11
RDP definierte Benutzer auf definierten Servern über GPO
Hallo Community,
ich steh mal wieder an.
Gibt es über GPO eine Möglichkeit folgendes zu definieren:
User A darf sich auf Server X, Server Y und Server Z per RDP anmelden
User B darf sich auf Server Y per RDP anmelden
User C darf sich auf Server W per RDP anmelden
Bisher konnte ich leider nur definieren, dass User A, User B und User C sich per RDP verbinden dürfen obwohl sie keine Administratoren sind.
Ich hab auch schon etwas gegooglet, aber entweder geht es schlicht nicht oder ich nutze die falschen Parameter bei der Suche.
Die Server sind 2012 R2 die DC und das Schema ebenso.
Danke und schönes WE!
LG mcdy
ich steh mal wieder an.
Gibt es über GPO eine Möglichkeit folgendes zu definieren:
User A darf sich auf Server X, Server Y und Server Z per RDP anmelden
User B darf sich auf Server Y per RDP anmelden
User C darf sich auf Server W per RDP anmelden
Bisher konnte ich leider nur definieren, dass User A, User B und User C sich per RDP verbinden dürfen obwohl sie keine Administratoren sind.
Ich hab auch schon etwas gegooglet, aber entweder geht es schlicht nicht oder ich nutze die falschen Parameter bei der Suche.
Die Server sind 2012 R2 die DC und das Schema ebenso.
Danke und schönes WE!
LG mcdy
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 344776
Url: https://administrator.de/contentid/344776
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
11 Kommentare
Neuester Kommentar
Hi,
jeder Server hat seine eigene lokale Gruppe "Remotedesktopbenutzer". Die Mitglieder dieser Gruppe dürfen sich per RDP anmelden, vorausgesetzt, man hat nicht eingeschränkt, das sich ein Benutzer überhaupt nicht interaktiv an diesen Computer anmelden dürfen.
Oder Du schränkst eben über das Privileg "interaktiv Anmelden" ein.
E.
jeder Server hat seine eigene lokale Gruppe "Remotedesktopbenutzer". Die Mitglieder dieser Gruppe dürfen sich per RDP anmelden, vorausgesetzt, man hat nicht eingeschränkt, das sich ein Benutzer überhaupt nicht interaktiv an diesen Computer anmelden dürfen.
Oder Du schränkst eben über das Privileg "interaktiv Anmelden" ein.
E.
Hey emeriks
und danke für deine Antwort.
Lokale Gruppen lassen sich einfach nicht zentral administrieren, darum wollte ich das vermeiden.
Den zweiten Punkt mit "interaktiv Anmelden" versteh ich leider grad nicht.
Was mir beim grübeln aber grad eingefallen ist.
Müsste ich nicht mehrere GPOs machen können wo ich die entsprechende Benutzergruppe per Filter nur jeweils dem entsprechenden Server zuweise?
Wenn dein Ansatz aber einfacher ist mit dem "interaktiv Anmelden" wäre ich sehr interessiert.
LG mcdy
und danke für deine Antwort.
Lokale Gruppen lassen sich einfach nicht zentral administrieren, darum wollte ich das vermeiden.
Den zweiten Punkt mit "interaktiv Anmelden" versteh ich leider grad nicht.
Was mir beim grübeln aber grad eingefallen ist.
Müsste ich nicht mehrere GPOs machen können wo ich die entsprechende Benutzergruppe per Filter nur jeweils dem entsprechenden Server zuweise?
Wenn dein Ansatz aber einfacher ist mit dem "interaktiv Anmelden" wäre ich sehr interessiert.
LG mcdy
Zitat von @mc-doubleyou:
Hey emeriks
und danke für deine Antwort.
Lokale Gruppen lassen sich einfach nicht zentral administrieren, darum wollte ich das vermeiden.
Hey emeriks
und danke für deine Antwort.
Lokale Gruppen lassen sich einfach nicht zentral administrieren, darum wollte ich das vermeiden.
Hi,
wie meinst Du denn das? Klar geht das. Du kannst per GPO dem jeweiligen Computer auch Domänengruppen in seine lokalen zuordnen.
Den zweiten Punkt mit "interaktiv Anmelden" versteh ich leider grad nicht.
Das bedeutet, dass die Benutzung des Logon-Bildschirms, sei es über Console (als direkt am Blech) oder eben über eine Remotesitzung nicht erlaubt ist. Eine RDP-Sitzung kann also bis dahin aufgebaut werden, aber beim Logon ist an Schluss.
Müsste ich nicht mehrere GPOs machen können wo ich die entsprechende Benutzergruppe per Filter nur jeweils dem entsprechenden Server zuweise?
