5
Remote Desktop nicht erlaubt, Berechtigung per GPO aber vergeben
Geschätzte Community!
Mir ist die Frage hochunangenehm, aber ich finde einfach meinen Fehler nicht. Vielleicht sieht ihn ja jemand von euch. Auch diversen Anleitungen des Internets, die ich in meiner Verzweiflung schon befragt habe, zufolge sollte das eigentlich so funktionieren, tut es aber nicht.
Folgendes Setup: Es wird über eine Gruppenrichtlinie die Einstellung Anmelden über Terminaldienste zulassen auf eine OU gesetzt. Hier wird die Gruppe GLOBAL_RD_USERS eingesetzt. Anmelden über Terminaldienste verweigern ist gemäß Microsoft Security Baseline auf "Lokales Konto" gesetzt.
Über gpresult ist zu sehen, dass diese Einstellungen am Client auch ankommt.
Möchte sich aber nun ein Benutzer, der Mitglied ebendieser GLOBAL_RD_USERS-Gruppe ist an diesem PC remote anmelden, so erhält er den Fehler "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".
Die Ereignisanzeige sagt:
- 4624: Konto wurde erfolgreich angemeldet (eben das Konto dieses Benutzers)
- 4627: Informationen zur Gruppenmitgliedschaft (ebendieses Kontos, enthält die GLOBAL_RD_USERS-Gruppe)
- 4825: Einem Benutzer wurde Der Zugriff auf Remotedesktop verweigert. Die Verbindung wird standardm,äßig nur Benutzern erlaubt, die Mitglied der Gruppe "Remotedesktopbenutzer" oder Administratoren sind.
Die Anmeldung via RDP von Administratoren auf den Maschinen ist aber ohne Probleme möglich.
Meinem Verständnis nach müsste ich die Gruppe durch die Einstellung Anmelden über Terminaldienste zulassen doch zu dieser Anmeldung zulassen, oder missverstehe ich da etwas?
Vielen Dank bereits im Vorhinein für eure Hilfe und Inputs!
Mir ist die Frage hochunangenehm, aber ich finde einfach meinen Fehler nicht. Vielleicht sieht ihn ja jemand von euch. Auch diversen Anleitungen des Internets, die ich in meiner Verzweiflung schon befragt habe, zufolge sollte das eigentlich so funktionieren, tut es aber nicht.
Folgendes Setup: Es wird über eine Gruppenrichtlinie die Einstellung Anmelden über Terminaldienste zulassen auf eine OU gesetzt. Hier wird die Gruppe GLOBAL_RD_USERS eingesetzt. Anmelden über Terminaldienste verweigern ist gemäß Microsoft Security Baseline auf "Lokales Konto" gesetzt.
Über gpresult ist zu sehen, dass diese Einstellungen am Client auch ankommt.
Möchte sich aber nun ein Benutzer, der Mitglied ebendieser GLOBAL_RD_USERS-Gruppe ist an diesem PC remote anmelden, so erhält er den Fehler "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".
Die Ereignisanzeige sagt:
- 4624: Konto wurde erfolgreich angemeldet (eben das Konto dieses Benutzers)
- 4627: Informationen zur Gruppenmitgliedschaft (ebendieses Kontos, enthält die GLOBAL_RD_USERS-Gruppe)
- 4825: Einem Benutzer wurde Der Zugriff auf Remotedesktop verweigert. Die Verbindung wird standardm,äßig nur Benutzern erlaubt, die Mitglied der Gruppe "Remotedesktopbenutzer" oder Administratoren sind.
Die Anmeldung via RDP von Administratoren auf den Maschinen ist aber ohne Probleme möglich.
Meinem Verständnis nach müsste ich die Gruppe durch die Einstellung Anmelden über Terminaldienste zulassen doch zu dieser Anmeldung zulassen, oder missverstehe ich da etwas?
Vielen Dank bereits im Vorhinein für eure Hilfe und Inputs!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7560783276
Url: https://administrator.de/contentid/7560783276
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
5 Kommentare
Neuester Kommentar
@HansWurst22 Sofern der RDP Zugriff von anderen Clients aus funktioniert solltest du ggf mal die Firewall-Einstellungen auf den Clients vergleichen. Da muss auch einiges für passend stimmen.
Kreuzberger
Kreuzberger
Zitat von @kreuzberger:
@HansWurst22 Sofern der RDP Zugriff von anderen Clients aus funktioniert solltest du ggf mal die Firewall-Einstellungen auf den Clients vergleichen. Da muss auch einiges für passend stimmen.
Kreuzberger
@HansWurst22 Sofern der RDP Zugriff von anderen Clients aus funktioniert solltest du ggf mal die Firewall-Einstellungen auf den Clients vergleichen. Da muss auch einiges für passend stimmen.
Kreuzberger
Hallo,
danke für deinen Vorschlag. Firewall kann ich glaub ich ausschließen. Die Anmeldung funktioniert mit dem Administrator-Benutzer von einem Client auf die fragliche Maschine, nicht aber mit dem GLOBAL_RD_USERS-User vom gleichen Client aus.
Grüße.
