Useranmeldung auf Terminalserver - Domaincontroller
Terminalserver = DC2, Wie verhindert man Anmeldung der TS-User am DC1 =(FSMO) ?
Hallo zusammen,
wir haben leider den unglücklichen Fall, dass unser DC2 zugleich auch Terminalserver ist. Funktionieren tut alles einwandfrei, bis auf den Zustand, dass sich die Terminalserver-User auch auf dem DC1 anmelden können (der nicht Terminalserver ist, dafür aber FSMO).
Wie kann man verhindern, dass sich die Remotedesktopbenutzer am DC1 anmelden können ?
Habe bereits gegoogelt, leider ohne Erfolg, bis auf die Info, dass man einen TS nicht auf nem DC installiert
Danke schonmal für Eure Hilfe.
Gruss, Stefan
Hallo zusammen,
wir haben leider den unglücklichen Fall, dass unser DC2 zugleich auch Terminalserver ist. Funktionieren tut alles einwandfrei, bis auf den Zustand, dass sich die Terminalserver-User auch auf dem DC1 anmelden können (der nicht Terminalserver ist, dafür aber FSMO).
Wie kann man verhindern, dass sich die Remotedesktopbenutzer am DC1 anmelden können ?
Habe bereits gegoogelt, leider ohne Erfolg, bis auf die Info, dass man einen TS nicht auf nem DC installiert
Danke schonmal für Eure Hilfe.
Gruss, Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 77960
Url: https://administrator.de/contentid/77960
Ausgedruckt am: 05.11.2024 um 06:11 Uhr
2 Kommentare
Neuester Kommentar
Moins,
ja sehr gut aufn DC nen TS. Aber wenns anders nicht geht...
Erstelle eíne GPO und lege diese auf die OU Domian Controller nach ganz oben. Entferne in den Sicherheitseinstellungen die authentifizierten Benutzer. Füge das Computerkonto Deines DC1 hinzu und gewähre im Lesen und GPO übernehmen (somit ist der DC2 raus/kann sie nicht lesen).
Jetzt gehst Du in die GPO. In der Computerkonfiguration\Windows-Einstellungen\lokale Richtlinie\Zuweisen von Benutzerrechten kann Du festlegen, das sich bestimmte Gruppen oder Benutzer nicht interaktiv anmelden können (verweigern). Oder andere viele Sachen.
Aber Vorsicht. Gucke genau welche Gruppe Du nimmst, nicht das Du selber in dieser Gruppe bist. Denn verweigern geht vor erlauben!!!!!
Zuletzt wenn Du Dir sicher bist noch in der Kommandozeile ein \\gpupdate /force und schön.
Honk
ja sehr gut aufn DC nen TS. Aber wenns anders nicht geht...
Erstelle eíne GPO und lege diese auf die OU Domian Controller nach ganz oben. Entferne in den Sicherheitseinstellungen die authentifizierten Benutzer. Füge das Computerkonto Deines DC1 hinzu und gewähre im Lesen und GPO übernehmen (somit ist der DC2 raus/kann sie nicht lesen).
Jetzt gehst Du in die GPO. In der Computerkonfiguration\Windows-Einstellungen\lokale Richtlinie\Zuweisen von Benutzerrechten kann Du festlegen, das sich bestimmte Gruppen oder Benutzer nicht interaktiv anmelden können (verweigern). Oder andere viele Sachen.
Aber Vorsicht. Gucke genau welche Gruppe Du nimmst, nicht das Du selber in dieser Gruppe bist. Denn verweigern geht vor erlauben!!!!!
Zuletzt wenn Du Dir sicher bist noch in der Kommandozeile ein \\gpupdate /force und schön.
Honk