43
Remotedesktopverbindung als nicht-Admin in der Domäne möglich?
hatte diese frage bereits innerhalb eines fremden threads gestellt, aber diese sind entweder zu alt und liest niemand mehr, oder man muss einen eigenen erstellen ... jeeedenfalls:
hallo liebe leute,
mich plagt folgendes problem:
habe eine domäne in betrieb (dc: w2k3 sbs; clients: winxp pro) wobei 2 benutzer (am wochende etwa) vom heimarbeitsplatz per remotedesktopverbindung auf deren unternehmensarbeitsplatz (nicht auf den server) zugreifen und arbeiten sollen.
das funktioniert aber nur, wenn diese benutzer mitglied des domänen-admins sind !?! 'türlich ist das nicht haltbar.
was muss ich wo wie einstellen, damit diese nicht als domänen-admins durchs netz taumeln? (mitgliedschaft in remotedesktop-benutzer hatte keine auswirkung ...)
pptp-vpn steht zwischen pc (heimarbeitsplatz) und router (bintec access25)
mbg
hallo liebe leute,
mich plagt folgendes problem:
habe eine domäne in betrieb (dc: w2k3 sbs; clients: winxp pro) wobei 2 benutzer (am wochende etwa) vom heimarbeitsplatz per remotedesktopverbindung auf deren unternehmensarbeitsplatz (nicht auf den server) zugreifen und arbeiten sollen.
das funktioniert aber nur, wenn diese benutzer mitglied des domänen-admins sind !?! 'türlich ist das nicht haltbar.
was muss ich wo wie einstellen, damit diese nicht als domänen-admins durchs netz taumeln? (mitgliedschaft in remotedesktop-benutzer hatte keine auswirkung ...)
pptp-vpn steht zwischen pc (heimarbeitsplatz) und router (bintec access25)
mbg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 27741
Url: https://administrator.de/contentid/27741
Ausgedruckt am: 26.11.2024 um 05:11 Uhr
43 Kommentare
Neuester Kommentar
Das geht auch so.
Was für eine Fehlermeldung kommt denn wenn sie es als normale User versuchen?
Was für eine Fehlermeldung kommt denn wenn sie es als normale User versuchen?
Via "Control Panel" auf "System", dort den Reiter "Remote" auswaehlen.
Bei "Remote Desktop" kannst du unter "Select Remote Users ..." die Benutzer eintragen, die sich per RDP anmelden duerfen. Das muessen auch keine Admins sein. Allerdings gehen nur 2 Sessions gleichzeitig, ansonsten muss "Terminal Server" lizensiert werden.
Achtung, immer sauber "Disconnecten" sonst sind die beiden Sessions nutzlos verbraucht.
Bei "Remote Desktop" kannst du unter "Select Remote Users ..." die Benutzer eintragen, die sich per RDP anmelden duerfen. Das muessen auch keine Admins sein. Allerdings gehen nur 2 Sessions gleichzeitig, ansonsten muss "Terminal Server" lizensiert werden.
Achtung, immer sauber "Disconnecten" sonst sind die beiden Sessions nutzlos verbraucht.
Hallo
Kann es sein das du den Terminal Server nur im RemoteAdmin Service Installiert hast zu mindestens bei Win 2k war das so. Man musste den Terminal Server im Anwender Modus installieren mit allen Lizenzen um sich als normaler Benutzer per Remote ins System zu kommen.
MFG
Kann es sein das du den Terminal Server nur im RemoteAdmin Service Installiert hast zu mindestens bei Win 2k war das so. Man musste den Terminal Server im Anwender Modus installieren mit allen Lizenzen um sich als normaler Benutzer per Remote ins System zu kommen.
MFG
... kann ich nicht mit sicherheit sagen - mom, werde es mal eben testen ...
Hmm, verstehe ich da grad was falsch?
Die user sollen "auf deren unternehmensarbeitsplatz (nicht auf den server)" zugreifen und die "clients: winxp pro"...
Die user sollen "auf deren unternehmensarbeitsplatz (nicht auf den server)" zugreifen und die "clients: winxp pro"...
Bis auf das mit den zwei Sessions geht das auch mit XP. XP hat nur eine Session.
@ meinereiner:
vom heim-pc (xp pro) zuhause, zugriff auf client (xp pro) im unternehmen.
jeder benutzer auf sein eigenes system.
vom heim-pc (xp pro) zuhause, zugriff auf client (xp pro) im unternehmen.
jeder benutzer auf sein eigenes system.
