8
Terminalserver gleichzeitig sekundärer Domänencontroller
Benutzer können sich nicht anmelden
Hallo!
Wir haben in der Firma zwei Windows 2003 SE Prof. am laufen. Einer ist der primäre und einer der sekundäre Domänencontroller. Der zweite soll zusätzlich als Terminalserver laufen. Die Zugriffslizenzen sind korrekt installiert, der Lizenzserver aktiviert, es scheint alles io zu sein. Die Nutzer, welche Terminaldienste nutzen sollen, sind in der Gruppe Remotedesktopbenutzer. Zusätzlich hab ich ihnen noch erlaubt, sich lokal am Server und über Terminaldienste anzumelden (Sicherheitsrichtlinie für Domänencontroller). Nun bekommen normale Nutzer (keine Admins) trotzdem die Fehlermeldung, das sie sich nicht anmelden können (nicht Mitglied der Gruppe Remotedesktopbenutzer bla bla). Die einzige Möglichkeit, die ich gefunden habe, ist die Benutzer unter der Terminaldienstekonfiguration unter Verbindungen --> RDP-TCP Sicherheitseinstellungen manuell einzutragen. Es nützt nicht mal was, wenn man die Gruppe Remotedesktopbenutzer da reinschmeisst. Ich bin mir auch bewusst, daß man einen Domänencontroller eigentlich nicht als Terminalserver laufen lassen sollte (laut Microsoft wegen der Performance). Wir können uns aber nicht wegen jedem Scheiss gleich mal nen neuen Server nebst Software hinstellen. Wie kann ich nun die Terminaldienste normal zum fliegen bekommen? Oder geht das wirklich nur über den manuellen Weg Terminaldienstekonfiguration ... ???
MFG
Andreas
Hallo!
Wir haben in der Firma zwei Windows 2003 SE Prof. am laufen. Einer ist der primäre und einer der sekundäre Domänencontroller. Der zweite soll zusätzlich als Terminalserver laufen. Die Zugriffslizenzen sind korrekt installiert, der Lizenzserver aktiviert, es scheint alles io zu sein. Die Nutzer, welche Terminaldienste nutzen sollen, sind in der Gruppe Remotedesktopbenutzer. Zusätzlich hab ich ihnen noch erlaubt, sich lokal am Server und über Terminaldienste anzumelden (Sicherheitsrichtlinie für Domänencontroller). Nun bekommen normale Nutzer (keine Admins) trotzdem die Fehlermeldung, das sie sich nicht anmelden können (nicht Mitglied der Gruppe Remotedesktopbenutzer bla bla). Die einzige Möglichkeit, die ich gefunden habe, ist die Benutzer unter der Terminaldienstekonfiguration unter Verbindungen --> RDP-TCP Sicherheitseinstellungen manuell einzutragen. Es nützt nicht mal was, wenn man die Gruppe Remotedesktopbenutzer da reinschmeisst. Ich bin mir auch bewusst, daß man einen Domänencontroller eigentlich nicht als Terminalserver laufen lassen sollte (laut Microsoft wegen der Performance). Wir können uns aber nicht wegen jedem Scheiss gleich mal nen neuen Server nebst Software hinstellen. Wie kann ich nun die Terminaldienste normal zum fliegen bekommen? Oder geht das wirklich nur über den manuellen Weg Terminaldienstekonfiguration ... ???
MFG
Andreas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 28250
Url: https://administrator.de/contentid/28250
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
8 Kommentare
Neuester Kommentar
Kann es ein, dass der Gruppe der Remotedesktopuser das Recht zur Anmeldung am TS über eien Richtlinie verweigert wird?
Der Eintrag in den RDP Berechtigungen setzt eigentlich nur das Recht zur Anmeldung am TS in den Richtlinien. Deswegen wundert es mich ein wenig, dass es mit den Remotedesktopusern nicht geht.
Der Eintrag in den RDP Berechtigungen setzt eigentlich nur das Recht zur Anmeldung am TS in den Richtlinien. Deswegen wundert es mich ein wenig, dass es mit den Remotedesktopusern nicht geht.
