ribrob
Goto Top

Per Group Policy und WMI-Filter Zugriff via Remote Desktop - Funktioniert das?

Hallo Community,

ich habe folgendes Szenario:
Einige Nutzer möchten sich von einem PC eines anderen Nutzers auf ihren eigenen PC per RDP verbinden (OS=Win7 Prof. x64). Dies kann man ja relativ problemlos lösen, indem man den Nutzer an seinem eigenen PC das Recht einräumt (erw. Systemeinstellungen > RK Remote > Verbindungen zulassen > Benutzer auswählen).

Kann man diesen Vorgang auch per Gruppenrichtlinie abbilden? Also zB, dass ich definiere "an PCxy darf sich nur Nutzer xy per RDP verbinden"? Womöglich per WMI-Filterung lösen?

Über Vorschläge oder gar Lösungen wäre ich sehr erfreut face-smile

Bis dahin schon einmal ein schönes Wochenende und besten Dank - vg ribrob

Content-ID: 345430

Url: https://administrator.de/forum/per-group-policy-und-wmi-filter-zugriff-via-remote-desktop-funktioniert-das-345430.html

Ausgedruckt am: 23.12.2024 um 23:12 Uhr

emeriks
emeriks 04.08.2017 um 13:20:15 Uhr
Goto Top
Hi,
ja das geht.
Eine GPO per Computer erstellen.
unter "eingeschrtänkte Gruppen" (im Computer-Zweig) die Guppe "Remotedesktopbenutzer" hinzufügen und befüllen.
Die GPO nur für den einen oder die betreffenden Computer wirken lassen.

Wie Du das einschränkst, ob nun über Sicherheitsfilterung oder WMI-Filter ist erstmal egal. WMI-Filter sind nur deutlich langsamer und müssen angepasst werden, wenn sich mal der Clientname ändern sollte.

Wenn Du das Gleiche mit nur einer GPO erreichen willst, dann müsstest Du dort ein Startup-Script verteilen, welches die o.g. Gruppe befüllt. PowerShell oder VBscript ist egal. Der Ablauf wäre dann in etwa
Wenn Computer = A dann diese Gruppenmitglieder
Wenn Computer = B dann diese anderen Gruppenmitglieder
Wenn Computer = C dann diese noch anderen Gruppenmitglieder
...

E.
ribrob
ribrob 04.08.2017 um 13:32:27 Uhr
Goto Top
Hallo emeriks,

danke für die Hilfe!! Wenn ich das richtig deute, dann hätte bei

Zitat: "unter "eingeschrtänkte Gruppen" (im Computer-Zweig) die Guppe "Remotedesktopbenutzer" hinzufügen und befüllen. Die GPO nur für den einen oder die betreffenden Computer wirken lassen."

jeder Nutzer, den ich da mit hinzufüge auf jeden PC, den ich zB per WMI-Filter die Gruppenrichtlinie ausführen lasse, auf jeden der definierten PC's RDP-Zugriff. Oder?

Ich möchte ja, dass immer nur genau ein Nutzer auf einen (seinen eigenen) PC zugreifen kann - ist das auch möglich?

Viele Grüße ribrob
emeriks
emeriks 04.08.2017 aktualisiert um 13:47:35 Uhr
Goto Top
jeder Nutzer, den ich da mit hinzufüge auf jeden PC, den ich zB per WMI-Filter die Gruppenrichtlinie ausführen lasse, auf jeden der definierten PC's RDP-Zugriff. Oder?
Was, wo?
Diese GPO wirkt für den Computer, für welchen Du sie filterst. Oder für die Computer, wenn es mehrere sein sollen, wo die selbe Mitgliedschaft für die Remotedesktopbenutzer gelten soll.
Und diese GPO ändert die Mitgliedschaft dieser Gruppe. Nur auf diesen Computern.
Und die Mitgliedschaft dieser Gruppe steuert, wer sich per RDP anmelden kann. Nur auf diesen Computern.
Also kann jeder Benutzer, welcher da irgendwo per GPO in diese Gruppe hinzugefügt wird, sich nur an diese betreffenden Computer per RDP anmelden. Was ist daran so schwer?
ribrob
ribrob 07.08.2017 um 14:41:50 Uhr
Goto Top
Hallo,
sorry war schon im Wochenende face-smile Das ist soweit klar, dass sich nur die Mitglieder der Gruppe an die betroffenen Computer anmelden können.

