zmaypetx
Goto Top

Terminalserver Auto-Abmeldung Ausnahmen

Moin Kollegen,

Ich spiele mich aktuell ein wenig mit den Sitzungssammlungen am TS.
Die Automatische Abmeldung halte ich für sehr Sinnvoll, allerdings will ich nicht, das der Admin abgemeldet wird.
Kann man den da irgendwie ausnehmen oder ist der Automatisch ausgenommen?
Man trägt ja under Benutzergruppen jene ein, welche betroffen sind von der Sitzungssammlung oder liege ich da falsch?
Ich glaube man kann diese Abmeldung auch über die AD Benutzer machen, aber da bin ich mir nicht sicher.
Windows-Server 2022

Danke schonmal und Grüße

Content-Key: 12464744777

Url: https://administrator.de/contentid/12464744777

Printed on: February 29, 2024 at 20:02 o'clock

Mitglied: 8030021182
Solution 8030021182 Dec 04, 2023 updated at 10:58:50 (UTC)
Goto Top
Hi
Kein Problem, wende die GPO per Loopback Processing auf dem TS nur auf die User/Gruppen an die sie betreffen soll, gibt ja Einstellungen auf User oder Machine Ebene dafür ...

screenshot

Gruß Katrin
Member: zMaYpeTx
zMaYpeTx Dec 04, 2023 at 13:21:21 (UTC)
Goto Top
Zitat von @8030021182:

Hi
Kein Problem, wende die GPO per Loopback Processing auf dem TS nur auf die User/Gruppen an die sie betreffen soll, gibt ja Einstellungen auf User oder Machine Ebene dafür ...

screenshot

Gruß Katrin

Hallo Katrin,
danke für die schnelle und Hilfreiche Antwort.
Wenn ich nun z.B. den Domänen Admin aus der Gruppe raus lasse, kann er sich dann trotzdem noch verbinden?
Entschuldige die doofe Frage, bin neu in diesen Sitzungssammlung Ding.

Gruß Flo
Member: NordicMike
NordicMike Dec 04, 2023 updated at 13:46:40 (UTC)
Goto Top
Ja, die GPO verändert keine Login Berechtigung. Sie verändert nur die Sitzungsdauer. Wer die GPO lesen bzw ausführen kann, wendet die Regel an. Wer die GPO nicht lesen / ausführen kann, behält die Grundeinstellungen der Sitzungsdauer, oder, falls vorhanden, die Einstellungen der GPOs darüber.
Member: zMaYpeTx
zMaYpeTx Dec 04, 2023 at 14:10:53 (UTC)
Goto Top
Zitat von @NordicMike:

Ja, die GPO verändert keine Login Berechtigung. Sie verändert nur die Sitzungsdauer. Wer die GPO lesen bzw ausführen kann, wendet die Regel an. Wer die GPO nicht lesen / ausführen kann, behält die Grundeinstellungen der Sitzungsdauer, oder, falls vorhanden, die Einstellungen der GPOs darüber.

Das bedeutet Ich kann es hier einfach Einstellen und den Admin aus der TS-User Gruppe entfernen und die DB Gruppe entfernen ohne das ich ein Problem bekomme oder?
Danke schonmal.
unbenannt420
Mitglied: 8030021182
8030021182 Dec 04, 2023 updated at 15:13:58 (UTC)
Goto Top
Zitat von @zMaYpeTx:
Das bedeutet Ich kann es hier einfach Einstellen und den Admin aus der TS-User Gruppe entfernen und die DB Gruppe entfernen ohne das ich ein Problem bekomme oder?
Ja.
Wenn ich nun z.B. den Domänen Admin aus der Gruppe raus lasse, kann er sich dann trotzdem noch verbinden?
Natürlich, die GPO hat nichts mit dem Anmelden an sich zu tun, sie beschränkt nur die Dauer von aktiven oder inaktiven RDP-Sessions.
So lange sich ein Admin in der "Remotedesktopbenutzer" Gruppe auf dem TS befindet kann er sich auch dort anmelden sofern es ihm nicht mit einer GPO verboten wurde. Die "Sitzungssammlungen" sind separat zu den "Administrativen RDP Sessions" zu sehen.
Member: zMaYpeTx
zMaYpeTx Dec 04, 2023 at 15:54:05 (UTC)
Goto Top
Zitat von @8030021182:

Zitat von @zMaYpeTx:
Das bedeutet Ich kann es hier einfach Einstellen und den Admin aus der TS-User Gruppe entfernen und die DB Gruppe entfernen ohne das ich ein Problem bekomme oder?
Ja.
Wenn ich nun z.B. den Domänen Admin aus der Gruppe raus lasse, kann er sich dann trotzdem noch verbinden?
Natürlich, die GPO hat nichts mit dem Anmelden an sich zu tun, sie beschränkt nur die Dauer von aktiven oder inaktiven RDP-Sessions.
So lange sich ein Admin in der "Remotedesktopbenutzer" Gruppe auf dem TS befindet kann er sich auch dort anmelden sofern es ihm nicht mit einer GPO verboten wurde. Die "Sitzungssammlungen" sind separat zu den "Administrativen RDP Sessions" zu sehen.

Super vielen Dank nochmal. Dann schließe ich das hiermit ab. Danke für eure schnellen und guten Erklärungen.
Member: NordicMike
NordicMike Dec 05, 2023 at 05:18:27 (UTC)
Goto Top
Vorsicht, es sind zwei unterschiedliche Paar Schuhe die Berechtigungen in der Sitzungssammlung zu verstellen, oder die Berechtigung in der oben erwähnten GPO einzustellen. Deine Screenshots zeigen nicht die GPOs. Wenn du in der GPO was verstellst, wird halt nur die GPO nicht angewandt, aber wenn du in der Sitzungssammlung was verstellst, dann kann es natürlich passieren, dass sich jemand nicht mehr anmelden kann. Als Domänen Admin solltest du trotzdem immer drauf kommen, auch, wenn du in der Sitzungssammlung jeden ausgesperrt hättest.
Member: Der-Phil
Der-Phil Dec 05, 2023 at 08:38:40 (UTC)
Goto Top
Am Einfachsten: Du machst eine "Computerrichtlinie" zu den Abmeldezeiten und dann eine User-GPO für die Ausnahmen. Läuft bei mir ohne Probleme.