Bis auf das mit den zwei Sessions geht das
auch mit XP. XP hat nur eine Session.
auch mit XP. XP hat nur eine Session.
Pack mal in die Gruppe der Remotedesktopuser einen Benutzer rein und dann schau mal da nach wo du es beschrieben hast.
@RobertTischler
... kein Terminal Server ...
... kein Terminal Server ...
@ meinereiner:
vom heim-pc (xp pro) zuhause, zugriff auf
client (xp pro) im unternehmen
vom heim-pc (xp pro) zuhause, zugriff auf
client (xp pro) im unternehmen
Das sollte Problemlos gehen. Du musst nur auf dem XP Rechner die passenden Rechte haben. So ad hoc würde ich sagen, so wie du es eingerichtet hast passt es. Deswegen habe ich nach der Fehlermeldung gefragt.
Kann es sein das eine Richtlinie in der Firma den zugriff verweigert?
Ist exakt das gleiche.
@ITwissen
... zugriff auf client, nicht auf server ...
... zugriff auf client, nicht auf server ...
> @ meinereiner:
> vom heim-pc (xp pro) zuhause, zugriff
auf
> client (xp pro) im unternehmen
Das sollte Problemlos gehen. Du musst nur
auf dem XP Rechner die passenden Rechte
haben. So ad hoc würde ich sagen, so
wie du es eingerichtet hast passt es.
Deswegen habe ich nach der Fehlermeldung
gefragt.
Kann es sein das eine Richtlinie in der
Firma den zugriff verweigert?
hmhh ... halte ich für möglich, werde das morgen mal prüfen ...
> vom heim-pc (xp pro) zuhause, zugriff
auf
> client (xp pro) im unternehmen
Das sollte Problemlos gehen. Du musst nur
auf dem XP Rechner die passenden Rechte
haben. So ad hoc würde ich sagen, so
wie du es eingerichtet hast passt es.
Deswegen habe ich nach der Fehlermeldung
gefragt.
Kann es sein das eine Richtlinie in der
Firma den zugriff verweigert?
hmhh ... halte ich für möglich, werde das morgen mal prüfen ...
> hmhh ... halte ich für
möglich, werde das morgen mal
prüfen ...
möglich, werde das morgen mal
prüfen ...
Oki, melde ich halt ggf nochmal
Wie gesagt, das gleiche wie auf dem Server funktioniert auch auf den Clients. Den User in die Remotedesktopuser Gruppe eintragen, wie meinereiner gesagt hat. Oder ueber "System", "Remote" , ... wie ich es vorher beschrieben habe.
Oder via cmd:
net group remotedesktopuser username /add
Oder via cmd:
net group remotedesktopuser username /add
Wie gesagt, das gleiche wie auf dem Server
...net group remotedesktopuser username /add
Zitat: (mitgliedschaft in remotedesktop-benutzer hatte keine auswirkung ...)
Sorry, aber mehr als den Titel hast du wohl nicht gelesen?!
Mal ein frage eines unwissenden. Wenn ich mich in einem Firmen Netzwerk einwählen und mich mit einem Client verbinden will läuft das nicht so oder so über einen Server? Und währe es nicht genau das was ein Hacker versuchen würde sich auf einen Client zu verbinden um das ganze System zu übernehmen. Mit Server-Client verbindungen habe ich noch nicht so die Ahnung des wegen diese Fragen.
Ich habs gerade ausprobiert und es hat funktioniert.
Vielleicht hat er sich nicht praezise ausgedrueckt.
User die ich in die Gruppe "Remotedesktopusers" eintrage sehe ich in "System", "Remote", ... und alle die ich da reingeschrieben habe, konnten sich per RDP verbinden.
Vielleicht hat er sich nicht praezise ausgedrueckt.
User die ich in die Gruppe "Remotedesktopusers" eintrage sehe ich in "System", "Remote", ... und alle die ich da reingeschrieben habe, konnten sich per RDP verbinden.
Mal ein frage eines unwissenden. Wenn ich
mich in einem Firmen Netzwerk einwählen
und mich mit einem Client verbinden will
läuft das nicht so oder so über
einen Server?
mich in einem Firmen Netzwerk einwählen
und mich mit einem Client verbinden will
läuft das nicht so oder so über
einen Server?
Nicht unbedingt. Man kann sich auch über ISDN oder VPN auf einen Router einwählen. Auf einen richtigen Server würde ich persönlich es nicht machen. Es sei denn er spielt selbst auch Firewall.