Aber wenn ich es richtig verstehe, dann kann sich Nutzer A an Computer A, B, C usw anmelden, also an alle PC's denen ich die Gruppenrichtlinie zuweise. Richtig?

Ich möchte ja gerne, dass sich Nutzer A nur an Computer A anmelden kann, Nutzer B nur an Computer B usw

Derzeit habe ich es zumindest schon mal so weit aufgebaut, dass sich nur die Mitglieder der Gruppe Remotedesktopbenutzer an die jeweiligen PC's anmelden können, die ich per WMI-Filter zugewiesen habe - aber eben jeden Nutzer der Gruppe RDP-benutzer an jeden zugewiesenen PC face-sad

Beste Grüße
ribrob
emeriks
emeriks 07.08.2017 aktualisiert um 14:45:40 Uhr
Goto Top
Aber wenn ich es richtig verstehe, dann kann sich Nutzer A an Computer A, B, C usw anmelden, also an alle PC's denen ich die Gruppenrichtlinie zuweise. Richtig?

Ich möchte ja gerne, dass sich Nutzer A nur an Computer A anmelden kann, Nutzer B nur an Computer B usw
Immer noch Wochenende?

Nicht "die Gruppenrichtlinie" sondern "diese Gruppenrichtlinien". Mehrzahl!
Je Computer eine Richtlinie - nicht eine Richtlinie für alle Computer
Ergo: jeder Computer seine Einstellung
ribrob
ribrob 07.08.2017 um 15:40:30 Uhr
Goto Top
Pro PC eine Gruppenrichtlinie möchte ich nicht, das werden too much GPO's. Dann werde ich wohl damit leben müssen, so wie es jetzt ist - eine gewisse Eingrenzung habe ich ja trotzdem!

Vielleicht kann man es ja noch mit einer WMI-Abfrage lösen, die Computername und Username abfragt? Und nur wenn beides zutrifft, die GPO angewendet wird...
emeriks
emeriks 07.08.2017 aktualisiert um 15:59:26 Uhr
Goto Top
Pro PC eine Gruppenrichtlinie möchte ich nicht, das werden too much GPO's.
Typisch! Alles haben aber nichts machen wollen ...
So groß kann doch Dein Netz gar nicht sein!
Vielleicht kann man es ja noch mit einer WMI-Abfrage lösen, die Computername und Username abfragt? Und nur wenn beides zutrifft, die GPO angewendet wird...
Und was hast Du dann anders? Ein WMI-Filter pro Benutzer und Computer! 1000 Benutzer - 1000 WMI-Filter.

Wir haben bei uns viele, viele Computer. Auch solche, wo es erforderlich ist, das bestimmte Support-Gruppen dort in die lokalen Administratoren aufgenommen werden. In vielen, vielen Kombinationen. Sollen wir jetzt auch streiken und uns weigern, die GPO's dafür zu erstellen, bloß weil es zuviele sind? Oder die Scripte + Datenbasen dafür zu schreiben? Nein! Wir haben dafür viele, viele GPO erstellt. Und bisher ist noch niemand daran gestorben ....
Das ist ein einmaliger Aufwand. Wenn Du von vorn herein Gruppen dafür benutzt, dann musst Du einmalig für jeden Computer eine GPO + Gruppe erstellen und kannst zukünftig die Benutzer variable zuordnen. Letzteres kannst Du dann sogar an jemanden delegieren, der/die keine GPO bearbeiten darf.
Aber mach, was Du willst.

Edit: Meinen Ansatz mit dem Script hast Du komplett ignoriert?