3
RDP Freischaltung per GPO fü bestimmte Gruppen
Hallo Leute,
ich habe in underer Domäne Windows Systeme wo ich bisher die RDP Berechtigung manuell vorgenommen habe. Das möchte ich nun über GPO verwalten. Ich habe z.B. in meiner Domäne eine OU "Testmaschinen". In dieser OU befinden sich ca. 20 Systeme und jedes System ist für eine bestimmte Gruppe (manchmal auch mehrere Gruppen) gedacht.
nun möchte ich eine GPO bauen um bestimmte Gruppen auf bestimmte Systeme zu berechtigen. Nur habe ich nun die Frage...muss ich jetzt für jedes System in eine eigene OU packen und dementsprechend eine eigene GPO Richtlinie erstellen (sprich für 20 Systeme?)
ich habe in underer Domäne Windows Systeme wo ich bisher die RDP Berechtigung manuell vorgenommen habe. Das möchte ich nun über GPO verwalten. Ich habe z.B. in meiner Domäne eine OU "Testmaschinen". In dieser OU befinden sich ca. 20 Systeme und jedes System ist für eine bestimmte Gruppe (manchmal auch mehrere Gruppen) gedacht.
nun möchte ich eine GPO bauen um bestimmte Gruppen auf bestimmte Systeme zu berechtigen. Nur habe ich nun die Frage...muss ich jetzt für jedes System in eine eigene OU packen und dementsprechend eine eigene GPO Richtlinie erstellen (sprich für 20 Systeme?)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 296663
Url: https://administrator.de/contentid/296663
Printed on: April 23, 2024 at 15:04 o'clock
3 Comments
Latest comment
Hi,
vermutlich hilft dir das hier weiter:
https://www.lexo.ch/blog/2012/11/remote-desktop-auf-allen-clients-per-gp ...
Zudem wären dann im AD folgendes noch zu erledigen (sofern ich dich richtig verstanden habe):
Du erzeugst User-Groups in denen du dann die User einbindest, die auf die jeweiligen Server zugreifen sollen
z.B. usr_Grp1, usr_Grp2, ...
Dann erzeugst du noch eine Gruppe, in der die Server dann Mitglieder sind
z.B. Srv_Grp1, Srv_Grp2, ...
Du erstellst für jede Gruppe eine GPO mit den entsprechenden Einstellungen.
z.B. gpo_Grp1, gpo_Grp2, ...
Innerhalb jeder GPO dürfen dann nur die jeweiligen User-Gruppen sich an den Servern anmelden anmelden (in dem Link die Punkte 6 & 7).
Zudem richtest du ein, dass die jeweilige GPO nur für die jeweilige Srv_Grp greift (Stichwort Sicherheitsfilterung, welche Standardmäßig auf "Authentifizierte Benutzer" steht)
Nun noch die ganzen GPOs mit den erforderlichen OUs verknüpfen und alles sollte funktionieren.
Gruß
em-pie
vermutlich hilft dir das hier weiter:
https://www.lexo.ch/blog/2012/11/remote-desktop-auf-allen-clients-per-gp ...
Zudem wären dann im AD folgendes noch zu erledigen (sofern ich dich richtig verstanden habe):
Du erzeugst User-Groups in denen du dann die User einbindest, die auf die jeweiligen Server zugreifen sollen
z.B. usr_Grp1, usr_Grp2, ...
Dann erzeugst du noch eine Gruppe, in der die Server dann Mitglieder sind
z.B. Srv_Grp1, Srv_Grp2, ...
Du erstellst für jede Gruppe eine GPO mit den entsprechenden Einstellungen.
z.B. gpo_Grp1, gpo_Grp2, ...
Innerhalb jeder GPO dürfen dann nur die jeweiligen User-Gruppen sich an den Servern anmelden anmelden (in dem Link die Punkte 6 & 7).
Zudem richtest du ein, dass die jeweilige GPO nur für die jeweilige Srv_Grp greift (Stichwort Sicherheitsfilterung, welche Standardmäßig auf "Authentifizierte Benutzer" steht)
Nun noch die ganzen GPOs mit den erforderlichen OUs verknüpfen und alles sollte funktionieren.
Gruß
em-pie
Kann man nicht eine Security Group anlegen und dort die usergruppe und die Rechner hinzufügen sowie die rdp Berechtigung ?
Hallo,
Du kannst in der GPO bei "Lokale Benutzer und Gruppen" %computername%_rdp als Gruppe zur Remotedesktop-Gruppe hinzufügen.
%computername% kann als Variable verwendet werden.
Natürlich musst Du dann entsprechende AD-Gruppen haben die %computername%_rdp heißen, dort berechtigst Du dann auch die Benutzer.
Gruß
Du kannst in der GPO bei "Lokale Benutzer und Gruppen" %computername%_rdp als Gruppe zur Remotedesktop-Gruppe hinzufügen.
%computername% kann als Variable verwendet werden.
Natürlich musst Du dann entsprechende AD-Gruppen haben die %computername%_rdp heißen, dort berechtigst Du dann auch die Benutzer.
Gruß