Dazu reicht es aus, die Berechtigung auf die GPO entsprechend zu setzen. Aber ich würde das so nicht tun. GPOs werden in Serie abgearbeitet und Du verlierst schnell den Überblick, wenn Du pro Server eine bestimmte baust.
lokale Gruppen kann man über GPO betanken. Das läuft in GPO unter "eingeschränkte Gruppen".
Und ja, na klar muss dann für jeden dieser Server eine andere GPO bei "eingeschränkte Gruppen" "gewinnen". Also brauchst Du bei drei verschiedenen Benutzerkreisen auch drei verschiedene GPO.
Ich nehme an, es geht eh bloß um die administrative Betreuung der Server oder einiger ihrer lokalen Dienste? Und nicht etwa um Terminalserver/Anwendungsserver?
"interaktive Anmeldung" ist ein Privileg. Das findest Du entweder in der "lokalen Sicherheitsrichtlinien" (Verwaltungsmenü) oder in GPO unter Computer / Windows-Einstellungen / Sicherheitseinstellungen
Edit:
Genau genommen heißt es "Lokal anmelden zulassen"
Und ja, na klar muss dann für jeden dieser Server eine andere GPO bei "eingeschränkte Gruppen" "gewinnen". Also brauchst Du bei drei verschiedenen Benutzerkreisen auch drei verschiedene GPO.
Ich nehme an, es geht eh bloß um die administrative Betreuung der Server oder einiger ihrer lokalen Dienste? Und nicht etwa um Terminalserver/Anwendungsserver?
"interaktive Anmeldung" ist ein Privileg. Das findest Du entweder in der "lokalen Sicherheitsrichtlinien" (Verwaltungsmenü) oder in GPO unter Computer / Windows-Einstellungen / Sicherheitseinstellungen
Edit:
Genau genommen heißt es "Lokal anmelden zulassen"
Hey
eben genau darauf basierend hätte ich ja meine Idee aufgebaut, weiter unten meinst du dann aber es wäre keine gute
Das bedeutet, dass die Benutzung des Logon-Bildschirms, sei es über Console (als direkt am Blech) oder eben über eine Remotesitzung nicht erlaubt ist. Eine RDP-Sitzung kann also bis dahin aufgebaut werden, aber beim Logon ist an Schluss.
Ich brauche aber RDP noch für die Domain Admins oder hat das damit nichts zu tun?
Bin bisher offenbar noch nicht über "interaktiv Anmelden" gestolptert.
Wo de- bzw. aktivier ich das?
Dazu reicht es aus, die Berechtigung auf die GPO entsprechend zu setzen. Aber ich würde das so nicht tun. GPOs werden in Serie abgearbeitet und Du verlierst schnell den Überblick, wenn Du pro Server eine bestimmte baust.
Evtl. missverstehe ich dich, den weiter oben klingt es so als wäre es auch dein Ansatz.
Darum hier das Ganze mal im Detail:
User A darf sich auf Server X, Server Y und Server Z per RDP anmelden
User B darf sich auf Server Y per RDP anmelden
User C darf sich auf Server W per RDP anmelden
Security Group RDP_Server-X ordne ich User A zu
Security Group RDP_Server-Y ordne ich User A und User B zu
Security Group RDP_Server-Z ordne ich User A zu
Security Group RDP_Server-W ordne ich User C zu
je Security Group nun eine GPO mit folgendem Filter
GPO RDP_Server-X wird nur auf Server X ausgeführt
GPO RDP_Server-Y wird nur auf Server Y ausgeführt
usw.
Damit habe ich ein zentrales Management brauche aber im schlimmsten Fall je Server eine GPO.
LG mcdy
Hi,
wie meinst Du denn das? Klar geht das. Du kannst per GPO dem jeweiligen Computer auch Domänengruppen in seine lokalen zuordnen.
wie meinst Du denn das? Klar geht das. Du kannst per GPO dem jeweiligen Computer auch Domänengruppen in seine lokalen zuordnen.
eben genau darauf basierend hätte ich ja meine Idee aufgebaut, weiter unten meinst du dann aber es wäre keine gute
Den zweiten Punkt mit "interaktiv Anmelden" versteh ich leider grad nicht.
Das bedeutet, dass die Benutzung des Logon-Bildschirms, sei es über Console (als direkt am Blech) oder eben über eine Remotesitzung nicht erlaubt ist. Eine RDP-Sitzung kann also bis dahin aufgebaut werden, aber beim Logon ist an Schluss.
Ich brauche aber RDP noch für die Domain Admins oder hat das damit nichts zu tun?
Bin bisher offenbar noch nicht über "interaktiv Anmelden" gestolptert.
Wo de- bzw. aktivier ich das?
Müsste ich nicht mehrere GPOs machen können wo ich die entsprechende Benutzergruppe per Filter nur jeweils dem entsprechenden Server zuweise?
