Per Group Policy und WMI-Filter Zugriff via Remote Desktop - Funktioniert das?
Hallo Community,
ich habe folgendes Szenario:
Einige Nutzer möchten sich von einem PC eines anderen Nutzers auf ihren eigenen PC per RDP verbinden (OS=Win7 Prof. x64). Dies kann man ja relativ problemlos lösen, indem man den Nutzer an seinem eigenen PC das Recht einräumt (erw. Systemeinstellungen > RK Remote > Verbindungen zulassen > Benutzer auswählen).
Kann man diesen Vorgang auch per Gruppenrichtlinie abbilden? Also zB, dass ich definiere "an PCxy darf sich nur Nutzer xy per RDP verbinden"? Womöglich per WMI-Filterung lösen?
Über Vorschläge oder gar Lösungen wäre ich sehr erfreut
Bis dahin schon einmal ein schönes Wochenende und besten Dank - vg ribrob
ich habe folgendes Szenario:
Einige Nutzer möchten sich von einem PC eines anderen Nutzers auf ihren eigenen PC per RDP verbinden (OS=Win7 Prof. x64). Dies kann man ja relativ problemlos lösen, indem man den Nutzer an seinem eigenen PC das Recht einräumt (erw. Systemeinstellungen > RK Remote > Verbindungen zulassen > Benutzer auswählen).
Kann man diesen Vorgang auch per Gruppenrichtlinie abbilden? Also zB, dass ich definiere "an PCxy darf sich nur Nutzer xy per RDP verbinden"? Womöglich per WMI-Filterung lösen?
Über Vorschläge oder gar Lösungen wäre ich sehr erfreut
Bis dahin schon einmal ein schönes Wochenende und besten Dank - vg ribrob
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 345430
Url: https://administrator.de/forum/per-group-policy-und-wmi-filter-zugriff-via-remote-desktop-funktioniert-das-345430.html
Ausgedruckt am: 23.12.2024 um 23:12 Uhr
7 Kommentare
Neuester Kommentar
Hi,
ja das geht.
Eine GPO per Computer erstellen.
unter "eingeschrtänkte Gruppen" (im Computer-Zweig) die Guppe "Remotedesktopbenutzer" hinzufügen und befüllen.
Die GPO nur für den einen oder die betreffenden Computer wirken lassen.
Wie Du das einschränkst, ob nun über Sicherheitsfilterung oder WMI-Filter ist erstmal egal. WMI-Filter sind nur deutlich langsamer und müssen angepasst werden, wenn sich mal der Clientname ändern sollte.
Wenn Du das Gleiche mit nur einer GPO erreichen willst, dann müsstest Du dort ein Startup-Script verteilen, welches die o.g. Gruppe befüllt. PowerShell oder VBscript ist egal. Der Ablauf wäre dann in etwa
E.
ja das geht.
Eine GPO per Computer erstellen.
unter "eingeschrtänkte Gruppen" (im Computer-Zweig) die Guppe "Remotedesktopbenutzer" hinzufügen und befüllen.
Die GPO nur für den einen oder die betreffenden Computer wirken lassen.
Wie Du das einschränkst, ob nun über Sicherheitsfilterung oder WMI-Filter ist erstmal egal. WMI-Filter sind nur deutlich langsamer und müssen angepasst werden, wenn sich mal der Clientname ändern sollte.
Wenn Du das Gleiche mit nur einer GPO erreichen willst, dann müsstest Du dort ein Startup-Script verteilen, welches die o.g. Gruppe befüllt. PowerShell oder VBscript ist egal. Der Ablauf wäre dann in etwa
Wenn Computer = A dann diese Gruppenmitglieder
Wenn Computer = B dann diese anderen Gruppenmitglieder
Wenn Computer = C dann diese noch anderen Gruppenmitglieder
...
E.
jeder Nutzer, den ich da mit hinzufüge auf jeden PC, den ich zB per WMI-Filter die Gruppenrichtlinie ausführen lasse, auf jeden der definierten PC's RDP-Zugriff. Oder?
Was, wo?Diese GPO wirkt für den Computer, für welchen Du sie filterst. Oder für die Computer, wenn es mehrere sein sollen, wo die selbe Mitgliedschaft für die Remotedesktopbenutzer gelten soll.
Und diese GPO ändert die Mitgliedschaft dieser Gruppe. Nur auf diesen Computern.
Und die Mitgliedschaft dieser Gruppe steuert, wer sich per RDP anmelden kann. Nur auf diesen Computern.
Also kann jeder Benutzer, welcher da irgendwo per GPO in diese Gruppe hinzugefügt wird, sich nur an diese betreffenden Computer per RDP anmelden. Was ist daran so schwer?
Aber wenn ich es richtig verstehe, dann kann sich Nutzer A an Computer A, B, C usw anmelden, also an alle PC's denen ich die Gruppenrichtlinie zuweise. Richtig?
Ich möchte ja gerne, dass sich Nutzer A nur an Computer A anmelden kann, Nutzer B nur an Computer B usw
Immer noch Wochenende?Ich möchte ja gerne, dass sich Nutzer A nur an Computer A anmelden kann, Nutzer B nur an Computer B usw
Nicht "die Gruppenrichtlinie" sondern "diese Gruppenrichtlinien". Mehrzahl!
Je Computer eine Richtlinie - nicht eine Richtlinie für alle Computer
Ergo: jeder Computer seine Einstellung
Pro PC eine Gruppenrichtlinie möchte ich nicht, das werden too much GPO's.
Typisch! Alles haben aber nichts machen wollen ...So groß kann doch Dein Netz gar nicht sein!
Vielleicht kann man es ja noch mit einer WMI-Abfrage lösen, die Computername und Username abfragt? Und nur wenn beides zutrifft, die GPO angewendet wird...
Und was hast Du dann anders? Ein WMI-Filter pro Benutzer und Computer! 1000 Benutzer - 1000 WMI-Filter.Wir haben bei uns viele, viele Computer. Auch solche, wo es erforderlich ist, das bestimmte Support-Gruppen dort in die lokalen Administratoren aufgenommen werden. In vielen, vielen Kombinationen. Sollen wir jetzt auch streiken und uns weigern, die GPO's dafür zu erstellen, bloß weil es zuviele sind? Oder die Scripte + Datenbasen dafür zu schreiben? Nein! Wir haben dafür viele, viele GPO erstellt. Und bisher ist noch niemand daran gestorben ....
Das ist ein einmaliger Aufwand. Wenn Du von vorn herein Gruppen dafür benutzt, dann musst Du einmalig für jeden Computer eine GPO + Gruppe erstellen und kannst zukünftig die Benutzer variable zuordnen. Letzteres kannst Du dann sogar an jemanden delegieren, der/die keine GPO bearbeiten darf.
Aber mach, was Du willst.
Edit: Meinen Ansatz mit dem Script hast Du komplett ignoriert?