neo-mnemonic
Goto Top

Remotedesktopverbindung als nicht-Admin in der Domäne möglich?

hatte diese frage bereits innerhalb eines fremden threads gestellt, aber diese sind entweder zu alt und liest niemand mehr, oder man muss einen eigenen erstellen ... jeeedenfalls:

hallo liebe leute,

mich plagt folgendes problem:
habe eine domäne in betrieb (dc: w2k3 sbs; clients: winxp pro) wobei 2 benutzer (am wochende etwa) vom heimarbeitsplatz per remotedesktopverbindung auf deren unternehmensarbeitsplatz (nicht auf den server) zugreifen und arbeiten sollen.
das funktioniert aber nur, wenn diese benutzer mitglied des domänen-admins sind !?! 'türlich ist das nicht haltbar.
was muss ich wo wie einstellen, damit diese nicht als domänen-admins durchs netz taumeln? (mitgliedschaft in remotedesktop-benutzer hatte keine auswirkung ...)
pptp-vpn steht zwischen pc (heimarbeitsplatz) und router (bintec access25)

mbg

Content-ID: 27741

Url: https://administrator.de/forum/remotedesktopverbindung-als-nicht-admin-in-der-domaene-moeglich-27741.html

Ausgedruckt am: 28.12.2024 um 01:12 Uhr

meinereiner
meinereiner 08.03.2006 um 22:29:41 Uhr
Goto Top
Das geht auch so.
Was für eine Fehlermeldung kommt denn wenn sie es als normale User versuchen?
ITwissen
ITwissen 08.03.2006 um 22:50:16 Uhr
Goto Top
Via "Control Panel" auf "System", dort den Reiter "Remote" auswaehlen.

Bei "Remote Desktop" kannst du unter "Select Remote Users ..." die Benutzer eintragen, die sich per RDP anmelden duerfen. Das muessen auch keine Admins sein. Allerdings gehen nur 2 Sessions gleichzeitig, ansonsten muss "Terminal Server" lizensiert werden.

Achtung, immer sauber "Disconnecten" sonst sind die beiden Sessions nutzlos verbraucht.
RobertTischler
RobertTischler 08.03.2006 um 22:52:03 Uhr
Goto Top
Hallo

Kann es sein das du den Terminal Server nur im RemoteAdmin Service Installiert hast zu mindestens bei Win 2k war das so. Man musste den Terminal Server im Anwender Modus installieren mit allen Lizenzen um sich als normaler Benutzer per Remote ins System zu kommen.

MFG
neo-mnemonic
neo-mnemonic 08.03.2006 um 22:53:44 Uhr
Goto Top
... kann ich nicht mit sicherheit sagen - mom, werde es mal eben testen ...
meinereiner
meinereiner 08.03.2006 um 22:56:45 Uhr
Goto Top
Hmm, verstehe ich da grad was falsch?

Die user sollen "auf deren unternehmensarbeitsplatz (nicht auf den server)" zugreifen und die "clients: winxp pro"...
ITwissen
ITwissen 08.03.2006 um 22:58:49 Uhr
Goto Top
Bis auf das mit den zwei Sessions geht das auch mit XP. XP hat nur eine Session.
neo-mnemonic
neo-mnemonic 08.03.2006 um 23:01:48 Uhr
Goto Top
@ meinereiner:
vom heim-pc (xp pro) zuhause, zugriff auf client (xp pro) im unternehmen.
jeder benutzer auf sein eigenes system.
meinereiner
meinereiner 08.03.2006 um 23:02:27 Uhr
Goto Top
Bis auf das mit den zwei Sessions geht das
auch mit XP. XP hat nur eine Session.

Pack mal in die Gruppe der Remotedesktopuser einen Benutzer rein und dann schau mal da nach wo du es beschrieben hast.
neo-mnemonic
neo-mnemonic 08.03.2006 um 23:05:28 Uhr
Goto Top
@RobertTischler
... kein Terminal Server ...
meinereiner
meinereiner 08.03.2006 um 23:06:34 Uhr
Goto Top
@ meinereiner:
vom heim-pc (xp pro) zuhause, zugriff auf
client (xp pro) im unternehmen

Das sollte Problemlos gehen. Du musst nur auf dem XP Rechner die passenden Rechte haben. So ad hoc würde ich sagen, so wie du es eingerichtet hast passt es. Deswegen habe ich nach der Fehlermeldung gefragt.