Nabend,
wenn du die Gruppe der Remotedesktopbenutzer Gruppe der Maschine manuell einfügst, geht es?
elevated prompt:
wenn du die Gruppe der Remotedesktopbenutzer Gruppe der Maschine manuell einfügst, geht es?
elevated prompt:
net localgroup "Remotedesktopbenutzer" /add DOMAIN\GLOBAL_RD_USERS 
Hi,
ich hoffe doch mal, Du hast in dieser GPO nicht bloß diese Gruppe "GLOBAL_RD_USERS"sondern auch "Remotedesktopbenutzer" bzw. "Remote Desktop Users".
Die Richtlinie "Anmelden über Terminaldienste zulassen" ist nicht additiv sondern ersetzend. Standardmäßig steht dort drin "Administratoren" und "Remotedesktopbenutzer". Wenn Du jetzt in der GPO nur noch "GLOBAL_RD_USERS" stehen haben solltest, dann können sich noch nicht mal mehr die in der Gruppe "Remotedesktopbenutzer" stehenden anmelden, sofern sie nicht gleichzeitig Mitglieder der lokalen Administratoren sind.
Ich empfehle, das nicht über diese Richtlinie zu machen sondern nur über die Mitgliedschaft in den "Remotedesktopbenutzer". Deren Mitglieder kann man auch über GPO steuern. Entweder über die Richtlinie "eingeschränkte Gruppen" oder über die Einstellung "lokale Benutzer und Gruppen".
E.
ich hoffe doch mal, Du hast in dieser GPO nicht bloß diese Gruppe "GLOBAL_RD_USERS"sondern auch "Remotedesktopbenutzer" bzw. "Remote Desktop Users".
Die Richtlinie "Anmelden über Terminaldienste zulassen" ist nicht additiv sondern ersetzend. Standardmäßig steht dort drin "Administratoren" und "Remotedesktopbenutzer". Wenn Du jetzt in der GPO nur noch "GLOBAL_RD_USERS" stehen haben solltest, dann können sich noch nicht mal mehr die in der Gruppe "Remotedesktopbenutzer" stehenden anmelden, sofern sie nicht gleichzeitig Mitglieder der lokalen Administratoren sind.
Ich empfehle, das nicht über diese Richtlinie zu machen sondern nur über die Mitgliedschaft in den "Remotedesktopbenutzer". Deren Mitglieder kann man auch über GPO steuern. Entweder über die Richtlinie "eingeschränkte Gruppen" oder über die Einstellung "lokale Benutzer und Gruppen".
E.
Hi,
beim Hinzufügen in die Gruppe der lokalen Remotedesktopbenutzer funktioniert es grundsätzlich.
Doch, es ist lediglich diese Gruppe dort drin, weil die lokale Remotedesktopbenutzer-Gruppe überhaupt nicht verwendet wird bzw. verwendet werden soll.
Das ist mir bewusst danke auch für deinen Lösungsvorschlag, mit diesem funktioniert es grundsätzlich auch wie gewollt - ich verstehe nur leider trotzdem nicht ganz, warum meine Lösung nicht funktioniert, schließlich sollte die Gruppe doch dann zum Remotezugriff freigegeben sein, oder?
beim Hinzufügen in die Gruppe der lokalen Remotedesktopbenutzer funktioniert es grundsätzlich.
Zitat von @emeriks:
Hi,
ich hoffe doch mal, Du hast in dieser GPO nicht bloß diese Gruppe "GLOBAL_RD_USERS"sondern auch "Remotedesktopbenutzer" bzw. "Remote Desktop Users".
Hi,
ich hoffe doch mal, Du hast in dieser GPO nicht bloß diese Gruppe "GLOBAL_RD_USERS"sondern auch "Remotedesktopbenutzer" bzw. "Remote Desktop Users".
Doch, es ist lediglich diese Gruppe dort drin, weil die lokale Remotedesktopbenutzer-Gruppe überhaupt nicht verwendet wird bzw. verwendet werden soll.
Zitat von @emeriks:
Die Richtlinie "Anmelden über Terminaldienste zulassen" ist nicht additiv sondern ersetzend. Standardmäßig steht dort drin "Administratoren" und "Remotedesktopbenutzer". Wenn Du jetzt in der GPO nur noch "GLOBAL_RD_USERS" stehen haben solltest, dann können sich noch nicht mal mehr die in der Gruppe "Remotedesktopbenutzer" stehenden anmelden, sofern sie nicht gleichzeitig Mitglieder der lokalen Administratoren sind.
Die Richtlinie "Anmelden über Terminaldienste zulassen" ist nicht additiv sondern ersetzend. Standardmäßig steht dort drin "Administratoren" und "Remotedesktopbenutzer". Wenn Du jetzt in der GPO nur noch "GLOBAL_RD_USERS" stehen haben solltest, dann können sich noch nicht mal mehr die in der Gruppe "Remotedesktopbenutzer" stehenden anmelden, sofern sie nicht gleichzeitig Mitglieder der lokalen Administratoren sind.
Das ist mir bewusst danke auch für deinen Lösungsvorschlag, mit diesem funktioniert es grundsätzlich auch wie gewollt - ich verstehe nur leider trotzdem nicht ganz, warum meine Lösung nicht funktioniert, schließlich sollte die Gruppe doch dann zum Remotezugriff freigegeben sein, oder?