Und währe es nicht genau
das was ein Hacker versuchen würde sich
auf einen Client zu verbinden um das ganze
System zu übernehmen.
das was ein Hacker versuchen würde sich
auf einen Client zu verbinden um das ganze
System zu übernehmen.
Ja, aber dazu müsste er ja erst ins Netz kommen. In einem Firmennetzwerk würde ich es als hochgradig leichtsinnig ansehen einen Client zum Internet hin auf zu machen.
Mit Server-Client
verbindungen habe ich noch nicht so die
Ahnung des wegen diese Fragen.
verbindungen habe ich noch nicht so die
Ahnung des wegen diese Fragen.
Zum Fragen ist das Forum ja da.
Ich habs gerade ausprobiert und es hat
funktioniert.
Vielleicht hat er sich nicht praezise
ausgedrueckt.
funktioniert.
Vielleicht hat er sich nicht praezise
ausgedrueckt.
Oder das Problem liegt wo anders.
User die ich in die Gruppe
..reingeschrieben habe, konnten sich per RDP
verbinden.
verbinden.
Das funktioniert aber nur, weil der Gruppe in den Richtlinien die Rechte dafür zugeteilt wurden. Wenn die z.B. durch eine Richtlinie verbogen sind, haut es nicht mehr hin.
Dabei ist es auch nicht so weit hergeholt, dass man in einer Firma so eine Richtlinie erstellt.
Edit: Wenn wirklich nur Domänen Admins drauf kommen, dann spricht das auch für die Überlegung mit der Richtlinie, denn eigentlich haben auch lokale Admins Zugriff auf den Remotedesktop
Da hast du recht.
Bin ja noch neu hier. Vielleicht kann man mir das in diesem Fall nochmal verzeihen, wenn ich Besserung gelobe.
Bin ja noch neu hier. Vielleicht kann man mir das in diesem Fall nochmal verzeihen, wenn ich Besserung gelobe.
Bin ja noch neu hier. Vielleicht kann man
mir das in diesem Fall nochmal verzeihen,
wenn ich Besserung gelobe.
mir das in diesem Fall nochmal verzeihen,
wenn ich Besserung gelobe.
Aber sicher doch..
... stimmt, als lokaler admin ist die verbindung auch nicht möglich - nor als dom-admin.
ich muß die prüfung und umsetzung der vorschläge auf mitte nächster woche verschieben, da dann der urlaub eines inhabers beginnt. bis dahin wird die derzeitige konstellation unter vollast genutzt ...
ich muß die prüfung und umsetzung der vorschläge auf mitte nächster woche verschieben, da dann der urlaub eines inhabers beginnt. bis dahin wird die derzeitige konstellation unter vollast genutzt ...
...vielen dank für eure wirklich rege teilnahme!!
mit bestem gruß
neo_mnemonic
mit bestem gruß
neo_mnemonic
Entschuldigt das Ausbuddeln dieser Leiche:
Sehe ich das richtig, dass sich wirklich nur Mitglieder der Gruppe Domänen-Admin per RDP anmelden können?? Gibt es etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Sehe ich das richtig, dass sich wirklich nur Mitglieder der Gruppe Domänen-Admin per RDP anmelden können?? Gibt es etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Sehe ich das richtig, dass sich wirklich nur Mitglieder der Gruppe Domänen-Admin per RDP anmelden können??
Nein, hier wird doch auch das Gegenteil beschrieben.Gibt es
etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Vor allem solltest du ein gutes Backup von allen Servern haben!!! etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Alle User sind Mitglied der Gruppe "Remotedesktopbenutzer" und unter System > Remote auch zu sehen. Dennoch kann ich mich nur als Domänen-Admin per RDP anmelden.
Habe per GPO so ziemlich alles untersagt. Ordnerzugriffe, Rechtsklick etc. Es ist eigentlich nur die Ausführung eines Progammes möglich, Dateien mit diesem Programm in "Eigene Dateien" ablegen und 1-2 Internetseiten sind auch offen. Deswegen meine Frage, ob es dennoch gefährlich ist, alle User der Gruppe "Domänen-Admin" zuzuordnen?
Zitat von @meinereiner:
>Gibt es
> etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Vor allem solltest du ein gutes Backup von allen Servern haben!!!
>Gibt es
> etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Vor allem solltest du ein gutes Backup von allen Servern haben!!!
Habe per GPO so ziemlich alles untersagt. Ordnerzugriffe, Rechtsklick etc. Es ist eigentlich nur die Ausführung eines Progammes möglich, Dateien mit diesem Programm in "Eigene Dateien" ablegen und 1-2 Internetseiten sind auch offen. Deswegen meine Frage, ob es dennoch gefährlich ist, alle User der Gruppe "Domänen-Admin" zuzuordnen?