Kann es sein das eine Richtlinie in der Firma den zugriff verweigert?
ITwissen
ITwissen 08.03.2006 um 23:07:10 Uhr
Goto Top
Ist exakt das gleiche.
neo-mnemonic
neo-mnemonic 08.03.2006 um 23:07:50 Uhr
Goto Top
@ITwissen
... zugriff auf client, nicht auf server ...
neo-mnemonic
neo-mnemonic 08.03.2006 um 23:10:23 Uhr
Goto Top
> @ meinereiner:
> vom heim-pc (xp pro) zuhause, zugriff
auf
> client (xp pro) im unternehmen

Das sollte Problemlos gehen. Du musst nur
auf dem XP Rechner die passenden Rechte
haben. So ad hoc würde ich sagen, so
wie du es eingerichtet hast passt es.
Deswegen habe ich nach der Fehlermeldung
gefragt.

Kann es sein das eine Richtlinie in der
Firma den zugriff verweigert?

hmhh ... halte ich für möglich, werde das morgen mal prüfen ...
meinereiner
meinereiner 08.03.2006 um 23:17:07 Uhr
Goto Top
> hmhh ... halte ich für
möglich, werde das morgen mal
prüfen ...


Oki, melde ich halt ggf nochmal face-smile
ITwissen
ITwissen 08.03.2006 um 23:20:24 Uhr
Goto Top
Wie gesagt, das gleiche wie auf dem Server funktioniert auch auf den Clients. Den User in die Remotedesktopuser Gruppe eintragen, wie meinereiner gesagt hat. Oder ueber "System", "Remote" , ... wie ich es vorher beschrieben habe.

Oder via cmd:
net group remotedesktopuser username /add
meinereiner
meinereiner 08.03.2006 um 23:36:06 Uhr
Goto Top
Wie gesagt, das gleiche wie auf dem Server
...
net group remotedesktopuser username /add


Zitat: (mitgliedschaft in remotedesktop-benutzer hatte keine auswirkung ...)

Sorry, aber mehr als den Titel hast du wohl nicht gelesen?!
RobertTischler
RobertTischler 09.03.2006 um 00:05:36 Uhr
Goto Top
Mal ein frage eines unwissenden. Wenn ich mich in einem Firmen Netzwerk einwählen und mich mit einem Client verbinden will läuft das nicht so oder so über einen Server? Und währe es nicht genau das was ein Hacker versuchen würde sich auf einen Client zu verbinden um das ganze System zu übernehmen. Mit Server-Client verbindungen habe ich noch nicht so die Ahnung des wegen diese Fragen.
ITwissen
ITwissen 09.03.2006 um 00:05:49 Uhr
Goto Top
Ich habs gerade ausprobiert und es hat funktioniert.
Vielleicht hat er sich nicht praezise ausgedrueckt.

User die ich in die Gruppe "Remotedesktopusers" eintrage sehe ich in "System", "Remote", ... und alle die ich da reingeschrieben habe, konnten sich per RDP verbinden.
meinereiner
meinereiner 09.03.2006 um 00:17:21 Uhr
Goto Top
Mal ein frage eines unwissenden. Wenn ich
mich in einem Firmen Netzwerk einwählen
und mich mit einem Client verbinden will
läuft das nicht so oder so über
einen Server?

Nicht unbedingt. Man kann sich auch über ISDN oder VPN auf einen Router einwählen. Auf einen richtigen Server würde ich persönlich es nicht machen. Es sei denn er spielt selbst auch Firewall.


Und währe es nicht genau
das was ein Hacker versuchen würde sich
auf einen Client zu verbinden um das ganze
System zu übernehmen.

Ja, aber dazu müsste er ja erst ins Netz kommen. In einem Firmennetzwerk würde ich es als hochgradig leichtsinnig ansehen einen Client zum Internet hin auf zu machen.


