bella21
Goto Top

Windows 10 per Remote Zugriff erlauben

Hallo zusammen,

ich benötige erneut eure Unterstützung.

Wir haben zehn Clients als VMs bereitgestellt, die von Standardbenutzern per Remote Desktop genutzt werden können. Auf den Clients ist Windows 10 Pro 64-Bit installiert.

Besteht die Möglichkeit, den Zugriff dieser Benutzer per GPO (Gruppenrichtlinie) so zu beschränken, dass sie nur auf diese zehn Clients zugreifen können? Wenn ja, wie lässt sich das umsetzen?

Vielen Dank im Voraus!

LG Bella

Content-ID: 668354

Url: https://administrator.de/contentid/668354

Printed on: December 13, 2024 at 11:12 o'clock

kreuzberger
kreuzberger Sep 25, 2024 at 06:54:04 (UTC)
Goto Top
Moin @Bella21

eigentlich sollte das der klassische Fall für einen Terminalserver sein.


Kreuzberger
kpunkt
kpunkt Sep 25, 2024 updated at 06:57:51 (UTC)
Goto Top
Der letzte Beitrag hört sich Interessant an
RDP nur auf bestimme Systeme zulassen

Oder dann
Windows RDP mit Verbindungssicherheitsregeln absichern

Zitat von @kreuzberger:

eigentlich sollte das der klassische Fall für einen Terminalserver sein.
Ich vermute, dass da ein Software im Einsatz ist, die nicht auf dem Server lauffähig ist, bzw. dass man dort eine entsprechend teure Serverlösung bräuchte.
pebcak7123
pebcak7123 Sep 25, 2024 at 07:08:11 (UTC)
Goto Top
Normalerweise dürfen nicht-admins sich ja eh nicht per rdp auf ein client-windows einloggen, sondern müssen explizit in die Remotedesktopuser-Gruppe des Clients eingetragen werden. Ist das bei euch anders ?
cse
cse Sep 25, 2024 at 08:19:41 (UTC)
Goto Top
eben, damit kann er das doch prima steuern.

Entweder auf jeder Kiste die User einzeln einstellen oder per AD Gruppe "VM_RDP_#1", da dann die User für VM1 rein und die Gruppe dann an der VM als RDP User hinzufügen.
kpunkt
kpunkt Sep 25, 2024 at 08:39:41 (UTC)
Goto Top
Zitat von @cse:

eben, damit kann er das doch prima steuern.
Kann man das? Oke ich hab das noch nie ausprobiert, bei uns ist entweder alles oder nix. Also RDP ja oder RDP nein.
Aber damit auf einzelne VMs den Zugriff gezielt erlauben und auf gezielt andere nicht?
Also z.B. wie oben insgesamt 12 VMs und ein paar User dürfen sich da nur auf 10 der VMs per RDP einloggen.
Ich hätte behauptet, das geht nicht so einfach. Rausfiltern von welcher IP eine RDP-Session erlaubt ist ja, aber rausfiltern auf welche Ziel-IP der User darf nicht.
Hm...wieder was gelernt. Muss mir da die GPO mal genauer anschauen.
Michi91
Michi91 Sep 25, 2024 updated at 09:00:08 (UTC)
Goto Top
@kpunkt
In den erweiterten Systemeinstellungen kann man den Remotezugriff begrenzen / festlegen
Ansonsten ist der Hinweis von @pebcak7123 total wichtig und richtig


Per GPO ginge es über:
Computer Configuration | Windows Settings | Security Settings | Local Policies | User Rights Assignment.
"Deny logon through Remote Desktop Services" bzw. "Allow logon through Remote Desktop Services"

Wir machen das hier händisch bzw. über Ansible als "Configmanagement",
screenshot 2024-09-25 104946
kpunkt
kpunkt Sep 25, 2024 at 09:01:23 (UTC)
Goto Top
Danke dafür.
Man lernt nie aus.
kreuzberger
kreuzberger Sep 25, 2024 at 09:01:24 (UTC)
Goto Top
@Michi91

ich vermute mal, du musst auf allen VMs jeden User als Account einrichten, der/die darauf arbeiten können soll. Darüber hinaus dann jeden dieser User an der stelle wie du es eins weiter oben darstellst als Remote-User extra zulassen.