Mittels GPO kann man ziemlich Rechte sehr präzise vergeben. Wenn du dort alles richtig einstellst, dann geht das auch ohne Domänen-Admin.
Kurzantwort auf deine Frage: Ja, es ist ziemlich gefährlich alle User in die Gruppe Domänen Admin einzutragen. Dieser Eintrag ist nämlich nicht auf einen einzelnen Rechner beschränkt sonder gilt Domänenweit, d.h. auf ALLEN Rechnern in der Domäne.
Kurzantwort auf deine Frage: Ja, es ist ziemlich gefährlich alle User in die Gruppe Domänen Admin einzutragen. Dieser Eintrag ist nämlich nicht auf einen einzelnen Rechner beschränkt sonder gilt Domänenweit, d.h. auf ALLEN Rechnern in der Domäne.
Aber wenn ich sowieso alles per GPO verboten habe, was kann der User denn dann als Domänen-Admin noch böses anstellen? Ich bekomme es nämlich partout nicht auf die Kette, dass man sich ohne die Domänen-Admin-Mitgliedschaft via RDP anmelden kann...
Alle User sind Mitglied der Gruppe "Remotedesktopbenutzer" und unter System > Remote auch zu sehen. Dennoch kann ich
mich nur als Domänen-Admin per RDP anmelden.
mich nur als Domänen-Admin per RDP anmelden.
Was für eine Fehlermedlung kommt?
Auf was für ein System versuchen sie sich zu verbinden?
BTW: Auf einem DC brauchen sie noch das Rechtz zur lokalen Anmeldung.
Habe per GPO so ziemlich alles untersagt. Ordnerzugriffe, Rechtsklick etc. Es ist eigentlich nur die Ausführung eines
Progammes möglich, Dateien mit diesem Programm in "Eigene Dateien" ablegen und 1-2 Internetseiten sind auch offen.
Deswegen meine Frage, ob es dennoch gefährlich ist, alle User der Gruppe "Domänen-Admin" zuzuordnen?
Progammes möglich, Dateien mit diesem Programm in "Eigene Dateien" ablegen und 1-2 Internetseiten sind auch offen.
Deswegen meine Frage, ob es dennoch gefährlich ist, alle User der Gruppe "Domänen-Admin" zuzuordnen?
Domänen Admins sind per Standard Admin auf JEDEM Server und PC der Domäne.
Server lassen sich auch Remote administrieren!
Lass diesen Unsinn bloss sein!!
selbst wenn du das irgendwie hinbekommst wirst du dein Leben nicht mehr froh wenn du so eine verbogene Umgebung administrieren willst.
Von einem anderen als dir will ich gar nicht reden.
Danke erstmal für die schnellen Antworten. Bin auf dem Gebiet leider noch absoluter Neuling...
Habe zwei virtuelle Server 2003 R2 SP2. Auf dem ersten habe ich die AD eingerichtet. Dort kann ich mich mit allen angelegten Usern anmelden. Lokal und an der Domäne. Dann habe ich den zweiten als Client in die Domäne gehoben. Dort kann ich mich wie gesagt nur noch anmelden, wenn der User auch Mitglied in "Domänen-Admin" ist.
Habe zwei virtuelle Server 2003 R2 SP2. Auf dem ersten habe ich die AD eingerichtet. Dort kann ich mich mit allen angelegten Usern anmelden. Lokal und an der Domäne. Dann habe ich den zweiten als Client in die Domäne gehoben. Dort kann ich mich wie gesagt nur noch anmelden, wenn der User auch Mitglied in "Domänen-Admin" ist.
Hast du schon mal nachgeschaut, welcher Fehler bei den Login Versuchen im EventtViewerr aufgezeichnet wird?
Auf Windows 2003 kann sich natürlich nur ein Admin per Remote Desktop anmelden, ausser du installierst den Terminal Server. Bisher war hier nur von Windows XP die Rede.
Auf Windows 2003 kann sich natürlich nur ein Admin per Remote Desktop anmelden, ausser du installierst den Terminal Server. Bisher war hier nur von Windows XP die Rede.
Alles klar! Das bedeutet ja, dass es in meinem Fall wirklich nicht anders geht. Gut! Dachte schon, ich sei vollkommen bescheuert!
Habe zwei virtuelle Server 2003 R2 SP2. Auf dem ersten habe ich die AD eingerichtet. Dort kann ich mich mit allen angelegten Usern
anmelden. Lokal und an der Domäne.
anmelden. Lokal und an der Domäne.