Mit Server-Client
verbindungen habe ich noch nicht so die
Ahnung des wegen diese Fragen.

Zum Fragen ist das Forum ja da. face-smile
meinereiner
meinereiner 09.03.2006 um 00:23:33 Uhr
Goto Top
Ich habs gerade ausprobiert und es hat
funktioniert.
Vielleicht hat er sich nicht praezise
ausgedrueckt.

Oder das Problem liegt wo anders.


User die ich in die Gruppe
..
reingeschrieben habe, konnten sich per RDP
verbinden.

Das funktioniert aber nur, weil der Gruppe in den Richtlinien die Rechte dafür zugeteilt wurden. Wenn die z.B. durch eine Richtlinie verbogen sind, haut es nicht mehr hin.
Dabei ist es auch nicht so weit hergeholt, dass man in einer Firma so eine Richtlinie erstellt.


Edit: Wenn wirklich nur Domänen Admins drauf kommen, dann spricht das auch für die Überlegung mit der Richtlinie, denn eigentlich haben auch lokale Admins Zugriff auf den Remotedesktop
ITwissen
ITwissen 09.03.2006 um 00:38:04 Uhr
Goto Top
Da hast du recht.

Bin ja noch neu hier. Vielleicht kann man mir das in diesem Fall nochmal verzeihen, wenn ich Besserung gelobe. face-smile
meinereiner
meinereiner 09.03.2006 um 08:01:29 Uhr
Goto Top
Bin ja noch neu hier. Vielleicht kann man
mir das in diesem Fall nochmal verzeihen,
wenn ich Besserung gelobe. face-smile

Aber sicher doch.. face-smile face-big-smile
neo-mnemonic
neo-mnemonic 10.03.2006 um 13:20:43 Uhr
Goto Top
... stimmt, als lokaler admin ist die verbindung auch nicht möglich - nor als dom-admin.

ich muß die prüfung und umsetzung der vorschläge auf mitte nächster woche verschieben, da dann der urlaub eines inhabers beginnt. bis dahin wird die derzeitige konstellation unter vollast genutzt ...
neo-mnemonic
neo-mnemonic 10.03.2006 um 13:23:24 Uhr
Goto Top
...vielen dank für eure wirklich rege teilnahme!!


mit bestem gruß
neo_mnemonic
Heisenberg.
Heisenberg. 04.08.2010 um 11:01:08 Uhr
Goto Top
Entschuldigt das Ausbuddeln dieser Leiche:

Sehe ich das richtig, dass sich wirklich nur Mitglieder der Gruppe Domänen-Admin per RDP anmelden können?? Gibt es etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
meinereiner
meinereiner 04.08.2010 um 11:08:36 Uhr
Goto Top
Sehe ich das richtig, dass sich wirklich nur Mitglieder der Gruppe Domänen-Admin per RDP anmelden können??
Nein, hier wird doch auch das Gegenteil beschrieben.


Gibt es
etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Vor allem solltest du ein gutes Backup von allen Servern haben!!! face-wink
Heisenberg.
Heisenberg. 04.08.2010 um 11:18:46 Uhr
Goto Top
Alle User sind Mitglied der Gruppe "Remotedesktopbenutzer" und unter System > Remote auch zu sehen. Dennoch kann ich mich nur als Domänen-Admin per RDP anmelden.

Zitat von @meinereiner:
>Gibt es
> etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Vor allem solltest du ein gutes Backup von allen Servern haben!!! face-wink

Habe per GPO so ziemlich alles untersagt. Ordnerzugriffe, Rechtsklick etc. Es ist eigentlich nur die Ausführung eines Progammes möglich, Dateien mit diesem Programm in "Eigene Dateien" ablegen und 1-2 Internetseiten sind auch offen. Deswegen meine Frage, ob es dennoch gefährlich ist, alle User der Gruppe "Domänen-Admin" zuzuordnen?
ITwissen
ITwissen 04.08.2010 um 11:28:31 Uhr
Goto Top
Mittels GPO kann man ziemlich Rechte sehr präzise vergeben. Wenn du dort alles richtig einstellst, dann geht das auch ohne Domänen-Admin.

