01"(nur ein Bsp) via Eingeschränkte Gruppen in die Gruppe Remote Desktop Users gepackt habe.
Hier kommt nun der Account "Administrator" auch nach wie vor rein, auch ohne Mitgliedschaft in RDP-SRV01.

Kann mir eventuell Jemand erklären, was hier vor sich geht?

Viele Grüße

Content-ID: 282421

Url: https://administrator.de/forum/frage-bezueglich-rdp-per-gpo-282421.html

Ausgedruckt am: 26.12.2024 um 13:12 Uhr

emeriks
emeriks 10.09.2015 aktualisiert um 08:43:20 Uhr
Goto Top
Hi
In AD Nr 1 konnte ich RDP-Zugang auf Server für einen neuen Benutzer wie folgt per GPO regeln:
Sicherheitsgruppe "RDP-SRV01", dort alle User rein, per Gruppenrichtlinie RDP aktiviert und die Sicherheitsgruppe in "Allow Log on through Remote Desktop Services".
Funktioniert prima.
Ja, bis auf .... du hast es selbst gemerkt. face-wink

Nur, dass ich den Account "Administrator" auch so versorgen musste, weil Er (wie eigl. per Default) nicht mehr per RDP rauf kam.
Ist logisch, weil Du mit dem Konfigurieren des Privilegs "Allow Log on through Remote Desktop Services" via GPO die Standardeinstellungen überschrieben hast. Damit war der Admin raus.
Du hättest das so machen können, wenn Du in der GPOfür das Privileg alle standardmäßig Privilegierten ebenfalls mit aufgenommen hättest.

Nun habe ich in AD Nr 2 den o.g. Weg probiert. Funktioniert nicht.
Klappte erst, als ich die Gruppe "RDP-SRV01"(nur ein Bsp) via Eingeschränkte Gruppen in die Gruppe Remote Desktop Users gepackt habe.
Hier kommt nun der Account "Administrator" auch nach wie vor rein, auch ohne Mitgliedschaft in RDP-SRV01.
Das ist der bevorzugte Weg. MS konform.

Kann mir eventuell Jemand erklären, was hier vor sich geht?
Alle ok so. Standardmäßig stehen die "Remote Desktop Users" beim Privileg "Allow Log on through Remote Desktop Services" drin.

E.
ozricXX
ozricXX 10.09.2015 um 08:56:44 Uhr
Goto Top
Hallo emeriks,

vielen Dank für die gute Erklärung!

Allerdings bleibt bei mir eine Frage offen, wieso lief es bei AD Nr. 1 über den nicht-MS-konformen Weg und bei AD Nr. 2 klappte es nur über den MS-konformen Weg?

Viele Grüße
emeriks
emeriks 10.09.2015 um 09:07:15 Uhr
Goto Top
Wie unterscheiden sich denn "AD1" und "AD2"?
ozricXX
ozricXX 10.09.2015 um 10:01:08 Uhr
Goto Top
Eigl. gar nicht.
Beides Win2k12R2 Umgebungen, beide 2 DCs.
Wurden auch zur selben Zeit vom selben Team eingerichtet.
emeriks
emeriks 10.09.2015 aktualisiert um 10:06:52 Uhr
Goto Top
Na wenn da nichte anders ist, dann muss beim Test im AD 2 irgendwas anders gemacht worden sein. Vielleicht habt Ihr nicht lange genug gewartet und die GPO war noch gar nicht angewendet. Oder die Gruppenmitgliedschaft noch nicht repliziert.
ozricXX
ozricXX 10.09.2015 um 10:53:36 Uhr
Goto Top
Mh Okay.
Habe eigl. per gpupdate durchgeladen.Keine Fehler.

Was mich eigl. wundert, wieso kann in AD 2. (MS-konformen Weg) trotz GPO "Administrator" per RDP anmelden.
Das sollte ja eigl. dann noch gehen? Denn Administrator ist nicht in der RDP Gruppe.
emeriks
emeriks 10.09.2015 um 11:25:45 Uhr
Goto Top
Was mich eigl. wundert, wieso kann in AD 2. (MS-konformen Weg) trotz GPO "Administrator" per RDP anmelden.
Das sollte ja eigl. dann noch gehen? Denn Administrator ist nicht in der RDP Gruppe.
Deine Frage ist nicht konsistent. Irgendwo fehlt da ein "nicht". Sonst ergäbe das keinen Sinn.
ozricXX
ozricXX 11.09.2015 um 12:24:09 Uhr
Goto Top
Naja, ich habe bei AD Nr. 1 die Erfahrung gemacht, dass wenn ich die Sicherheitsgruppe nur per GPO "Allow Log on through Remote Desktop Services" eintrage, der Remotedesktopzugang der Mitglieder der Sicherheitsgruppe funktioniert, aber eben NUR der Mitglieder. D.h. "Administrator" muss auch dort Mitglied sein.

In AD Nr. 2 hat eben Dieser weg nicht funktioniert, es änderte sich nach Eintrag der Sicherheitsgruppe in "Allow Log on through Remote Desktop Services" und gpupdate auf dem Server gar nichts. DIe Mitgleider der Sicherheitsgruppe kamen nicht per RDP rein, Administrator wie gehabt noch immer.
Erst nach dem ich die Eingeschränkte Gruppe eingelegt habe, kamen die Mitglieder der Sicherheitsgruppe rein, Administrator kommt noch immer rein, ohne Mitglied zu sein.

Das ergibt für keinen Sinn.

Viele Grüße