8
Remotesitzung auf einen AD Benutzer mit Benutzerrechten
Moin,
versuche mich auf PCs mit normalen Benutzerrechten per Remote draufzuschalten. Dies geht jedoch nur, wenn ich unter den Systemeigenschaften die Remoteverbindung aktiviere sowie meine erstelle Benutzergruppe hinzufüge.
Jedoch möchte ich diese Einstellungen in meinen AD GPOs festlegen. Welche Einträge muss hierfür im Gruppenrichtlinieneditor auf dem Domännecontroller festlegen?
Danke für die Hilfe
versuche mich auf PCs mit normalen Benutzerrechten per Remote draufzuschalten. Dies geht jedoch nur, wenn ich unter den Systemeigenschaften die Remoteverbindung aktiviere sowie meine erstelle Benutzergruppe hinzufüge.
Jedoch möchte ich diese Einstellungen in meinen AD GPOs festlegen. Welche Einträge muss hierfür im Gruppenrichtlinieneditor auf dem Domännecontroller festlegen?
Danke für die Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 145860
Url: https://administrator.de/contentid/145860
Printed on: April 23, 2024 at 12:04 o'clock
8 Comments
Latest comment
Das dürfte dir weiterhelfen:
http://www.ct-miramar.com/BlogEngine/post/Add-user-to-Remote-Desktop-Gr ...
http://www.ct-miramar.com/BlogEngine/post/Add-user-to-Remote-Desktop-Gr ...
Danke erst mal für die schnelle Antwort.
Leider kann ich dort nur Remote Desktop Benutzer hinzufügen jedoch keine User mit normalen Benutzerrechten. Ich habe stattdessen folgendes in der GPO probiert:
1. Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Anmelden über Terminaldienste zulassen für Domainname\REMOTE
In der selbst erstellten Gruppe REMOTE befindet sich mein User sowie der, des Client PCs.
2. Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Terminaldienste -> Remoteverbindungen für Benutzer mit Hilfe der Terminaldienste zulassen aktiviert.
Leider habe ich auch hier kein Erfolg. Ich muss nach wie vor am Client-PC selbst die Gruppe REMOTE über Systemeigenschaften unter Remotebenutzer auswählen hinzufügen, damit ich per Remote auf den Rechner komme (ansonsten Fehlermeldung: Die lokale Richtlinie erlaubt es ihnen nicht, sich interaktiv anzumelden)
Leider kann ich dort nur Remote Desktop Benutzer hinzufügen jedoch keine User mit normalen Benutzerrechten. Ich habe stattdessen folgendes in der GPO probiert:
1. Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Anmelden über Terminaldienste zulassen für Domainname\REMOTE
In der selbst erstellten Gruppe REMOTE befindet sich mein User sowie der, des Client PCs.
2. Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Terminaldienste -> Remoteverbindungen für Benutzer mit Hilfe der Terminaldienste zulassen aktiviert.
Leider habe ich auch hier kein Erfolg. Ich muss nach wie vor am Client-PC selbst die Gruppe REMOTE über Systemeigenschaften unter Remotebenutzer auswählen hinzufügen, damit ich per Remote auf den Rechner komme (ansonsten Fehlermeldung: Die lokale Richtlinie erlaubt es ihnen nicht, sich interaktiv anzumelden)
Zitat von @D33kay:
Danke erst mal für die schnelle Antwort.
Leider kann ich dort nur Remote Desktop Benutzer hinzufügen jedoch keine User mit normalen Benutzerrechten. Ich habe
stattdessen folgendes in der GPO probiert:
1. Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von
Benutzerrechten -> Anmelden über Terminaldienste zulassen für Domainname\REMOTE
In der selbst erstellten Gruppe REMOTE befindet sich mein User sowie der, des Client PCs.
Verstehe.Danke erst mal für die schnelle Antwort.
Leider kann ich dort nur Remote Desktop Benutzer hinzufügen jedoch keine User mit normalen Benutzerrechten. Ich habe
stattdessen folgendes in der GPO probiert:
1. Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von
Benutzerrechten -> Anmelden über Terminaldienste zulassen für Domainname\REMOTE
In der selbst erstellten Gruppe REMOTE befindet sich mein User sowie der, des Client PCs.
Das wäre dann mit einem Logon script möglich
Du möchtest also einen normalen AD Benutzer zu einer Lokalen Gruppe hinzufügen.
Das geht mit VBScript:
Einfach eine neue Datei (datei.vbs) erstellen und folgenden code einfügen.