Kurzantwort auf deine Frage: Ja, es ist ziemlich gefährlich alle User in die Gruppe Domänen Admin einzutragen. Dieser Eintrag ist nämlich nicht auf einen einzelnen Rechner beschränkt sonder gilt Domänenweit, d.h. auf ALLEN Rechnern in der Domäne.
Heisenberg.
Heisenberg. 04.08.2010 um 11:32:59 Uhr
Goto Top
Aber wenn ich sowieso alles per GPO verboten habe, was kann der User denn dann als Domänen-Admin noch böses anstellen? Ich bekomme es nämlich partout nicht auf die Kette, dass man sich ohne die Domänen-Admin-Mitgliedschaft via RDP anmelden kann...
meinereiner
meinereiner 04.08.2010 um 11:35:47 Uhr
Goto Top
Alle User sind Mitglied der Gruppe "Remotedesktopbenutzer" und unter System > Remote auch zu sehen. Dennoch kann ich
mich nur als Domänen-Admin per RDP anmelden.

Was für eine Fehlermedlung kommt?
Auf was für ein System versuchen sie sich zu verbinden?

BTW: Auf einem DC brauchen sie noch das Rechtz zur lokalen Anmeldung.

Habe per GPO so ziemlich alles untersagt. Ordnerzugriffe, Rechtsklick etc. Es ist eigentlich nur die Ausführung eines
Progammes möglich, Dateien mit diesem Programm in "Eigene Dateien" ablegen und 1-2 Internetseiten sind auch offen.
Deswegen meine Frage, ob es dennoch gefährlich ist, alle User der Gruppe "Domänen-Admin" zuzuordnen?

Domänen Admins sind per Standard Admin auf JEDEM Server und PC der Domäne.
Server lassen sich auch Remote administrieren!

Lass diesen Unsinn bloss sein!!
selbst wenn du das irgendwie hinbekommst wirst du dein Leben nicht mehr froh wenn du so eine verbogene Umgebung administrieren willst.
Von einem anderen als dir will ich gar nicht reden.
Heisenberg.
Heisenberg. 04.08.2010 um 11:56:35 Uhr
Goto Top
Danke erstmal für die schnellen Antworten. Bin auf dem Gebiet leider noch absoluter Neuling...

Habe zwei virtuelle Server 2003 R2 SP2. Auf dem ersten habe ich die AD eingerichtet. Dort kann ich mich mit allen angelegten Usern anmelden. Lokal und an der Domäne. Dann habe ich den zweiten als Client in die Domäne gehoben. Dort kann ich mich wie gesagt nur noch anmelden, wenn der User auch Mitglied in "Domänen-Admin" ist.
ITwissen
ITwissen 04.08.2010 um 12:08:16 Uhr
Goto Top
Hast du schon mal nachgeschaut, welcher Fehler bei den Login Versuchen im EventtViewerr aufgezeichnet wird?

Auf Windows 2003 kann sich natürlich nur ein Admin per Remote Desktop anmelden, ausser du installierst den Terminal Server. Bisher war hier nur von Windows XP die Rede.
Heisenberg.
Heisenberg. 04.08.2010 um 12:17:48 Uhr
Goto Top
Alles klar! Das bedeutet ja, dass es in meinem Fall wirklich nicht anders geht. Gut! Dachte schon, ich sei vollkommen bescheuert!
meinereiner
meinereiner 04.08.2010 um 12:26:57 Uhr
Goto Top
Habe zwei virtuelle Server 2003 R2 SP2. Auf dem ersten habe ich die AD eingerichtet. Dort kann ich mich mit allen angelegten Usern
anmelden. Lokal und an der Domäne.

Das sollte gar nicht gehen. An einem DC darf sich ein normaler User nicht anmelden. Das wird in der Domain Controller Policy verboten.


