chb1982
Goto Top

Win8 Client, Fernwartung per RDP über GPO

Hallo zusammen,

Ziel ist es an Windows 8.1 Clients die Fernwartung per RDP über eine Gruppenrichtlinie zu aktivieren.
Dazu habe ich in der GPO unter
Computerkonfiguration->Richtlinien -> Administrative Vorlagen -> Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host
Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen
und
Regeln für Remotesteuerung von Remotedesktopdienste-Benutzersitzungen festlegen auf "Vollzugriff ohne Erlaubnis des Benutzers"

außerdem
Computerkonfiguration->Richtlinien->Windowseinstellungen->Sicherheitseinstellungen->Lokale Richtlinien -> dort unter Anmelden über Terminaldienste zulassen eine Gruppe eingetragen, die die entsprechenden Benutzer enthält.

Die GPO ist passend eingehängt und über den Richtlinienergebnissatz kann ich sehen, dass sie auch angewendet wird.

Versuche ich einen Login mit einem Benutzer, der in der Gruppe ist erhalte ich die Meldung, dass die Verbindung abgelehnt wurde, das das Benutzerkonto nicht für die Remotanmeldung autorisiert ist.

Habe ich noch eine Einstellung vergessen??

Lokal an dem Client kann ich natürlich die entsprechende Gruppe aufnehmen, aber es muss halt per GPO passieren.

Content-ID: 274807

Url: https://administrator.de/forum/win8-client-fernwartung-per-rdp-ueber-gpo-274807.html

Ausgedruckt am: 04.04.2025 um 18:04 Uhr

DerWoWusste
DerWoWusste 17.06.2015 um 14:29:42 Uhr
Goto Top
Hi.

Der dazu passende Fehler wäre, dass Du einen Nutzer verwendest, den Du eben erst in die berechtigte Gruppe gesetzt hast und er sich noch gar nicht neu angemeldet hat. Vergessen hast Du nichts. Wenn es daran nicht liegt, dann schau mit rsop.msc am Client nach, ob die Einstellungen angekommen sind.
PS: Remotesteuerung von Remotedesktopdienste-Benutzersitzungen festlegen auf "Vollzugriff ohne Erlaubnis des Benutzers" hat nur Bedeutung, wenn Du Sitzungen an einem Server spiegeln willst. Am Client geht das nicht, da nicht mehrere paralelle Sitzungen technisch ermöglicht werden.
chb1982
chb1982 17.06.2015 um 14:43:00 Uhr
Goto Top
In der Gruppe ist der Benutzer und die Richtlinie wird laut Ergebnissatz vom AD auch angewendet. Auch über rsop.msc sehe ich die Einstellungen...
Es ist aber nicht so, dass der Benutzer bereits einmal an dem Rechner angemeldet gewesen sein muss, oder?

Ratlosigkeit macht sich breit
DerWoWusste
DerWoWusste 17.06.2015 um 15:07:28 Uhr
Goto Top
Nein, er muss nicht angemeldet gewesen sein. Was ist mit meinem Einwand (mein erster Satz)? Hat sich der in die Gruppe eingetragene Nutzer seit seiner Eintragung am Rechner, von dem die Verbindung ausgeht neu angemeldet?
Ratlosigkeit macht sich breit
Keine Sorge, das finden wir schnell.
chb1982
chb1982 17.06.2015 aktualisiert um 15:35:53 Uhr
Goto Top
Zum Testen habe ich dem Benutzer jetzt einmal Domänen-Admin Rechte gegeben.. Damit kommt er dann rein. Rechte sind wieder weg damit geht es nicht.

Der Benutzer in der Gruppe ist ein reiner Fernwartungsbenutzer. Der ist so nirgendwo angemeldet.
Geben wir ihnen mal Namen. Der Administrator nutzt den User Paul. Dann gibt es im AD den Benutzer "Kassenadmin". Der Kassenadmin ist in der Gruppe RDP-Administratoren, diese Gruppe wird wiederrum über die GPO verteilt.

Das heißt der Kassenadmin ist nie irgendwo angemeldet, es sei denn über RDP - was ja nun nicht klappt face-smile


Wenn ich das richtig verstehe dürfte die erste Einstellung schon genügen, damit sich Administratoren anmelden dürfen. Das heißt ja im Umkehrschluss, dass die zweite Einstellung (Windows-Einstellungen -> Lokale Richtlinie) nicht greift.

Kann es sein, dass es daran liegt, dass die Remote-Unterstützung bei den Clients schon manuell aktiviert wurde, jedoch der neue Benutzer "Kassenadmin" nicht berechtigt wurde?
DerWoWusste
DerWoWusste 17.06.2015 um 15:59:53 Uhr
Goto Top
Zunächst einmal: wir haben es verteilt und es ist simpel und lief auch sofort. Siehe Bild hier:
http://www.petenetlive.com/KB/Media/0000043/00005.png
chb1982
chb1982 17.06.2015 um 16:12:34 Uhr
Goto Top
Das Bild läd leider nicht.. aber ich glaube dir auch so, dass du es lauffähig hast face-smile

Ich habe das jetzt einmal bei uns nachgestellt, exakt das gleiche Problem. Ich bin mir immer sicherer, dass ich irgendwas falsch mache...
DerWoWusste
Lösung DerWoWusste 17.06.2015, aktualisiert am 23.06.2015 um 10:40:31 Uhr
Goto Top
Das Bild lädt bei mir. Hier:
e9dbc969e0def03f42e110387f2d51e8
chb1982
chb1982 23.06.2015 um 10:40:45 Uhr
Goto Top
Ganz hervorragend. So funktioniert es.

Vielen Dank!!!