6
Win 2008R2 RDP Session Host - Benutzer Zugriff gewähen geht nicht
Hallo zusammen !
Ich habe ein kleines Problem. Wir haben eine Serverfarm mit 3 RDP Servern und einem Broker. Jetzt gibt es im Lager einen Mitarbeiter, der die Sessions gern kicken oder zurücksetzen möchte. Das ist auch Okay, weil die Java Applikationen mit denen die User arbeiten sich gern einmal aufhängen und es durch die im Vollbild gestartete Applikation einfach verhindert, dass man sich selbst abmelden kann.
Okay, nun habe ich auf jedem RDP Server diesen User unter RDP Session Host --> Config --> Security hinzugefügt und auch die Rechte verteilt, was er machen darf.
Leider funktioniert es nicht und der Benutzer erhält nicht das Recht.
Erst wenn ich ihn der lokalen Administrator Gruppe hinzufüge kann er tatsächlich die Sessions etc steuern.
Wo muss ich also den Benutzer hinzufügen wenn ich ihm keine lokalen Adminrechte geben möchte, sondern er nur via RDP Verwaltungstools eben die Session kicken kann oder zurücksetzen, oder Nachrichten senden kann (z.B. schreibt er so an die Steplerfahrer ein komm mal bitte zum Leitstand.)
Danke
Ich habe ein kleines Problem. Wir haben eine Serverfarm mit 3 RDP Servern und einem Broker. Jetzt gibt es im Lager einen Mitarbeiter, der die Sessions gern kicken oder zurücksetzen möchte. Das ist auch Okay, weil die Java Applikationen mit denen die User arbeiten sich gern einmal aufhängen und es durch die im Vollbild gestartete Applikation einfach verhindert, dass man sich selbst abmelden kann.
Okay, nun habe ich auf jedem RDP Server diesen User unter RDP Session Host --> Config --> Security hinzugefügt und auch die Rechte verteilt, was er machen darf.
Leider funktioniert es nicht und der Benutzer erhält nicht das Recht.
Erst wenn ich ihn der lokalen Administrator Gruppe hinzufüge kann er tatsächlich die Sessions etc steuern.
Wo muss ich also den Benutzer hinzufügen wenn ich ihm keine lokalen Adminrechte geben möchte, sondern er nur via RDP Verwaltungstools eben die Session kicken kann oder zurücksetzen, oder Nachrichten senden kann (z.B. schreibt er so an die Steplerfahrer ein komm mal bitte zum Leitstand.)
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 213032
Url: https://administrator.de/contentid/213032
Printed on: April 19, 2024 at 03:04 o'clock
6 Comments
Latest comment
Hi.
Das Problem ist die elevation. Als Administrator erledigt die UAC/Remote-UCA (je nachdem, ob Du die Abmeldung lokal oder von remote anstößt) die elevation und es klappt. Als User kommt die UAC nicht, somit werden die zugeteilten Privilegien ignoriert. Klarer Designfehler von Microsoft.
Ich denke mal drüber nach, ob es einen Weg gibt.
Können sich die Leute denn nict über STRG-Alt-ENDE abmelden? Sollte auch mit Vollbild klappen.
Das Problem ist die elevation. Als Administrator erledigt die UAC/Remote-UCA (je nachdem, ob Du die Abmeldung lokal oder von remote anstößt) die elevation und es klappt. Als User kommt die UAC nicht, somit werden die zugeteilten Privilegien ignoriert. Klarer Designfehler von Microsoft.
Ich denke mal drüber nach, ob es einen Weg gibt.
Können sich die Leute denn nict über STRG-Alt-ENDE abmelden? Sollte auch mit Vollbild klappen.
Danke, für die Antwort.
Leider geht das mit STRG-ALT-ENDE nicht, da die Mitarbeiter nur einen Touchscreen haben.
Also der Mitarbeiter im Lager ist an seinem Notebook angemeldet und verbindet sich auf die RDP Server mit den RDP Verwaltungstools, hier werden die Richtlinien nicht mitgegeben ? Was ist denn das für ein Witz.
Nur wenn er sich diremt am Server anmelden würde würde es funktionieren ?
Sehe ich das richtig ?
Leider geht das mit STRG-ALT-ENDE nicht, da die Mitarbeiter nur einen Touchscreen haben.
Also der Mitarbeiter im Lager ist an seinem Notebook angemeldet und verbindet sich auf die RDP Server mit den RDP Verwaltungstools, hier werden die Richtlinien nicht mitgegeben ? Was ist denn das für ein Witz.
Nur wenn er sich diremt am Server anmelden würde würde es funktionieren ?
Sehe ich das richtig ?
Nein, auch dann nicht. Es würde nur mit am Server deaktivierter UAC funktionieren. Es sei denn, mir fällt noch ein, wie man die elevation hervorrufen könnte, mal überlegen.
Naja, die UAC wollen wir natürlich nicht deaktivieren .
Aber kann doch nicht sein, dass man da Benutzer hinzufügen kann und das einfach ignoriert wird, wenn jemand die RDP Sessions unter Kontrolle bringen möchte.
.Aber kann doch nicht sein, dass man da Benutzer hinzufügen kann und das einfach ignoriert wird, wenn jemand die RDP Sessions unter Kontrolle bringen möchte.
Oh doch.
Schau Dir mal (bei aktiver UAC) folgendes an: Am TS selbst starte den Taskmanager als Admin. Geh dann auf den Reiter "Benutzer" und versuche, jemanden abzumelden... geht nicht, "Zugriff verweigert". Erst, wenn man den Taskmanager elevated startet, geht es. Microsoft kommt teilweise mit den eigenen Mechanismen nicht klar.
Schau Dir mal (bei aktiver UAC) folgendes an: Am TS selbst starte den Taskmanager als Admin. Geh dann auf den Reiter "Benutzer" und versuche, jemanden abzumelden... geht nicht, "Zugriff verweigert". Erst, wenn man den Taskmanager elevated startet, geht es. Microsoft kommt teilweise mit den eigenen Mechanismen nicht klar.
Naja, bei meiner Zertifizierung zum MCITP 2008R2 habe ich auch oft der Kopf geschüttelt und nicht verstanden, warum es nicht geht.