Das sollte gar nicht gehen. An einem DC darf sich ein normaler User nicht anmelden. Das wird in der Domain Controller Policy verboten.
Dann habe ich den zweiten als Client in die Domäne gehoben. Dort kann ich mich wie
gesagt nur noch anmelden, wenn der User auch Mitglied in "Domänen-Admin" ist.
gesagt nur noch anmelden, wenn der User auch Mitglied in "Domänen-Admin" ist.
unter Verwaltung die TerminaldiesnsteKonfiguration aufmachen. ..Doppelklick auf RDP-TCP..Karteikarte Berechtigung..
Füge da mal einen Benutzer hinzu und probier es dann mit dem.
Was für eine Fehlermeldung kommt wenns nicht klappt?
Gleiche Meldung wie zuvor: Sie müssen über die Berechtigung "Anmeldung über Terminaldienste zulassen".
Dann geh mal in die lokalen Richtinien des Servers.
Computerkonfiguration-Win. Einstellungen - Lokale Richtlinie - Zuweisen von Benutzerrechten.
Da gibt es die Richtlinie: Anmelden über Terminaldienste zulassen.
Was steht da drin?
Zum Test: Füge dort mal den Benutzer ein.
Check auch die gegenteilig Richtline: Anmelden über Terminaldienste verweigern.
Die darf für deine User nicht wirken.
Computerkonfiguration-Win. Einstellungen - Lokale Richtlinie - Zuweisen von Benutzerrechten.
Da gibt es die Richtlinie: Anmelden über Terminaldienste zulassen.
Was steht da drin?
Zum Test: Füge dort mal den Benutzer ein.
Check auch die gegenteilig Richtline: Anmelden über Terminaldienste verweigern.
Die darf für deine User nicht wirken.
Um es nochmal klar zu machen. Windows 2003 lässt ohne installiertem Terminal Server nur Administratoren per Remote Desktop zu.
Hier ist das beschrieben:
KB814590
Hier ist das beschrieben:
KB814590
Um es nochmal klar zu machen. Windows 2003 lässt ohne installiertem Terminal Server nur Administratoren per Remote
Desktop zu.
Hier ist das beschrieben:
KB814590
Desktop zu.
Hier ist das beschrieben:
KB814590
Das bezieht sich auf die Konsolen Sitzung. Dort muss man Admin Rechte haben.
Eine "normale" Session kann ein normalerDomänen User aufbauen.
Das habe ich x fach eingerichtet und sogar eben noch probiert.
guckst du auch hier: 2003 Server Remote Desktop Berechtigungen für Domänen Benutzer
Tja, dann weiss wohl Microsoft selbst nicht, was ihre Produkte können.
You do not have to have a Terminal Server Client Access License to use Remote Desktop for Administration. However, only members of the Administrators group can gain access to the server.
Tja, dann weiss wohl Microsoft selbst nicht, was ihre Produkte können.
Oder sie haben sich schlecht ausgedrückt.
Hierfür stimmt es:
Additionally, an administrator can also remotely connect to the real console of a server by using the -console command
Dann kommt aber eine andere Fehlermeldung, die auch sagt das man Administrator sein muss.
Es könnte auch sein, dass sie die default Einstellung meinen.
Möchte ungern einen neuen Thread eröffnen: Kann ich irgendwo alle Sitzungen verwalten? Da wir zwei Server gemietet haben, stehen uns ja insgesamt 4 RDP-Sitzungen zur Verfügung. Wenn sich da nun jemand nicht ordentlich abmeldet, möchte ich als Admin diese Sitzung beenden. In der Terminaldienstverwaltung kann ich das nur je Server machen.
Aus Erfahrung kann ich dir sagen, dass du damit noch deinen Spass haben wirst.
In der Terminaldienstverwaltung gibt es ein Menüeintrag "Connect to Computer ..." (weiss nicht wie es auf Deutsch heisst).
In der Terminaldienstverwaltung gibt es ein Menüeintrag "Connect to Computer ..." (weiss nicht wie es auf Deutsch heisst).
Du machst mir ja Hoffnung!
"Der Server wurde nicht gefunden." Verdammt. Nagut. Da habe ich also noch etwas Sucharbeit vor mir. Trotzdem besten Dank für die bisherigen Infos!
"Der Server wurde nicht gefunden." Verdammt. Nagut. Da habe ich also noch etwas Sucharbeit vor mir. Trotzdem besten Dank für die bisherigen Infos!