Dazu reicht es aus, die Berechtigung auf die GPO entsprechend zu setzen. Aber ich würde das so nicht tun. GPOs werden in Serie abgearbeitet und Du verlierst schnell den Überblick, wenn Du pro Server eine bestimmte baust.
Evtl. missverstehe ich dich, den weiter oben klingt es so als wäre es auch dein Ansatz.
Darum hier das Ganze mal im Detail:
User A darf sich auf Server X, Server Y und Server Z per RDP anmelden
User B darf sich auf Server Y per RDP anmelden
User C darf sich auf Server W per RDP anmelden
Security Group RDP_Server-X ordne ich User A zu
Security Group RDP_Server-Y ordne ich User A und User B zu
Security Group RDP_Server-Z ordne ich User A zu
Security Group RDP_Server-W ordne ich User C zu
je Security Group nun eine GPO mit folgendem Filter
GPO RDP_Server-X wird nur auf Server X ausgeführt
GPO RDP_Server-Y wird nur auf Server Y ausgeführt
usw.
Damit habe ich ein zentrales Management brauche aber im schlimmsten Fall je Server eine GPO.
LG mcdy
lokale Gruppen kann man über GPO betanken. Das läuft in GPO unter "eingeschränkte Gruppen".
Und ja, na klar muss dann für jeden dieser Server eine andere GPO bei "eingeschränkte Gruppen" "gewinnen". Also brauchst Du bei drei verschiedenen Benutzerkreisen auch drei verschiedene GPO.
Und ja, na klar muss dann für jeden dieser Server eine andere GPO bei "eingeschränkte Gruppen" "gewinnen". Also brauchst Du bei drei verschiedenen Benutzerkreisen auch drei verschiedene GPO.
genau, eben eine je Server
Ich nehme an, es geht eh bloß um die administrative Betreuung der Server oder einiger ihrer lokalen Dienste? Und nicht etwa um Terminalserver/Anwendungsserver?
ja genau darum geht es: sind zwar keine Domain Admins sollen bzw. wollen aber AD View bzw. Server-Teil von Programm betreuen
"interaktive Anmeldung" ist ein Privileg. Das findest Du entweder in der "lokalen Sicherheitsrichtlinien" (Verwaltungsmenü) oder in GPO unter Computer / Windows-Einstellungen / Sicherheitseinstellungen
Edit:
Genau genommen heißt es "Lokal anmelden zulassen"
Edit:
Genau genommen heißt es "Lokal anmelden zulassen"
Also besser per GPO die lokale Gruppe Remotedesktop Benutzer füttern oder "Lokal anmelden zulassen"?
Funktionieren müsste beides, und mir gefiele die Methode mit den Remotedesktop Benutzern besser, allerdings klingt das bei beidermachtvongreyscull so als wäre es keine gute Idee.
Thx
je Security Group nun eine GPO mit folgendem Filter
GPO RDP_Server-X wird nur auf Server X ausgeführt
GPO RDP_Server-Y wird nur auf Server Y ausgeführt
Richtig und falsch. Du baust Dir selbst Denkknoten.GPO RDP_Server-X wird nur auf Server X ausgeführt
GPO RDP_Server-Y wird nur auf Server Y ausgeführt
Je Computer eine GPO.
Filter: Nur der Computer
Einstellung: Gruppe "RDP_Server-X" ist Mitglied der Gruppe "Remotedesktopbenutzer"
Und vergiss das mit der lokalen Anmeldung. Da Du das nicht kennst, wirst Du das auch nicht geändert/eingeschränkt haben.
Richtig und falsch. Du baust Dir selbst Denkknoten.
das glaub ich dir gerne ^^
Mit deinem richtig und falsch hast mich aber jetzt schon nochmal ordentlich verwirrt.
Was ist nun falsch? Aus deiner Beschreibung lese ich das selbe, was ich meinte. (glaub ich jedenfalls)
Und vergiss das mit der lokalen Anmeldung. Da Du das nicht kennst, wirst Du das auch nicht geändert/eingeschränkt haben.
Gute Idee, vergessen sollt ich schaffen ;)
Ich habe es nun schon fett geschrieben ...
Ich glaub wir hatten dann die selbe Idee ;)
Funktioniert jedenfalls perfekt und ist auch administrierbar.
Danke an alle Helfer und schönes WE!
LG mcdy
Funktioniert jedenfalls perfekt und ist auch administrierbar.
Danke an alle Helfer und schönes WE!
LG mcdy
Ich werde alt und bitte um Entschuldigung für die Verwirrung.
Du hast ja jetzt ne Lösung, also erspare ich mir weitere Details.
Du hast ja jetzt ne Lösung, also erspare ich mir weitere Details.
