7
Per Group Policy und WMI-Filter Zugriff via Remote Desktop - Funktioniert das?
Hallo Community,
ich habe folgendes Szenario:
Einige Nutzer möchten sich von einem PC eines anderen Nutzers auf ihren eigenen PC per RDP verbinden (OS=Win7 Prof. x64). Dies kann man ja relativ problemlos lösen, indem man den Nutzer an seinem eigenen PC das Recht einräumt (erw. Systemeinstellungen > RK Remote > Verbindungen zulassen > Benutzer auswählen).
Kann man diesen Vorgang auch per Gruppenrichtlinie abbilden? Also zB, dass ich definiere "an PCxy darf sich nur Nutzer xy per RDP verbinden"? Womöglich per WMI-Filterung lösen?
Über Vorschläge oder gar Lösungen wäre ich sehr erfreut
Bis dahin schon einmal ein schönes Wochenende und besten Dank - vg ribrob
ich habe folgendes Szenario:
Einige Nutzer möchten sich von einem PC eines anderen Nutzers auf ihren eigenen PC per RDP verbinden (OS=Win7 Prof. x64). Dies kann man ja relativ problemlos lösen, indem man den Nutzer an seinem eigenen PC das Recht einräumt (erw. Systemeinstellungen > RK Remote > Verbindungen zulassen > Benutzer auswählen).
Kann man diesen Vorgang auch per Gruppenrichtlinie abbilden? Also zB, dass ich definiere "an PCxy darf sich nur Nutzer xy per RDP verbinden"? Womöglich per WMI-Filterung lösen?
Über Vorschläge oder gar Lösungen wäre ich sehr erfreut
Bis dahin schon einmal ein schönes Wochenende und besten Dank - vg ribrob
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 345430
Url: https://administrator.de/contentid/345430
Printed on: April 26, 2024 at 12:04 o'clock
7 Comments
Latest comment
Hi,
ja das geht.
Eine GPO per Computer erstellen.
unter "eingeschrtänkte Gruppen" (im Computer-Zweig) die Guppe "Remotedesktopbenutzer" hinzufügen und befüllen.
Die GPO nur für den einen oder die betreffenden Computer wirken lassen.
Wie Du das einschränkst, ob nun über Sicherheitsfilterung oder WMI-Filter ist erstmal egal. WMI-Filter sind nur deutlich langsamer und müssen angepasst werden, wenn sich mal der Clientname ändern sollte.
Wenn Du das Gleiche mit nur einer GPO erreichen willst, dann müsstest Du dort ein Startup-Script verteilen, welches die o.g. Gruppe befüllt. PowerShell oder VBscript ist egal. Der Ablauf wäre dann in etwa
E.
ja das geht.
Eine GPO per Computer erstellen.
unter "eingeschrtänkte Gruppen" (im Computer-Zweig) die Guppe "Remotedesktopbenutzer" hinzufügen und befüllen.
Die GPO nur für den einen oder die betreffenden Computer wirken lassen.
Wie Du das einschränkst, ob nun über Sicherheitsfilterung oder WMI-Filter ist erstmal egal. WMI-Filter sind nur deutlich langsamer und müssen angepasst werden, wenn sich mal der Clientname ändern sollte.
Wenn Du das Gleiche mit nur einer GPO erreichen willst, dann müsstest Du dort ein Startup-Script verteilen, welches die o.g. Gruppe befüllt. PowerShell oder VBscript ist egal. Der Ablauf wäre dann in etwa
Wenn Computer = A dann diese Gruppenmitglieder
Wenn Computer = B dann diese anderen Gruppenmitglieder
Wenn Computer = C dann diese noch anderen Gruppenmitglieder
...E.
Hallo emeriks,
danke für die Hilfe!! Wenn ich das richtig deute, dann hätte bei
Zitat: "unter "eingeschrtänkte Gruppen" (im Computer-Zweig) die Guppe "Remotedesktopbenutzer" hinzufügen und befüllen. Die GPO nur für den einen oder die betreffenden Computer wirken lassen."
jeder Nutzer, den ich da mit hinzufüge auf jeden PC, den ich zB per WMI-Filter die Gruppenrichtlinie ausführen lasse, auf jeden der definierten PC's RDP-Zugriff. Oder?
Ich möchte ja, dass immer nur genau ein Nutzer auf einen (seinen eigenen) PC zugreifen kann - ist das auch möglich?
Viele Grüße ribrob
danke für die Hilfe!! Wenn ich das richtig deute, dann hätte bei
Zitat: "unter "eingeschrtänkte Gruppen" (im Computer-Zweig) die Guppe "Remotedesktopbenutzer" hinzufügen und befüllen. Die GPO nur für den einen oder die betreffenden Computer wirken lassen."
jeder Nutzer, den ich da mit hinzufüge auf jeden PC, den ich zB per WMI-Filter die Gruppenrichtlinie ausführen lasse, auf jeden der definierten PC's RDP-Zugriff. Oder?
Ich möchte ja, dass immer nur genau ein Nutzer auf einen (seinen eigenen) PC zugreifen kann - ist das auch möglich?
Viele Grüße ribrob
jeder Nutzer, den ich da mit hinzufüge auf jeden PC, den ich zB per WMI-Filter die Gruppenrichtlinie ausführen lasse, auf jeden der definierten PC's RDP-Zugriff. Oder?
