10
Remote per Gruppenrichtlinie Server2008
Hallo an alle und schon mal vorab vielen Dank für Eure Hilfe.
Folgendes in Kurzform:
Bestehendes AD, OU Computer - darunter OU Arbeitskreise mit den jeweiligen Clients, OU User - darunter OU Arbeitskreise mit den jeweiligen Benutzern.
Nun soll per GPO die Remotzenutzung auf jedem Client erlaubt werden, aber auch noch gleichzeitig nur ein Benutzer die Remoteerlaubnis auf nur einen bestimmten Client erhalten.
Andere Gruppenrichtlinien sind in den OU's schon vorhanden.
Stehe ziemlich am Anfang in Sachen Gruppenrichtlinien...und hab nicht wirklich einen Plan...da ja auch die Vererbung und die Reihenfolge eine Rolle spielt.
Vielleicht kann mir jemand weiterhelfen?
Seid lieb gegrüßt
Sabine
Folgendes in Kurzform:
Bestehendes AD, OU Computer - darunter OU Arbeitskreise mit den jeweiligen Clients, OU User - darunter OU Arbeitskreise mit den jeweiligen Benutzern.
Nun soll per GPO die Remotzenutzung auf jedem Client erlaubt werden, aber auch noch gleichzeitig nur ein Benutzer die Remoteerlaubnis auf nur einen bestimmten Client erhalten.
Andere Gruppenrichtlinien sind in den OU's schon vorhanden.
Stehe ziemlich am Anfang in Sachen Gruppenrichtlinien...und hab nicht wirklich einen Plan...da ja auch die Vererbung und die Reihenfolge eine Rolle spielt.
Vielleicht kann mir jemand weiterhelfen?
Seid lieb gegrüßt
Sabine
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 157970
Url: https://administrator.de/contentid/157970
Printed on: April 24, 2024 at 20:04 o'clock
10 Comments
Latest comment
Moin moin
Darf man fragen wozu das gut sein soll?
Ich meine im Normalfall ist jedem Domänen Benutzer doch erlaubt sich an jedem Domänen Client anzumelden.
Ist es da nicht egal ob Remote?
In diesem HowTo geht es zwar um Terminalserver, aber das ist letzendlich auch nichts anderes als das erlauben von Remotedesktop zugriffen. Solte dir also weiterhelfen.
Gruß L
Nun soll per GPO die Remotzenutzung auf jedem Client erlaubt werden
Das wäre leicht.aber auch noch gleichzeitig nur ein Benutzer die Remoteerlaubnis auf nur einen bestimmten Client erhalten.
Das würde wohl funktionieren, bedeutet aber pro User/Client Paar eine eigene Richtlinie.Darf man fragen wozu das gut sein soll?
Ich meine im Normalfall ist jedem Domänen Benutzer doch erlaubt sich an jedem Domänen Client anzumelden.
Ist es da nicht egal ob Remote?
In diesem HowTo geht es zwar um Terminalserver, aber das ist letzendlich auch nichts anderes als das erlauben von Remotedesktop zugriffen. Solte dir also weiterhelfen.
Gruß L
Hallöle!
Wenn es darum geht, dass sich User X ausschließlich an PC Y anmelden darf, was dann ja auch lokal der Fall sein müsste, gibt es noch die Möglichkeit, in den Benutzerkonten einzuschränken, an welchem PC sich der User anmelden darf. Betrifft dann sowohl die Remote- als auch die lokale Anmeldung. Damit wären aber auch Gruppenbildungen möglich, z.B. User X darf sich an PC A, B und C anmelden. Gilt dann ebenfalls nah wie fern.
Juchu! Feierabend!
Jörg
Wenn es darum geht, dass sich User X ausschließlich an PC Y anmelden darf, was dann ja auch lokal der Fall sein müsste, gibt es noch die Möglichkeit, in den Benutzerkonten einzuschränken, an welchem PC sich der User anmelden darf. Betrifft dann sowohl die Remote- als auch die lokale Anmeldung. Damit wären aber auch Gruppenbildungen möglich, z.B. User X darf sich an PC A, B und C anmelden. Gilt dann ebenfalls nah wie fern.
Juchu! Feierabend!
Jörg
Hi.
Ich schließ mich Logan an: Wozu?
Es lässt sich bestimmt eine Lösung finden, wenn Du uns den Zweck erklärt hast.
Ich schließ mich Logan an: Wozu?
Es lässt sich bestimmt eine Lösung finden, wenn Du uns den Zweck erklärt hast.
Habt erst einmal vielen Dank für Euer Posting.
Der Zweck ist folgender: Ich arbeite in einem Institut,in dem Forschungen in der Chemie betrieben werden. Mein Chef möchte gern die Sicherheit auf den PC's erhöhen...ist soweit auch einleuchtend...aber auch wieder nicht, da die Forschungsergebnisse auf dem eigenen LW des User abgespeichert werden (zumindest gespeichert werden sollten
).
Das mit der GPO pro User/Client -Paar hatte ich mir auch schon überlegt..bedeutet aber bei etwas über 40 PC's ne Menge Arbeit...
LG Sabine
Der Zweck ist folgender: Ich arbeite in einem Institut,in dem Forschungen in der Chemie betrieben werden. Mein Chef möchte gern die Sicherheit auf den PC's erhöhen...ist soweit auch einleuchtend...aber auch wieder nicht, da die Forschungsergebnisse auf dem eigenen LW des User abgespeichert werden (zumindest gespeichert werden sollten
).Das mit der GPO pro User/Client -Paar hatte ich mir auch schon überlegt..bedeutet aber bei etwas über 40 PC's ne Menge Arbeit...