Hallo,
ich würde vermuten den Benutzer fehlt das Log-On Recht für einen Domain Controller. Das haben im Standard der "Default Domain Controller Policy" nur Domain Admins.
Schau vielleicht mal da nach.
Gruß
Rati
PS: MS empfiehlt es aus Sicherheitsgründen nicht, weil du ja normale User auf deinen Domain Controller läßt.
ich würde vermuten den Benutzer fehlt das Log-On Recht für einen Domain Controller. Das haben im Standard der "Default Domain Controller Policy" nur Domain Admins.
Schau vielleicht mal da nach.
Gruß
Rati
PS: MS empfiehlt es aus Sicherheitsgründen nicht, weil du ja normale User auf deinen Domain Controller läßt.
Neben der Gruppe, in der die Benutzer eingetragen werden müssen (müssen sie das?), sieh in den Benutzereinstellungen im Aktenreiter "Terminaldiensteprofil" nach, ob dort das Häckchen gesetzt ist, dass sich der entsprechende Benutzer auch wirklich am Terminalserver anmelden darf.
Achte weiterhin darauf, dass das Profilverzeichnis für die Terminaldienste ein anderes ist, als das für den lokalen Login. Das hat zwar nichts mit Rechten zu tun, erleichtert einem das Adminleben aber ziemlich ;)
Auch ich würde allerdings keinen Terminalserver auf einem Domaincontroller für User freigeben. Wenn der Server performant genug ist, könntet Ihr doch auch VMWare-Server benutzen, um auf der Hardware mehrere virtuelle Server einzurichten. Das würde die Sicherheitsproblematik auf jeden Fall entschärfen und dabei keine neue Hardware erfordern.
Gruss
Stefan
Achte weiterhin darauf, dass das Profilverzeichnis für die Terminaldienste ein anderes ist, als das für den lokalen Login. Das hat zwar nichts mit Rechten zu tun, erleichtert einem das Adminleben aber ziemlich ;)
Auch ich würde allerdings keinen Terminalserver auf einem Domaincontroller für User freigeben. Wenn der Server performant genug ist, könntet Ihr doch auch VMWare-Server benutzen, um auf der Hardware mehrere virtuelle Server einzurichten. Das würde die Sicherheitsproblematik auf jeden Fall entschärfen und dabei keine neue Hardware erfordern.
Gruss
Stefan
Ich glaub ich hab das Häkchen in der Benutzerkonfiguration vergessen (peinlich ;) ) - muss ich morgen gleich mal nachschauen. Ja und das Sicherheitsrisiko ist mir schon bewusst, wir haben allerdings keine sooooooooo wichtigen Daten, das die Nutzer unbedingt in eine VM verbannt werden müssten. Danke für die Tips!
Hallo,
den Tip mit der VM läßt sich schwer durchsetzen, da sich Vmware nicht auf einem Domain Controller installieren läßt. Da muss man dann schon zu den MS Pendants greifen (Virtual Server/PC).
Gruß
Rati
den Tip mit der VM läßt sich schwer durchsetzen, da sich Vmware nicht auf einem Domain Controller installieren läßt. Da muss man dann schon zu den MS Pendants greifen (Virtual Server/PC).
Gruß
Rati
Der VMWare-Server wuerde als Basis installiert (die Servervariante braucht keinen Windows-Unterbau), der DC als virtuelle Maschine eingerichtet. Prinzipiell ließe sich das Ganze also schon aufsetzen.
Gruss
Stefan
Gruss
Stefan
Hi Stefan,
also für den Preis von nem ESX Server bekomme ich schon nie ziemlich vernünftige zusätzliche Serverhardware.
Gruß
Rati
also für den Preis von nem ESX Server bekomme ich schon nie ziemlich vernünftige zusätzliche Serverhardware.
Gruß
Rati
Ok, für den ESX hatte ich mich beim Preis etwas verhauen, hatte den nicht so teuer in Erinnerung... 
Naja, beim dritten Server wäre der dann wieder sinnvoll ... *g*
Gruss
Stefan
Naja, beim dritten Server wäre der dann wieder sinnvoll ... *g*
Gruss
Stefan
