16
SBS 2003 - Benutzern RDP-Zugriff auf Clients erlauben
In meinem Firmennetzwerk gibt es einen SBS 2003 Server und 6 Client Computer. Mit dem Administrator Konto kann ich mich mittels RDP auf allen Rechnern einwählen.
Nun möchten die Firmenmitarbeiter gerne von Zu Hause aus auf die Clientrechner zugreifen. Dies erlaubt eine Richtlinie aber nicht. Lokaler Administrator an den einzelnen Client Computern ist nur das Administrator Konto.
Wie kann ich den einzelnen Nutzer nun den RDP Zugriff gewähren (Die einzelnen Nutzer wurden mittels User Tmpl erstellt).
Nun möchten die Firmenmitarbeiter gerne von Zu Hause aus auf die Clientrechner zugreifen. Dies erlaubt eine Richtlinie aber nicht. Lokaler Administrator an den einzelnen Client Computern ist nur das Administrator Konto.
Wie kann ich den einzelnen Nutzer nun den RDP Zugriff gewähren (Die einzelnen Nutzer wurden mittels User Tmpl erstellt).
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 92083
Url: https://administrator.de/contentid/92083
Printed on: April 19, 2024 at 03:04 o'clock
16 Comments
Latest comment
Dafür benötigst du Terminal Server Lizenzen.
Bestimmt irre ich micht aber...
eigentlich nicht wenn ich anstelle der User Tmpl. die Mobile User Tmpl. verwende funktioniert es meiner Meinung nach.
Nun muss ich nur wissen wo ich es nachträglich aktiviern kann.
eigentlich nicht wenn ich anstelle der User Tmpl. die Mobile User Tmpl. verwende funktioniert es meiner Meinung nach.
Nun muss ich nur wissen wo ich es nachträglich aktiviern kann.
@47674:
Lies nochmal: SBS --> Nix Terminal Server!
Hallo xadox-it,
dafür kennt SBS den Remote Web Arbeitsplatz, aufzurufen unter https://sbs-servername/Remote/logon.aspx?ReturnUrl=%2fRemote%2fDefault.a .... User, die damit arbeiten sollen, müssen Mitglieder der Remote Web Workplace Users (Security Group) sein. Das ganze kannst du übrigens auch im lokalen Netz testen.
geTuemII
Lies nochmal: SBS --> Nix Terminal Server!
Hallo xadox-it,
dafür kennt SBS den Remote Web Arbeitsplatz, aufzurufen unter https://sbs-servername/Remote/logon.aspx?ReturnUrl=%2fRemote%2fDefault.a .... User, die damit arbeiten sollen, müssen Mitglieder der Remote Web Workplace Users (Security Group) sein. Das ganze kannst du übrigens auch im lokalen Netz testen.
geTuemII
ja genau... "Remote Web Workplace Users" das habe ich gesucht. Danke dir geTuemII
Und achte darauf, daß in der Gruppe auch wirklich nur die User sind, die auch Zugriff haben sollen... 
Alles andere ist ein grundloses Sicherheitsrisiko. Falls alles klar ist, bitte Häkchen an den Beitrag.
geTuemII
Alles andere ist ein grundloses Sicherheitsrisiko. Falls alles klar ist, bitte Häkchen an den Beitrag.geTuemII
Och, jetzt kann ich dem greyhound mal was erklären... <freu>
Hallo greyhound,
du hast im Prinzip recht, aber in diesem speziellen Fall kann der SBS mal wirklich mehr. Für den klassischen Clientzugriff über RDP muß das System wie von dir erläutert konfiguriert werden. Der oben beschriebene Zugriff läuft aber über RDP over HTTPS, und der wird in einer SBS Domain über die SecGroup Remote Web Workplace Users berechtigt. Sieh dir das Teil mal ruhig in einer SBS Umgebung an, ich finde, es ist zuwenig bekannt. Sieht aus und tut wie klassischer Remote Desktop.
...und dabei ist es ein echtes Alleinstellungskriterium des SBS.
geTuemII
Hallo greyhound,
du hast im Prinzip recht, aber in diesem speziellen Fall kann der SBS mal wirklich mehr. Für den klassischen Clientzugriff über RDP muß das System wie von dir erläutert konfiguriert werden. Der oben beschriebene Zugriff läuft aber über RDP over HTTPS, und der wird in einer SBS Domain über die SecGroup Remote Web Workplace Users berechtigt. Sieh dir das Teil mal ruhig in einer SBS Umgebung an, ich finde, es ist zuwenig bekannt. Sieht aus und tut wie klassischer Remote Desktop.
...und dabei ist es ein echtes Alleinstellungskriterium des SBS.
geTuemII
Oh, natürlich! Da war ich wohl etwas zu schnell...! Danke für den Hinweis.