Dann habe ich den zweiten als Client in die Domäne gehoben. Dort kann ich mich wie
gesagt nur noch anmelden, wenn der User auch Mitglied in "Domänen-Admin" ist.

unter Verwaltung die TerminaldiesnsteKonfiguration aufmachen. ..Doppelklick auf RDP-TCP..Karteikarte Berechtigung..
Füge da mal einen Benutzer hinzu und probier es dann mit dem.

Was für eine Fehlermeldung kommt wenns nicht klappt?
Heisenberg.
Heisenberg. 04.08.2010 um 12:32:12 Uhr
Goto Top
Gleiche Meldung wie zuvor: Sie müssen über die Berechtigung "Anmeldung über Terminaldienste zulassen".
meinereiner
meinereiner 04.08.2010 um 13:37:39 Uhr
Goto Top
Dann geh mal in die lokalen Richtinien des Servers.

Computerkonfiguration-Win. Einstellungen - Lokale Richtlinie - Zuweisen von Benutzerrechten.

Da gibt es die Richtlinie: Anmelden über Terminaldienste zulassen.
Was steht da drin?
Zum Test: Füge dort mal den Benutzer ein.

Check auch die gegenteilig Richtline: Anmelden über Terminaldienste verweigern.
Die darf für deine User nicht wirken.
ITwissen
ITwissen 04.08.2010 um 13:50:07 Uhr
Goto Top
Um es nochmal klar zu machen. Windows 2003 lässt ohne installiertem Terminal Server nur Administratoren per Remote Desktop zu.

Hier ist das beschrieben:
KB814590
meinereiner
meinereiner 04.08.2010, aktualisiert am 18.10.2012 um 18:43:02 Uhr
Goto Top
Um es nochmal klar zu machen. Windows 2003 lässt ohne installiertem Terminal Server nur Administratoren per Remote
Desktop zu.

Hier ist das beschrieben:
KB814590


Das bezieht sich auf die Konsolen Sitzung. Dort muss man Admin Rechte haben.

Eine "normale" Session kann ein normalerDomänen User aufbauen.
Das habe ich x fach eingerichtet und sogar eben noch probiert.

guckst du auch hier: 2003 Server Remote Desktop Berechtigungen für Domänen Benutzer
ITwissen
ITwissen 04.08.2010 um 14:29:16 Uhr
Goto Top
Tja, dann weiss wohl Microsoft selbst nicht, was ihre Produkte können.


You do not have to have a Terminal Server Client Access License to use Remote Desktop for Administration. However, only members of the Administrators group can gain access to the server.
meinereiner
meinereiner 04.08.2010 um 14:39:24 Uhr
Goto Top
Tja, dann weiss wohl Microsoft selbst nicht, was ihre Produkte können.

Oder sie haben sich schlecht ausgedrückt.
Hierfür stimmt es:

Additionally, an administrator can also remotely connect to the real console of a server by using the -console command

Dann kommt aber eine andere Fehlermeldung, die auch sagt das man Administrator sein muss.


Es könnte auch sein, dass sie die default Einstellung meinen.
Heisenberg.
Heisenberg. 04.08.2010 um 14:54:06 Uhr
Goto Top
Möchte ungern einen neuen Thread eröffnen: Kann ich irgendwo alle Sitzungen verwalten? Da wir zwei Server gemietet haben, stehen uns ja insgesamt 4 RDP-Sitzungen zur Verfügung. Wenn sich da nun jemand nicht ordentlich abmeldet, möchte ich als Admin diese Sitzung beenden. In der Terminaldienstverwaltung kann ich das nur je Server machen.
ITwissen
ITwissen 04.08.2010 um 15:30:43 Uhr
Goto Top
Aus Erfahrung kann ich dir sagen, dass du damit noch deinen Spass haben wirst.

In der Terminaldienstverwaltung gibt es ein Menüeintrag "Connect to Computer ..." (weiss nicht wie es auf Deutsch heisst).
Heisenberg.
Heisenberg. 04.08.2010 um 15:36:51 Uhr
Goto Top
Du machst mir ja Hoffnung! face-wink

"Der Server wurde nicht gefunden." Verdammt. Nagut. Da habe ich also noch etwas Sucharbeit vor mir. Trotzdem besten Dank für die bisherigen Infos!