Remotedesktopverbindung als nicht-Admin in der Domäne möglich?
hatte diese frage bereits innerhalb eines fremden threads gestellt, aber diese sind entweder zu alt und liest niemand mehr, oder man muss einen eigenen erstellen ... jeeedenfalls:
hallo liebe leute,
mich plagt folgendes problem:
habe eine domäne in betrieb (dc: w2k3 sbs; clients: winxp pro) wobei 2 benutzer (am wochende etwa) vom heimarbeitsplatz per remotedesktopverbindung auf deren unternehmensarbeitsplatz (nicht auf den server) zugreifen und arbeiten sollen.
das funktioniert aber nur, wenn diese benutzer mitglied des domänen-admins sind !?! 'türlich ist das nicht haltbar.
was muss ich wo wie einstellen, damit diese nicht als domänen-admins durchs netz taumeln? (mitgliedschaft in remotedesktop-benutzer hatte keine auswirkung ...)
pptp-vpn steht zwischen pc (heimarbeitsplatz) und router (bintec access25)
mbg
hallo liebe leute,
mich plagt folgendes problem:
habe eine domäne in betrieb (dc: w2k3 sbs; clients: winxp pro) wobei 2 benutzer (am wochende etwa) vom heimarbeitsplatz per remotedesktopverbindung auf deren unternehmensarbeitsplatz (nicht auf den server) zugreifen und arbeiten sollen.
das funktioniert aber nur, wenn diese benutzer mitglied des domänen-admins sind !?! 'türlich ist das nicht haltbar.
was muss ich wo wie einstellen, damit diese nicht als domänen-admins durchs netz taumeln? (mitgliedschaft in remotedesktop-benutzer hatte keine auswirkung ...)
pptp-vpn steht zwischen pc (heimarbeitsplatz) und router (bintec access25)
mbg
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 27741
Url: https://administrator.de/forum/remotedesktopverbindung-als-nicht-admin-in-der-domaene-moeglich-27741.html
Ausgedruckt am: 28.12.2024 um 01:12 Uhr
43 Kommentare
Neuester Kommentar
Via "Control Panel" auf "System", dort den Reiter "Remote" auswaehlen.
Bei "Remote Desktop" kannst du unter "Select Remote Users ..." die Benutzer eintragen, die sich per RDP anmelden duerfen. Das muessen auch keine Admins sein. Allerdings gehen nur 2 Sessions gleichzeitig, ansonsten muss "Terminal Server" lizensiert werden.
Achtung, immer sauber "Disconnecten" sonst sind die beiden Sessions nutzlos verbraucht.
Bei "Remote Desktop" kannst du unter "Select Remote Users ..." die Benutzer eintragen, die sich per RDP anmelden duerfen. Das muessen auch keine Admins sein. Allerdings gehen nur 2 Sessions gleichzeitig, ansonsten muss "Terminal Server" lizensiert werden.
Achtung, immer sauber "Disconnecten" sonst sind die beiden Sessions nutzlos verbraucht.
@ meinereiner:
vom heim-pc (xp pro) zuhause, zugriff auf
client (xp pro) im unternehmen
vom heim-pc (xp pro) zuhause, zugriff auf
client (xp pro) im unternehmen
Das sollte Problemlos gehen. Du musst nur auf dem XP Rechner die passenden Rechte haben. So ad hoc würde ich sagen, so wie du es eingerichtet hast passt es. Deswegen habe ich nach der Fehlermeldung gefragt.
Kann es sein das eine Richtlinie in der Firma den zugriff verweigert?
Mal ein frage eines unwissenden. Wenn ich mich in einem Firmen Netzwerk einwählen und mich mit einem Client verbinden will läuft das nicht so oder so über einen Server? Und währe es nicht genau das was ein Hacker versuchen würde sich auf einen Client zu verbinden um das ganze System zu übernehmen. Mit Server-Client verbindungen habe ich noch nicht so die Ahnung des wegen diese Fragen.
Mal ein frage eines unwissenden. Wenn ich
mich in einem Firmen Netzwerk einwählen
und mich mit einem Client verbinden will
läuft das nicht so oder so über
einen Server?
mich in einem Firmen Netzwerk einwählen
und mich mit einem Client verbinden will
läuft das nicht so oder so über
einen Server?
Nicht unbedingt. Man kann sich auch über ISDN oder VPN auf einen Router einwählen. Auf einen richtigen Server würde ich persönlich es nicht machen. Es sei denn er spielt selbst auch Firewall.
Und währe es nicht genau
das was ein Hacker versuchen würde sich
auf einen Client zu verbinden um das ganze
System zu übernehmen.
das was ein Hacker versuchen würde sich
auf einen Client zu verbinden um das ganze
System zu übernehmen.