Hmm nachdem ich die einzelnen Nutzer nun auch in die "Remote Web Workplace Users" Gruppe hinzugefügt habe erscheint leider immer noch die Meldung "Die lokale Richtlinie erlaubt es ihnen nicht, sich interaktiv anzumelden" beim anmelden an den Clients.
Hallo xadox-it,
Meldest Du Dich über eine konventionelle RDP-Sitzung an (mstsc) oder über RDP over https?
Der Remote Web Workplace funktioniert nur über eine https-Anmeldung am Server (s.Link in dem Posting von geTuemII). Von dort aus kannst Du dann eine RDP-Sitzung zu den Clients öffen. Ich bin mir nicht sicher, aber ich denke auch bei Remote Web Workplace muss dazu auf dem Client ein Remotedesktop-Zugriff erlaubt sein (Start/Arbeitsplatz, rechte Maustaste Eigenschaften, dort unter Remote "Benutzern erlauben eine Remotedesktop Verbindung herzustellen")
Falls Du eine konventionelle RDP-Sitzung benutzt (mit mstsc) funktioniert die von geTuemII beschriebene Methode nicht. Dann muss der (Domain-)User auf dem Client Mitglied der lokalen Sicherheitsgruppe "Remotedesktopbenutzer" sein. (Dies kannst Du über die Verwaltungskonsole des SBS einstellen unter Clientcomputer/Computer verwalten/lokale Benutzer und Gruppen)
greyhound
Meldest Du Dich über eine konventionelle RDP-Sitzung an (mstsc) oder über RDP over https?
Der Remote Web Workplace funktioniert nur über eine https-Anmeldung am Server (s.Link in dem Posting von geTuemII). Von dort aus kannst Du dann eine RDP-Sitzung zu den Clients öffen. Ich bin mir nicht sicher, aber ich denke auch bei Remote Web Workplace muss dazu auf dem Client ein Remotedesktop-Zugriff erlaubt sein (Start/Arbeitsplatz, rechte Maustaste Eigenschaften, dort unter Remote "Benutzern erlauben eine Remotedesktop Verbindung herzustellen")
Falls Du eine konventionelle RDP-Sitzung benutzt (mit mstsc) funktioniert die von geTuemII beschriebene Methode nicht. Dann muss der (Domain-)User auf dem Client Mitglied der lokalen Sicherheitsgruppe "Remotedesktopbenutzer" sein. (Dies kannst Du über die Verwaltungskonsole des SBS einstellen unter Clientcomputer/Computer verwalten/lokale Benutzer und Gruppen)
greyhound
Die einzelnen Nutzer melden sich über HTTPS://SERVERNAME/REMOTE an. Also RDP over HTTPS.
Ich als Admininstrator kann mich mittels RDP über HTTPS wie auch über RDP am Client anmelden. Die Nutzer bekommen die besagte Meldung.
Muss ich nun mittels Richtlinie die RDP an den Clients erlauben?
Ich als Admininstrator kann mich mittels RDP über HTTPS wie auch über RDP am Client anmelden. Die Nutzer bekommen die besagte Meldung.
Muss ich nun mittels Richtlinie die RDP an den Clients erlauben?
Ich habe das mal grade eben auf einem meiner Systeme getestet. Wenn die Remotedestopanmeldung am Client nicht explizit erlaubt ist geht es definitiv nicht, allerdings erscheint dann eine andere Fehlermeldung.
Was mir noch als Mögliche Ursache eingefallen ist sind die Firewall-Regeln. Dort müssten Remotedesktopverbindungen ebenfalls als Ausnahme freigegeben sein. (Das ist allerdings, wenn ich es richtig im Kopf habe der Default)
greyhound
Was mir noch als Mögliche Ursache eingefallen ist sind die Firewall-Regeln. Dort müssten Remotedesktopverbindungen ebenfalls als Ausnahme freigegeben sein. (Das ist allerdings, wenn ich es richtig im Kopf habe der Default)
greyhound
Kann es vielleicht daran liegen, dass die einzelnen Benutzer keine Lokalen Administratoren an den Systemen sind?
Eigentlich nicht. Es gibt aber eine GPO, die eine interaktive Anmeldung verbietet. Kann es sein, dass eine der Gruppen, welcher Deine User zugeordnet sind in dieser policy aufgeführt sind? Die "deny-policies" haben Vorrang vor den "allow-policies".
greyhound
greyhound
Die Benutzer sind Mitglieder folgender Gruppen:
- Domänen-Benutzer
- Remote Web Workplace User
Hier eine Überischt der vorhandenen Richtlinien:
Wenn ich mich an dem Client mit dem Administrator Accout anmelde, welcher auch lokaler Administrator ist. Und dann den Benutzer explizit für RDP hinzufüge. Kann der sich anschließend über RDP over HTTPS auch anmelden.
Wenn ich mich an dem Client mit dem Administrator Accout anmelde, welcher auch lokaler Administrator ist. Und dann den Benutzer explizit für RDP hinzufüge. Kann der sich anschließend über RDP over HTTPS auch anmelden.