Was, wo?Diese GPO wirkt für den Computer, für welchen Du sie filterst. Oder für die Computer, wenn es mehrere sein sollen, wo die selbe Mitgliedschaft für die Remotedesktopbenutzer gelten soll.
Und diese GPO ändert die Mitgliedschaft dieser Gruppe. Nur auf diesen Computern.
Und die Mitgliedschaft dieser Gruppe steuert, wer sich per RDP anmelden kann. Nur auf diesen Computern.
Also kann jeder Benutzer, welcher da irgendwo per GPO in diese Gruppe hinzugefügt wird, sich nur an diese betreffenden Computer per RDP anmelden. Was ist daran so schwer?
Hallo,
sorry war schon im Wochenende Das ist soweit klar, dass sich nur die Mitglieder der Gruppe an die betroffenen Computer anmelden können.
Aber wenn ich es richtig verstehe, dann kann sich Nutzer A an Computer A, B, C usw anmelden, also an alle PC's denen ich die Gruppenrichtlinie zuweise. Richtig?
Ich möchte ja gerne, dass sich Nutzer A nur an Computer A anmelden kann, Nutzer B nur an Computer B usw
Derzeit habe ich es zumindest schon mal so weit aufgebaut, dass sich nur die Mitglieder der Gruppe Remotedesktopbenutzer an die jeweiligen PC's anmelden können, die ich per WMI-Filter zugewiesen habe - aber eben jeden Nutzer der Gruppe RDP-benutzer an jeden zugewiesenen PC
Beste Grüße
ribrob
sorry war schon im Wochenende
Das ist soweit klar, dass sich nur die Mitglieder der Gruppe an die betroffenen Computer anmelden können.Aber wenn ich es richtig verstehe, dann kann sich Nutzer A an Computer A, B, C usw anmelden, also an alle PC's denen ich die Gruppenrichtlinie zuweise. Richtig?
Ich möchte ja gerne, dass sich Nutzer A nur an Computer A anmelden kann, Nutzer B nur an Computer B usw
Derzeit habe ich es zumindest schon mal so weit aufgebaut, dass sich nur die Mitglieder der Gruppe Remotedesktopbenutzer an die jeweiligen PC's anmelden können, die ich per WMI-Filter zugewiesen habe - aber eben jeden Nutzer der Gruppe RDP-benutzer an jeden zugewiesenen PC
Beste Grüße
ribrob
Aber wenn ich es richtig verstehe, dann kann sich Nutzer A an Computer A, B, C usw anmelden, also an alle PC's denen ich die Gruppenrichtlinie zuweise. Richtig?
Ich möchte ja gerne, dass sich Nutzer A nur an Computer A anmelden kann, Nutzer B nur an Computer B usw
Immer noch Wochenende?Ich möchte ja gerne, dass sich Nutzer A nur an Computer A anmelden kann, Nutzer B nur an Computer B usw
Nicht "die Gruppenrichtlinie" sondern "diese Gruppenrichtlinien". Mehrzahl!
Je Computer eine Richtlinie - nicht eine Richtlinie für alle Computer
Ergo: jeder Computer seine Einstellung
Pro PC eine Gruppenrichtlinie möchte ich nicht, das werden too much GPO's. Dann werde ich wohl damit leben müssen, so wie es jetzt ist - eine gewisse Eingrenzung habe ich ja trotzdem!
Vielleicht kann man es ja noch mit einer WMI-Abfrage lösen, die Computername und Username abfragt? Und nur wenn beides zutrifft, die GPO angewendet wird...
Vielleicht kann man es ja noch mit einer WMI-Abfrage lösen, die Computername und Username abfragt? Und nur wenn beides zutrifft, die GPO angewendet wird...
Pro PC eine Gruppenrichtlinie möchte ich nicht, das werden too much GPO's.
Typisch! Alles haben aber nichts machen wollen ...So groß kann doch Dein Netz gar nicht sein!
Vielleicht kann man es ja noch mit einer WMI-Abfrage lösen, die Computername und Username abfragt? Und nur wenn beides zutrifft, die GPO angewendet wird...
Und was hast Du dann anders? Ein WMI-Filter pro Benutzer und Computer! 1000 Benutzer - 1000 WMI-Filter.Wir haben bei uns viele, viele Computer. Auch solche, wo es erforderlich ist, das bestimmte Support-Gruppen dort in die lokalen Administratoren aufgenommen werden. In vielen, vielen Kombinationen. Sollen wir jetzt auch streiken und uns weigern, die GPO's dafür zu erstellen, bloß weil es zuviele sind? Oder die Scripte + Datenbasen dafür zu schreiben? Nein! Wir haben dafür viele, viele GPO erstellt. Und bisher ist noch niemand daran gestorben ....
Das ist ein einmaliger Aufwand. Wenn Du von vorn herein Gruppen dafür benutzt, dann musst Du einmalig für jeden Computer eine GPO + Gruppe erstellen und kannst zukünftig die Benutzer variable zuordnen. Letzteres kannst Du dann sogar an jemanden delegieren, der/die keine GPO bearbeiten darf.
Aber mach, was Du willst.
Edit: Meinen Ansatz mit dem Script hast Du komplett ignoriert?