mc-doubleyou
Goto Top

RDP definierte Benutzer auf definierten Servern über GPO

Hallo Community,

ich steh mal wieder an. face-sad

Gibt es über GPO eine Möglichkeit folgendes zu definieren:

User A darf sich auf Server X, Server Y und Server Z per RDP anmelden
User B darf sich auf Server Y per RDP anmelden
User C darf sich auf Server W per RDP anmelden

Bisher konnte ich leider nur definieren, dass User A, User B und User C sich per RDP verbinden dürfen obwohl sie keine Administratoren sind.
Ich hab auch schon etwas gegooglet, aber entweder geht es schlicht nicht oder ich nutze die falschen Parameter bei der Suche.

Die Server sind 2012 R2 die DC und das Schema ebenso.

Danke und schönes WE!
LG mcdy

Content-ID: 344776

Url: https://administrator.de/forum/rdp-definierte-benutzer-auf-definierten-servern-ueber-gpo-344776.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

emeriks
emeriks 28.07.2017 um 14:06:53 Uhr
Goto Top
Hi,
jeder Server hat seine eigene lokale Gruppe "Remotedesktopbenutzer". Die Mitglieder dieser Gruppe dürfen sich per RDP anmelden, vorausgesetzt, man hat nicht eingeschränkt, das sich ein Benutzer überhaupt nicht interaktiv an diesen Computer anmelden dürfen.
Oder Du schränkst eben über das Privileg "interaktiv Anmelden" ein.

E.
mc-doubleyou
mc-doubleyou 28.07.2017 aktualisiert um 14:18:09 Uhr
Goto Top
Hey emeriks

und danke für deine Antwort.
Lokale Gruppen lassen sich einfach nicht zentral administrieren, darum wollte ich das vermeiden.

Den zweiten Punkt mit "interaktiv Anmelden" versteh ich leider grad nicht.

Was mir beim grübeln aber grad eingefallen ist.
Müsste ich nicht mehrere GPOs machen können wo ich die entsprechende Benutzergruppe per Filter nur jeweils dem entsprechenden Server zuweise?

Wenn dein Ansatz aber einfacher ist mit dem "interaktiv Anmelden" wäre ich sehr interessiert.

LG mcdy
beidermachtvongreyscull
beidermachtvongreyscull 28.07.2017 aktualisiert um 14:25:02 Uhr
Goto Top
Zitat von @mc-doubleyou:

Hey emeriks

und danke für deine Antwort.
Lokale Gruppen lassen sich einfach nicht zentral administrieren, darum wollte ich das vermeiden.

Hi,
wie meinst Du denn das? Klar geht das. Du kannst per GPO dem jeweiligen Computer auch Domänengruppen in seine lokalen zuordnen.

Den zweiten Punkt mit "interaktiv Anmelden" versteh ich leider grad nicht.

Das bedeutet, dass die Benutzung des Logon-Bildschirms, sei es über Console (als direkt am Blech) oder eben über eine Remotesitzung nicht erlaubt ist. Eine RDP-Sitzung kann also bis dahin aufgebaut werden, aber beim Logon ist an Schluss.

Müsste ich nicht mehrere GPOs machen können wo ich die entsprechende Benutzergruppe per Filter nur jeweils dem entsprechenden Server zuweise?

Dazu reicht es aus, die Berechtigung auf die GPO entsprechend zu setzen. Aber ich würde das so nicht tun. GPOs werden in Serie abgearbeitet und Du verlierst schnell den Überblick, wenn Du pro Server eine bestimmte baust.
emeriks
emeriks 28.07.2017 aktualisiert um 14:32:35 Uhr
Goto Top
lokale Gruppen kann man über GPO betanken. Das läuft in GPO unter "eingeschränkte Gruppen".
Und ja, na klar muss dann für jeden dieser Server eine andere GPO bei "eingeschränkte Gruppen" "gewinnen". Also brauchst Du bei drei verschiedenen Benutzerkreisen auch drei verschiedene GPO.

Ich nehme an, es geht eh bloß um die administrative Betreuung der Server oder einiger ihrer lokalen Dienste? Und nicht etwa um Terminalserver/Anwendungsserver?

"interaktive Anmeldung" ist ein Privileg. Das findest Du entweder in der "lokalen Sicherheitsrichtlinien" (Verwaltungsmenü) oder in GPO unter Computer / Windows-Einstellungen / Sicherheitseinstellungen

Edit:
Genau genommen heißt es "Lokal anmelden zulassen"
mc-doubleyou
mc-doubleyou 28.07.2017 um 14:36:54 Uhr
Goto Top
Hey

Hi,
wie meinst Du denn das? Klar geht das. Du kannst per GPO dem jeweiligen Computer auch Domänengruppen in seine lokalen zuordnen.

eben genau darauf basierend hätte ich ja meine Idee aufgebaut, weiter unten meinst du dann aber es wäre keine gute

Den zweiten Punkt mit "interaktiv Anmelden" versteh ich leider grad nicht.

Das bedeutet, dass die Benutzung des Logon-Bildschirms, sei es über Console (als direkt am Blech) oder eben über eine Remotesitzung nicht erlaubt ist. Eine RDP-Sitzung kann also bis dahin aufgebaut werden, aber beim Logon ist an Schluss.