Ja, aber dazu müsste er ja erst ins Netz kommen. In einem Firmennetzwerk würde ich es als hochgradig leichtsinnig ansehen einen Client zum Internet hin auf zu machen.
Mit Server-Client
verbindungen habe ich noch nicht so die
Ahnung des wegen diese Fragen.
verbindungen habe ich noch nicht so die
Ahnung des wegen diese Fragen.
Zum Fragen ist das Forum ja da.
Ich habs gerade ausprobiert und es hat
funktioniert.
Vielleicht hat er sich nicht praezise
ausgedrueckt.
funktioniert.
Vielleicht hat er sich nicht praezise
ausgedrueckt.
Oder das Problem liegt wo anders.
User die ich in die Gruppe
..reingeschrieben habe, konnten sich per RDP
verbinden.
verbinden.
Das funktioniert aber nur, weil der Gruppe in den Richtlinien die Rechte dafür zugeteilt wurden. Wenn die z.B. durch eine Richtlinie verbogen sind, haut es nicht mehr hin.
Dabei ist es auch nicht so weit hergeholt, dass man in einer Firma so eine Richtlinie erstellt.
Edit: Wenn wirklich nur Domänen Admins drauf kommen, dann spricht das auch für die Überlegung mit der Richtlinie, denn eigentlich haben auch lokale Admins Zugriff auf den Remotedesktop
Sehe ich das richtig, dass sich wirklich nur Mitglieder der Gruppe Domänen-Admin per RDP anmelden können??
Nein, hier wird doch auch das Gegenteil beschrieben.Gibt es
etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Vor allem solltest du ein gutes Backup von allen Servern haben!!! etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Alle User sind Mitglied der Gruppe "Remotedesktopbenutzer" und unter System > Remote auch zu sehen. Dennoch kann ich mich nur als Domänen-Admin per RDP anmelden.
Habe per GPO so ziemlich alles untersagt. Ordnerzugriffe, Rechtsklick etc. Es ist eigentlich nur die Ausführung eines Progammes möglich, Dateien mit diesem Programm in "Eigene Dateien" ablegen und 1-2 Internetseiten sind auch offen. Deswegen meine Frage, ob es dennoch gefährlich ist, alle User der Gruppe "Domänen-Admin" zuzuordnen?
Zitat von @meinereiner:
>Gibt es
> etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Vor allem solltest du ein gutes Backup von allen Servern haben!!!
>Gibt es
> etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Vor allem solltest du ein gutes Backup von allen Servern haben!!!
Habe per GPO so ziemlich alles untersagt. Ordnerzugriffe, Rechtsklick etc. Es ist eigentlich nur die Ausführung eines Progammes möglich, Dateien mit diesem Programm in "Eigene Dateien" ablegen und 1-2 Internetseiten sind auch offen. Deswegen meine Frage, ob es dennoch gefährlich ist, alle User der Gruppe "Domänen-Admin" zuzuordnen?
Mittels GPO kann man ziemlich Rechte sehr präzise vergeben. Wenn du dort alles richtig einstellst, dann geht das auch ohne Domänen-Admin.
Kurzantwort auf deine Frage: Ja, es ist ziemlich gefährlich alle User in die Gruppe Domänen Admin einzutragen. Dieser Eintrag ist nämlich nicht auf einen einzelnen Rechner beschränkt sonder gilt Domänenweit, d.h. auf ALLEN Rechnern in der Domäne.
Kurzantwort auf deine Frage: Ja, es ist ziemlich gefährlich alle User in die Gruppe Domänen Admin einzutragen. Dieser Eintrag ist nämlich nicht auf einen einzelnen Rechner beschränkt sonder gilt Domänenweit, d.h. auf ALLEN Rechnern in der Domäne.
Alle User sind Mitglied der Gruppe "Remotedesktopbenutzer" und unter System > Remote auch zu sehen. Dennoch kann ich
mich nur als Domänen-Admin per RDP anmelden.
mich nur als Domänen-Admin per RDP anmelden.
Was für eine Fehlermedlung kommt?
Auf was für ein System versuchen sie sich zu verbinden?
BTW: Auf einem DC brauchen sie noch das Rechtz zur lokalen Anmeldung.
Habe per GPO so ziemlich alles untersagt. Ordnerzugriffe, Rechtsklick etc. Es ist eigentlich nur die Ausführung eines
Progammes möglich, Dateien mit diesem Programm in "Eigene Dateien" ablegen und 1-2 Internetseiten sind auch offen.
Deswegen meine Frage, ob es dennoch gefährlich ist, alle User der Gruppe "Domänen-Admin" zuzuordnen?
Progammes möglich, Dateien mit diesem Programm in "Eigene Dateien" ablegen und 1-2 Internetseiten sind auch offen.
Deswegen meine Frage, ob es dennoch gefährlich ist, alle User der Gruppe "Domänen-Admin" zuzuordnen?