Wie man das dann regelt, dass User sich dann immer eine „freie“ (nicht besetzte) VM aussuchen können ist mir auch unklar. So wird man dann wohl den Usern zumuten, per try an error sich eine freie VM zu suchen indem man alle durchprobiert.

Kreuzberger
pebcak7123
pebcak7123 Sep 25, 2024 at 09:10:50 (UTC)
Goto Top
Wenn die VMs in der Domäne sind muss man da keine user extra einrichten, nur wie Michi91 richtig sagt den RDP-Zugriff für eine Benutzergruppe mit hilfe von GPO erlauben.
Würde das dann über einen RD-Connectionbroker laufen lassen damit sich die User nicht drum kümmern müssen welche VM gerade frei ist.
Ob das jetzt sinnvoll / günstiger gegenüber einem Terminalserver ist steht auf einem anderen Blatt. Da gibts ja hier sowieso immer verschiedene Meinungen über die korrekte Lizensierung.
kpunkt
kpunkt Sep 25, 2024 at 09:10:59 (UTC)
Goto Top
Zitat von @kreuzberger:

@Michi91

ich vermute mal, du musst auf allen VMs jeden User als Account einrichten, der/die darauf arbeiten können soll. Darüber hinaus dann jeden dieser User an der stelle wie du es eins weiter oben darstellst als Remote-User extra zulassen.
Im AD-Umfeld fällt ja das Anlegen der User flach.
Und wenn man das Zulassen dann eben per GPO machen kann, ists ja brauchbar.

Ich kannte das auch nur per manuellem anlegen auf jeder Maschine. Die GPO hingegen kannte ich nicht. Legt man die Clients in eine OU kann man das auch für alle abhandeln.

Das Balancing hingegen wird schwierig. Bei einer solchen Windows-10-VM bei mir und nur zwei Usern, die da drauf dürfen ist das manchmal schon meh. Geschweige denn bei 10 VMs und mehreren Usern....

Es gab aber mal eine Software bis Windows 7, die aus einem Desktop einen Server machte. Gleichzeitiger Multi-Logon auf einer Dsktop-VM.
cse
cse Sep 25, 2024 at 14:08:05 (UTC)
Goto Top
Zitat von @kpunkt:

Danke dafür.
Man lernt nie aus.

so isses face-smile
in meiner alten Butze haben wir das viel genutzt. so konnte man auch steuern dass die sich nicht gegenseitig kicken (geht ja immer nur eine aktive Session). Terminal Server hätte sich wohl nicht gelohnt bei 5-10 Client VMs und die ach nur selten genutzt wurden (hauptsächlich Home Office, weil ne Anwendung über VPN nicht lief), außerdem hatte Hyper-V noch Unmengen an Reserven
simple198
simple198 Sep 25, 2024 at 17:54:53 (UTC)
Goto Top
Wir haben zehn Clients als VMs bereitgestellt, die von Standardbenutzern per Remote Desktop genutzt werden können. Auf den Clients ist Windows 10 Pro 64-Bit installiert.

Hört sich spannend an...


Besteht die Möglichkeit, den Zugriff dieser Benutzer per GPO (Gruppenrichtlinie) so zu beschränken, dass sie nur auf diese zehn Clients zugreifen können? Wenn ja, wie lässt sich das umsetzen?

Jap. Du erstellst je VM eine GPO (ist eine Computer-Richtlinie) und setzt dort die RDP Berechtigung. Ich arbeite dann auch immer mit SSO-Gruppen in der AD, wo ich die User entsprechend einordne.

Hier einmal von MS bzw. einem Beitrag.

Bei mir gibt es keine einzelnen Berechtigungen von Usern - Ist aber Geschmackssache.