Ich brauche aber RDP noch für die Domain Admins oder hat das damit nichts zu tun?
Bin bisher offenbar noch nicht über "interaktiv Anmelden" gestolptert.
Wo de- bzw. aktivier ich das?

Müsste ich nicht mehrere GPOs machen können wo ich die entsprechende Benutzergruppe per Filter nur jeweils dem entsprechenden Server zuweise?

Dazu reicht es aus, die Berechtigung auf die GPO entsprechend zu setzen. Aber ich würde das so nicht tun. GPOs werden in Serie abgearbeitet und Du verlierst schnell den Überblick, wenn Du pro Server eine bestimmte baust.

Evtl. missverstehe ich dich, den weiter oben klingt es so als wäre es auch dein Ansatz.


Darum hier das Ganze mal im Detail:

User A darf sich auf Server X, Server Y und Server Z per RDP anmelden
User B darf sich auf Server Y per RDP anmelden
User C darf sich auf Server W per RDP anmelden

Security Group RDP_Server-X ordne ich User A zu
Security Group RDP_Server-Y ordne ich User A und User B zu
Security Group RDP_Server-Z ordne ich User A zu
Security Group RDP_Server-W ordne ich User C zu

je Security Group nun eine GPO mit folgendem Filter

GPO RDP_Server-X wird nur auf Server X ausgeführt
GPO RDP_Server-Y wird nur auf Server Y ausgeführt
usw.

Damit habe ich ein zentrales Management brauche aber im schlimmsten Fall je Server eine GPO.

LG mcdy
mc-doubleyou
mc-doubleyou 28.07.2017 aktualisiert um 14:44:34 Uhr
Goto Top
lokale Gruppen kann man über GPO betanken. Das läuft in GPO unter "eingeschränkte Gruppen".
Und ja, na klar muss dann für jeden dieser Server eine andere GPO bei "eingeschränkte Gruppen" "gewinnen". Also brauchst Du bei drei verschiedenen Benutzerkreisen auch drei verschiedene GPO.

genau, eben eine je Server

Ich nehme an, es geht eh bloß um die administrative Betreuung der Server oder einiger ihrer lokalen Dienste? Und nicht etwa um Terminalserver/Anwendungsserver?

ja genau darum geht es: sind zwar keine Domain Admins sollen bzw. wollen aber AD View bzw. Server-Teil von Programm betreuen

"interaktive Anmeldung" ist ein Privileg. Das findest Du entweder in der "lokalen Sicherheitsrichtlinien" (Verwaltungsmenü) oder in GPO unter Computer / Windows-Einstellungen / Sicherheitseinstellungen

Edit:
Genau genommen heißt es "Lokal anmelden zulassen"

Also besser per GPO die lokale Gruppe Remotedesktop Benutzer füttern oder "Lokal anmelden zulassen"?
Funktionieren müsste beides, und mir gefiele die Methode mit den Remotedesktop Benutzern besser, allerdings klingt das bei beidermachtvongreyscull so als wäre es keine gute Idee.

Thx
emeriks
Lösung emeriks 28.07.2017 aktualisiert um 14:45:59 Uhr
Goto Top
je Security Group nun eine GPO mit folgendem Filter

GPO RDP_Server-X wird nur auf Server X ausgeführt
GPO RDP_Server-Y wird nur auf Server Y ausgeführt
Richtig und falsch. Du baust Dir selbst Denkknoten.

Je Computer eine GPO.
Filter: Nur der Computer
Einstellung: Gruppe "RDP_Server-X" ist Mitglied der Gruppe "Remotedesktopbenutzer"

Und vergiss das mit der lokalen Anmeldung. Da Du das nicht kennst, wirst Du das auch nicht geändert/eingeschränkt haben.
mc-doubleyou
mc-doubleyou 28.07.2017 um 14:52:24 Uhr
Goto Top
Richtig und falsch. Du baust Dir selbst Denkknoten.

das glaub ich dir gerne ^^

Mit deinem richtig und falsch hast mich aber jetzt schon nochmal ordentlich verwirrt.
Was ist nun falsch? Aus deiner Beschreibung lese ich das selbe, was ich meinte. (glaub ich jedenfalls)

Und vergiss das mit der lokalen Anmeldung. Da Du das nicht kennst, wirst Du das auch nicht geändert/eingeschränkt haben.

Gute Idee, vergessen sollt ich schaffen ;)
emeriks
emeriks 28.07.2017 um 14:59:44 Uhr
Goto Top
Ich habe es nun schon fett geschrieben ...
mc-doubleyou
mc-doubleyou 28.07.2017 um 15:33:49 Uhr
Goto Top
Ich glaub wir hatten dann die selbe Idee ;)

Funktioniert jedenfalls perfekt und ist auch administrierbar.
Danke an alle Helfer und schönes WE!

LG mcdy
beidermachtvongreyscull
beidermachtvongreyscull 28.07.2017 um 15:35:49 Uhr
Goto Top
Ich werde alt und bitte um Entschuldigung für die Verwirrung.
Du hast ja jetzt ne Lösung, also erspare ich mir weitere Details.