Terminalserver gleichzeitig sekundärer Domänencontroller
Benutzer können sich nicht anmelden
Hallo!
Wir haben in der Firma zwei Windows 2003 SE Prof. am laufen. Einer ist der primäre und einer der sekundäre Domänencontroller. Der zweite soll zusätzlich als Terminalserver laufen. Die Zugriffslizenzen sind korrekt installiert, der Lizenzserver aktiviert, es scheint alles io zu sein. Die Nutzer, welche Terminaldienste nutzen sollen, sind in der Gruppe Remotedesktopbenutzer. Zusätzlich hab ich ihnen noch erlaubt, sich lokal am Server und über Terminaldienste anzumelden (Sicherheitsrichtlinie für Domänencontroller). Nun bekommen normale Nutzer (keine Admins) trotzdem die Fehlermeldung, das sie sich nicht anmelden können (nicht Mitglied der Gruppe Remotedesktopbenutzer bla bla). Die einzige Möglichkeit, die ich gefunden habe, ist die Benutzer unter der Terminaldienstekonfiguration unter Verbindungen --> RDP-TCP Sicherheitseinstellungen manuell einzutragen. Es nützt nicht mal was, wenn man die Gruppe Remotedesktopbenutzer da reinschmeisst. Ich bin mir auch bewusst, daß man einen Domänencontroller eigentlich nicht als Terminalserver laufen lassen sollte (laut Microsoft wegen der Performance). Wir können uns aber nicht wegen jedem Scheiss gleich mal nen neuen Server nebst Software hinstellen. Wie kann ich nun die Terminaldienste normal zum fliegen bekommen? Oder geht das wirklich nur über den manuellen Weg Terminaldienstekonfiguration ... ???
MFG
Andreas
Hallo!
Wir haben in der Firma zwei Windows 2003 SE Prof. am laufen. Einer ist der primäre und einer der sekundäre Domänencontroller. Der zweite soll zusätzlich als Terminalserver laufen. Die Zugriffslizenzen sind korrekt installiert, der Lizenzserver aktiviert, es scheint alles io zu sein. Die Nutzer, welche Terminaldienste nutzen sollen, sind in der Gruppe Remotedesktopbenutzer. Zusätzlich hab ich ihnen noch erlaubt, sich lokal am Server und über Terminaldienste anzumelden (Sicherheitsrichtlinie für Domänencontroller). Nun bekommen normale Nutzer (keine Admins) trotzdem die Fehlermeldung, das sie sich nicht anmelden können (nicht Mitglied der Gruppe Remotedesktopbenutzer bla bla). Die einzige Möglichkeit, die ich gefunden habe, ist die Benutzer unter der Terminaldienstekonfiguration unter Verbindungen --> RDP-TCP Sicherheitseinstellungen manuell einzutragen. Es nützt nicht mal was, wenn man die Gruppe Remotedesktopbenutzer da reinschmeisst. Ich bin mir auch bewusst, daß man einen Domänencontroller eigentlich nicht als Terminalserver laufen lassen sollte (laut Microsoft wegen der Performance). Wir können uns aber nicht wegen jedem Scheiss gleich mal nen neuen Server nebst Software hinstellen. Wie kann ich nun die Terminaldienste normal zum fliegen bekommen? Oder geht das wirklich nur über den manuellen Weg Terminaldienstekonfiguration ... ???
MFG
Andreas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 28250
Url: https://administrator.de/forum/terminalserver-gleichzeitig-sekundaerer-domaenencontroller-28250.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
8 Kommentare
Neuester Kommentar
Kann es ein, dass der Gruppe der Remotedesktopuser das Recht zur Anmeldung am TS über eien Richtlinie verweigert wird?
Der Eintrag in den RDP Berechtigungen setzt eigentlich nur das Recht zur Anmeldung am TS in den Richtlinien. Deswegen wundert es mich ein wenig, dass es mit den Remotedesktopusern nicht geht.
Der Eintrag in den RDP Berechtigungen setzt eigentlich nur das Recht zur Anmeldung am TS in den Richtlinien. Deswegen wundert es mich ein wenig, dass es mit den Remotedesktopusern nicht geht.
Hallo,
ich würde vermuten den Benutzer fehlt das Log-On Recht für einen Domain Controller. Das haben im Standard der "Default Domain Controller Policy" nur Domain Admins.
Schau vielleicht mal da nach.
Gruß
Rati
PS: MS empfiehlt es aus Sicherheitsgründen nicht, weil du ja normale User auf deinen Domain Controller läßt.
ich würde vermuten den Benutzer fehlt das Log-On Recht für einen Domain Controller. Das haben im Standard der "Default Domain Controller Policy" nur Domain Admins.
Schau vielleicht mal da nach.
Gruß
Rati
PS: MS empfiehlt es aus Sicherheitsgründen nicht, weil du ja normale User auf deinen Domain Controller läßt.
Neben der Gruppe, in der die Benutzer eingetragen werden müssen (müssen sie das?), sieh in den Benutzereinstellungen im Aktenreiter "Terminaldiensteprofil" nach, ob dort das Häckchen gesetzt ist, dass sich der entsprechende Benutzer auch wirklich am Terminalserver anmelden darf.
Achte weiterhin darauf, dass das Profilverzeichnis für die Terminaldienste ein anderes ist, als das für den lokalen Login. Das hat zwar nichts mit Rechten zu tun, erleichtert einem das Adminleben aber ziemlich ;)
Auch ich würde allerdings keinen Terminalserver auf einem Domaincontroller für User freigeben. Wenn der Server performant genug ist, könntet Ihr doch auch VMWare-Server benutzen, um auf der Hardware mehrere virtuelle Server einzurichten. Das würde die Sicherheitsproblematik auf jeden Fall entschärfen und dabei keine neue Hardware erfordern.
Gruss
Stefan
Achte weiterhin darauf, dass das Profilverzeichnis für die Terminaldienste ein anderes ist, als das für den lokalen Login. Das hat zwar nichts mit Rechten zu tun, erleichtert einem das Adminleben aber ziemlich ;)
Auch ich würde allerdings keinen Terminalserver auf einem Domaincontroller für User freigeben. Wenn der Server performant genug ist, könntet Ihr doch auch VMWare-Server benutzen, um auf der Hardware mehrere virtuelle Server einzurichten. Das würde die Sicherheitsproblematik auf jeden Fall entschärfen und dabei keine neue Hardware erfordern.
Gruss
Stefan