Domänen Admins sind per Standard Admin auf JEDEM Server und PC der Domäne.
Server lassen sich auch Remote administrieren!
Lass diesen Unsinn bloss sein!!
selbst wenn du das irgendwie hinbekommst wirst du dein Leben nicht mehr froh wenn du so eine verbogene Umgebung administrieren willst.
Von einem anderen als dir will ich gar nicht reden.
Danke erstmal für die schnellen Antworten. Bin auf dem Gebiet leider noch absoluter Neuling...
Habe zwei virtuelle Server 2003 R2 SP2. Auf dem ersten habe ich die AD eingerichtet. Dort kann ich mich mit allen angelegten Usern anmelden. Lokal und an der Domäne. Dann habe ich den zweiten als Client in die Domäne gehoben. Dort kann ich mich wie gesagt nur noch anmelden, wenn der User auch Mitglied in "Domänen-Admin" ist.
Habe zwei virtuelle Server 2003 R2 SP2. Auf dem ersten habe ich die AD eingerichtet. Dort kann ich mich mit allen angelegten Usern anmelden. Lokal und an der Domäne. Dann habe ich den zweiten als Client in die Domäne gehoben. Dort kann ich mich wie gesagt nur noch anmelden, wenn der User auch Mitglied in "Domänen-Admin" ist.
Habe zwei virtuelle Server 2003 R2 SP2. Auf dem ersten habe ich die AD eingerichtet. Dort kann ich mich mit allen angelegten Usern
anmelden. Lokal und an der Domäne.
anmelden. Lokal und an der Domäne.
Das sollte gar nicht gehen. An einem DC darf sich ein normaler User nicht anmelden. Das wird in der Domain Controller Policy verboten.
Dann habe ich den zweiten als Client in die Domäne gehoben. Dort kann ich mich wie
gesagt nur noch anmelden, wenn der User auch Mitglied in "Domänen-Admin" ist.
gesagt nur noch anmelden, wenn der User auch Mitglied in "Domänen-Admin" ist.
unter Verwaltung die TerminaldiesnsteKonfiguration aufmachen. ..Doppelklick auf RDP-TCP..Karteikarte Berechtigung..
Füge da mal einen Benutzer hinzu und probier es dann mit dem.
Was für eine Fehlermeldung kommt wenns nicht klappt?
Dann geh mal in die lokalen Richtinien des Servers.
Computerkonfiguration-Win. Einstellungen - Lokale Richtlinie - Zuweisen von Benutzerrechten.
Da gibt es die Richtlinie: Anmelden über Terminaldienste zulassen.
Was steht da drin?
Zum Test: Füge dort mal den Benutzer ein.
Check auch die gegenteilig Richtline: Anmelden über Terminaldienste verweigern.
Die darf für deine User nicht wirken.
Computerkonfiguration-Win. Einstellungen - Lokale Richtlinie - Zuweisen von Benutzerrechten.
Da gibt es die Richtlinie: Anmelden über Terminaldienste zulassen.
Was steht da drin?
Zum Test: Füge dort mal den Benutzer ein.
Check auch die gegenteilig Richtline: Anmelden über Terminaldienste verweigern.
Die darf für deine User nicht wirken.
Um es nochmal klar zu machen. Windows 2003 lässt ohne installiertem Terminal Server nur Administratoren per Remote Desktop zu.
Hier ist das beschrieben:
KB814590
Hier ist das beschrieben:
KB814590
Um es nochmal klar zu machen. Windows 2003 lässt ohne installiertem Terminal Server nur Administratoren per Remote
Desktop zu.
Hier ist das beschrieben:
KB814590
Desktop zu.
Hier ist das beschrieben:
KB814590
Das bezieht sich auf die Konsolen Sitzung. Dort muss man Admin Rechte haben.
Eine "normale" Session kann ein normalerDomänen User aufbauen.
Das habe ich x fach eingerichtet und sogar eben noch probiert.
guckst du auch hier: 2003 Server Remote Desktop Berechtigungen für Domänen Benutzer
Tja, dann weiss wohl Microsoft selbst nicht, was ihre Produkte können.
Oder sie haben sich schlecht ausgedrückt.
Hierfür stimmt es:
Additionally, an administrator can also remotely connect to the real console of a server by using the -console command
Dann kommt aber eine andere Fehlermeldung, die auch sagt das man Administrator sein muss.
Es könnte auch sein, dass sie die default Einstellung meinen.
Möchte ungern einen neuen Thread eröffnen: Kann ich irgendwo alle Sitzungen verwalten? Da wir zwei Server gemietet haben, stehen uns ja insgesamt 4 RDP-Sitzungen zur Verfügung. Wenn sich da nun jemand nicht ordentlich abmeldet, möchte ich als Admin diese Sitzung beenden. In der Terminaldienstverwaltung kann ich das nur je Server machen.