LG Sabine
Moin Moin
Mit eigenem User LW meinst du lokal auf dem PC? Das wäre doch Blödsinn.
Wenn man sich um die Sicherheit seiner Daten sorgt, dann legt man diese auf einer Zentralen Maschine (Fileserver/Nas,....) ab.
Das erleichtert die DaSi und die Sicherung gegen unbefugten Zugriff auf die Hardware.
Gruß L.
Zitat von @selina200317:
Das mit der GPO pro User/Client -Paar hatte ich mir auch schon überlegt..bedeutet aber bei etwas über 40 PC's ne Menge Arbeit...
Yup, und dann hast du das nur eingerichtet. Dann kommen Personalwechsel und Rechertausch dazu.Das mit der GPO pro User/Client -Paar hatte ich mir auch schon überlegt..bedeutet aber bei etwas über 40 PC's ne Menge Arbeit...
Mit eigenem User LW meinst du lokal auf dem PC? Das wäre doch Blödsinn.
Wenn man sich um die Sicherheit seiner Daten sorgt, dann legt man diese auf einer Zentralen Maschine (Fileserver/Nas,....) ab.
Das erleichtert die DaSi und die Sicherung gegen unbefugten Zugriff auf die Hardware.
Gruß L.
Guten Morgen!
Die User LW sind auf dem Server hinterlegt....Nur halten sich da so einige nicht wirklich daran und speichern schon mal eben Daten auf C....
"Ich meine im Normalfall ist jedem Domänen Benutzer doch erlaubt sich an jedem Domänen Client anzumelden."
Ja,das ist richtig....mein Chef sieht dies aber irgendwie als Sicherheitslücke.
Die Lösung mit den Benutzerkonten ist auch nicht schlecht...ist zwar auch verwaltungsmässig etwas aufwendig,aber dafür muss ich nicht unbedingt was dies betrifft mit GPO arbeiten...ist nur ne kleine Fleißarbeit (ist so mein Gedanke).
Die User LW sind auf dem Server hinterlegt....Nur halten sich da so einige nicht wirklich daran und speichern schon mal eben Daten auf C....
"Ich meine im Normalfall ist jedem Domänen Benutzer doch erlaubt sich an jedem Domänen Client anzumelden."
Ja,das ist richtig....mein Chef sieht dies aber irgendwie als Sicherheitslücke.
Die Lösung mit den Benutzerkonten ist auch nicht schlecht...ist zwar auch verwaltungsmässig etwas aufwendig,aber dafür muss ich nicht unbedingt was dies betrifft mit GPO arbeiten...ist nur ne kleine Fleißarbeit (ist so mein Gedanke).
Zurück zu der Frage nach der Absicht...
Ihr möchtet, dass jeder nur auf seinen "eigenen" PC von remote zugreifen kann, oder wie?
Wenn Ihr eh die Anmeldeeinschränkungen macht (machen wir auch), dann kannst Du es doch darüber erschlagen. Per GPO müsste dann nur noch in die lokale Gruppe Remote-Desktopnutzer die Gruppe Domänenbenutzer eingefügt werden und fertig.
Ihr möchtet, dass jeder nur auf seinen "eigenen" PC von remote zugreifen kann, oder wie?
Wenn Ihr eh die Anmeldeeinschränkungen macht (machen wir auch), dann kannst Du es doch darüber erschlagen. Per GPO müsste dann nur noch in die lokale Gruppe Remote-Desktopnutzer die Gruppe Domänenbenutzer eingefügt werden und fertig.
Okay....
für einen Anfänger wie mich mal kurz zusammengefasst.
Anmeldebeschränkung...ist klar,Benutzerkonten.
Eine lokale Gruppe Remote_Desktopbenutzer erstellen, diejenigen Nutzer als Mitglieder eintragen,die Remote nutzen dürfen (hihi, mittlerweile sind es nämlich nur noch drei...ne "kleine" Änderung)....wie müsste dann die GPO aussehen bzw. mit welchem Objekt müsste ich sie dann verknüpfen?
für einen Anfänger wie mich mal kurz zusammengefasst.
Anmeldebeschränkung...ist klar,Benutzerkonten.
Eine lokale Gruppe Remote_Desktopbenutzer erstellen, diejenigen Nutzer als Mitglieder eintragen,die Remote nutzen dürfen (hihi, mittlerweile sind es nämlich nur noch drei...ne "kleine" Änderung)....wie müsste dann die GPO aussehen bzw. mit welchem Objekt müsste ich sie dann verknüpfen?
Du erstellst eine Richtlinie, die für alle in Frage kommenden Computerobjekte gilt.
Computer Konfig - Policies - Windows settings - security settings - restricted groups (auf deutsch: eingeschränkte Gruppen). Dort kommt folgendes rein:
remotedesktopbenutzer DeineDomäne\Domänen-Benutzer (Domänenbenutzer im oberen Bereich hinzufügen).
Das ist schon alles.
Computer Konfig - Policies - Windows settings - security settings - restricted groups (auf deutsch: eingeschränkte Gruppen). Dort kommt folgendes rein:
remotedesktopbenutzer DeineDomäne\Domänen-Benutzer (Domänenbenutzer im oberen Bereich hinzufügen).
Das ist schon alles.
Okay..ich danke Dir ganz lieb!
Sollte ich noch Fragen haben, melde ich mich einfach....
Ansonsten noch einen schönen Tag!
Sollte ich noch Fragen haben, melde ich mich einfach....
Ansonsten noch einen schönen Tag!