Dim DomainName
DomainName = "DomainName"
Set objSysInfo = CreateObject("ADSystemInfo")
strUser = objSysInfo.UserName
Set objUser = GetObject("LDAP://" & strUser)
strUsername = objUser.sAMAccountName
Set net = WScript.CreateObject("WScript.Network")
local = net.ComputerName
set group = GetObject("WinNT://"& local &"/Remotedesktopbenutzer")
on error resume next
group.Add "WinNT://"& DomainName &"/"& strUsername &""
CheckError
sub CheckError
if not err.number=0 then
set ole = CreateObject("ole.err")
MsgBox ole.oleError(err.Number), vbCritical
err.clear
else
MsgBox "Done."
end if
end subhttp://www.enterpriseitplanet.com/resources/scripts_win/article.php/308 ...
Die Datei kannst du dann entweder direkt als logonscript ausführen, oder in dein bestehendes logonscript einbauen mit
wscript datei.vbs
Aber jetzt wo ich so nachdenke geht es natürlich auch viel leichter
NET LocalGroup "Remote Desktop Users" /ADD "domain\domain users"
Dann ist der Benutzer in der lokalen Gruppe RemoteDesktopBenutzer. Das Anmelden über die Terminaldienste müsste dann funktionieren
2. Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Terminaldienste -> Remoteverbindungen
für Benutzer mit Hilfe der Terminaldienste zulassen aktiviert.
Leider habe ich auch hier kein Erfolg. Ich muss nach wie vor am Client-PC selbst die Gruppe REMOTE über Systemeigenschaften
unter Remotebenutzer auswählen hinzufügen, damit ich per Remote auf den Rechner komme (ansonsten Fehlermeldung: Die
lokale Richtlinie erlaubt es ihnen nicht, sich interaktiv anzumelden)
für Benutzer mit Hilfe der Terminaldienste zulassen aktiviert.
Leider habe ich auch hier kein Erfolg. Ich muss nach wie vor am Client-PC selbst die Gruppe REMOTE über Systemeigenschaften
unter Remotebenutzer auswählen hinzufügen, damit ich per Remote auf den Rechner komme (ansonsten Fehlermeldung: Die
lokale Richtlinie erlaubt es ihnen nicht, sich interaktiv anzumelden)
Muss ich diese Einstellungen an jedem Client-PC manuell konfigurieren oder kann ich dies ebenso durch ein GPO auf dem DC regeln, dass die Remoterechte automatisch für jeden User, der sich an einem Client-PC anmeldet, aktiv sind?
Ich würde sonst händisch an jedem Client-PC meine Benutzergruppe Domainname\REMOTE hinzufügen, in der sich dann jeder Benutzer des ADs befinden wird.
Ich würde sonst händisch an jedem Client-PC meine Benutzergruppe Domainname\REMOTE hinzufügen, in der sich dann jeder Benutzer des ADs befinden wird.
per GPO nicht direkt.
aber du kannst das mit dem logon script regeln.
einfach per batchdatei
NET LocalGroup "Remote Desktop Users" /add domäne\%username%
aber du kannst das mit dem logon script regeln.
einfach per batchdatei
NET LocalGroup "Remote Desktop Users" /add domäne\%username%
Habe die Batchdatei in ein freigegebenes Verzeichnis mit Zugriff für Jeden abgelegt und unter
Benutzerkonfiguration-> Administrative Vorlagen -> System-> Anmeldung -> Diese Programme bei der Benutzeranmeldung ausführen eingetragen. Leider fehlen hier die benötigten Adminrechte, um diesen Eintrag in die lokale Gruppenrichtlinie einzusetzen. Gibt's hierfür einen Trick?
Benutzerkonfiguration-> Administrative Vorlagen -> System-> Anmeldung -> Diese Programme bei der Benutzeranmeldung ausführen eingetragen. Leider fehlen hier die benötigten Adminrechte, um diesen Eintrag in die lokale Gruppenrichtlinie einzusetzen. Gibt's hierfür einen Trick?
stimmt das müsstest du als admin ausführen
das geht mit dem runas befehl
runas /user:domain\admin "netlocalgroup.bat"
allerdings muss man dann das passwort für den adminbenutzer manuell angeben, is auch wieder blöd.
Es gäbe aber ein anderes tool hierfür
http://www.joeware.net/freetools/tools/cpau/index.htm
das geht mit dem runas befehl
runas /user:domain\admin "netlocalgroup.bat"
allerdings muss man dann das passwort für den adminbenutzer manuell angeben, is auch wieder blöd.
Es gäbe aber ein anderes tool hierfür
http://www.joeware.net/freetools/tools/cpau/index.htm
CPAU -u domain\admin -p password -ex logon.bat
Super, danke Dir!
Habe das ganze mit CPAU ausprobiert und funktioniert hervorragend. Das Anmeldeskript läuft jetzt ohne Probleme durch und der Remotezugriff ist möglich.
Habe das ganze mit CPAU ausprobiert und funktioniert hervorragend. Das Anmeldeskript läuft jetzt ohne Probleme durch und der Remotezugriff ist möglich.
