RDP definierte Benutzer auf definierten Servern über GPO
Hallo Community,
ich steh mal wieder an.
Gibt es über GPO eine Möglichkeit folgendes zu definieren:
User A darf sich auf Server X, Server Y und Server Z per RDP anmelden
User B darf sich auf Server Y per RDP anmelden
User C darf sich auf Server W per RDP anmelden
Bisher konnte ich leider nur definieren, dass User A, User B und User C sich per RDP verbinden dürfen obwohl sie keine Administratoren sind.
Ich hab auch schon etwas gegooglet, aber entweder geht es schlicht nicht oder ich nutze die falschen Parameter bei der Suche.
Die Server sind 2012 R2 die DC und das Schema ebenso.
Danke und schönes WE!
LG mcdy
ich steh mal wieder an.
Gibt es über GPO eine Möglichkeit folgendes zu definieren:
User A darf sich auf Server X, Server Y und Server Z per RDP anmelden
User B darf sich auf Server Y per RDP anmelden
User C darf sich auf Server W per RDP anmelden
Bisher konnte ich leider nur definieren, dass User A, User B und User C sich per RDP verbinden dürfen obwohl sie keine Administratoren sind.
Ich hab auch schon etwas gegooglet, aber entweder geht es schlicht nicht oder ich nutze die falschen Parameter bei der Suche.
Die Server sind 2012 R2 die DC und das Schema ebenso.
Danke und schönes WE!
LG mcdy
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 344776
Url: https://administrator.de/forum/rdp-definierte-benutzer-auf-definierten-servern-ueber-gpo-344776.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
11 Kommentare
Neuester Kommentar
Hi,
jeder Server hat seine eigene lokale Gruppe "Remotedesktopbenutzer". Die Mitglieder dieser Gruppe dürfen sich per RDP anmelden, vorausgesetzt, man hat nicht eingeschränkt, das sich ein Benutzer überhaupt nicht interaktiv an diesen Computer anmelden dürfen.
Oder Du schränkst eben über das Privileg "interaktiv Anmelden" ein.
E.
jeder Server hat seine eigene lokale Gruppe "Remotedesktopbenutzer". Die Mitglieder dieser Gruppe dürfen sich per RDP anmelden, vorausgesetzt, man hat nicht eingeschränkt, das sich ein Benutzer überhaupt nicht interaktiv an diesen Computer anmelden dürfen.
Oder Du schränkst eben über das Privileg "interaktiv Anmelden" ein.
E.
Zitat von @mc-doubleyou:
Hey emeriks
und danke für deine Antwort.
Lokale Gruppen lassen sich einfach nicht zentral administrieren, darum wollte ich das vermeiden.
Hey emeriks
und danke für deine Antwort.
Lokale Gruppen lassen sich einfach nicht zentral administrieren, darum wollte ich das vermeiden.
Hi,
wie meinst Du denn das? Klar geht das. Du kannst per GPO dem jeweiligen Computer auch Domänengruppen in seine lokalen zuordnen.
Den zweiten Punkt mit "interaktiv Anmelden" versteh ich leider grad nicht.
Das bedeutet, dass die Benutzung des Logon-Bildschirms, sei es über Console (als direkt am Blech) oder eben über eine Remotesitzung nicht erlaubt ist. Eine RDP-Sitzung kann also bis dahin aufgebaut werden, aber beim Logon ist an Schluss.
Müsste ich nicht mehrere GPOs machen können wo ich die entsprechende Benutzergruppe per Filter nur jeweils dem entsprechenden Server zuweise?
Dazu reicht es aus, die Berechtigung auf die GPO entsprechend zu setzen. Aber ich würde das so nicht tun. GPOs werden in Serie abgearbeitet und Du verlierst schnell den Überblick, wenn Du pro Server eine bestimmte baust.
lokale Gruppen kann man über GPO betanken. Das läuft in GPO unter "eingeschränkte Gruppen".
Und ja, na klar muss dann für jeden dieser Server eine andere GPO bei "eingeschränkte Gruppen" "gewinnen". Also brauchst Du bei drei verschiedenen Benutzerkreisen auch drei verschiedene GPO.
Ich nehme an, es geht eh bloß um die administrative Betreuung der Server oder einiger ihrer lokalen Dienste? Und nicht etwa um Terminalserver/Anwendungsserver?
"interaktive Anmeldung" ist ein Privileg. Das findest Du entweder in der "lokalen Sicherheitsrichtlinien" (Verwaltungsmenü) oder in GPO unter Computer / Windows-Einstellungen / Sicherheitseinstellungen
Edit:
Genau genommen heißt es "Lokal anmelden zulassen"
Und ja, na klar muss dann für jeden dieser Server eine andere GPO bei "eingeschränkte Gruppen" "gewinnen". Also brauchst Du bei drei verschiedenen Benutzerkreisen auch drei verschiedene GPO.
Ich nehme an, es geht eh bloß um die administrative Betreuung der Server oder einiger ihrer lokalen Dienste? Und nicht etwa um Terminalserver/Anwendungsserver?
"interaktive Anmeldung" ist ein Privileg. Das findest Du entweder in der "lokalen Sicherheitsrichtlinien" (Verwaltungsmenü) oder in GPO unter Computer / Windows-Einstellungen / Sicherheitseinstellungen
Edit:
Genau genommen heißt es "Lokal anmelden zulassen"
je Security Group nun eine GPO mit folgendem Filter
GPO RDP_Server-X wird nur auf Server X ausgeführt
GPO RDP_Server-Y wird nur auf Server Y ausgeführt
Richtig und falsch. Du baust Dir selbst Denkknoten.GPO RDP_Server-X wird nur auf Server X ausgeführt
GPO RDP_Server-Y wird nur auf Server Y ausgeführt
Je Computer eine GPO.
Filter: Nur der Computer
Einstellung: Gruppe "RDP_Server-X" ist Mitglied der Gruppe "Remotedesktopbenutzer"
Und vergiss das mit der lokalen Anmeldung. Da Du das nicht kennst, wirst Du das auch nicht geändert/eingeschränkt haben.