2K3 Enterprise Edition & Terminalserver

Hallo zusammen!

Ich schlage mich seit einigen Tagen mit ein und dem selben Problem herum..

Ich habe hier ein Netzwerk mit folgenden Merkmalen aufgebaut:

- Windows 2003 Server Enterprise Edition
- Active Direktory, DHCP,DNS,WINS,Terminalserver
- Benutzerkonten (AD) mit serverseitig gesp. Profilen

Alles funktioniert bisher einwandfrei. User können sich von jedem x-beliebigen Client aus in der Domäne anmelden und auf die entsprechenden Freigaben zugreifen.

Mein Problem:

Ich muss zwei Usern einen Zugriff auf den Server per Remotedesktop gestatten. Das funktioniert auch sehr gut. Nur haben die User auf dem Server irgendwie immer Adminrechte, und ich weiß nicht wie ich das unterbinden kann. Wenn sich die User vom Client aus in der Domäne anmelden funktioniert alles. Da hat man z.B. keinen Zugriff auf die Netzwerkumgebung.

Kann mir jemand helfen? Am besten so, als wäre ich 3 Jahre alt. Ansonsten wander ich hier gleich mit meinem Gürtel auf´s Klo. Habe da so nen schicken Haken an der Decke entdeckt..... 8)


Vielen Dank im voraus und einen netten Gruß sendet

Tullamore

Du hast nur diesen einen Server ?!?

Cheers,
Joshua

PCDJoshua schrieb:

Du hast nur diesen einen Server ?!?

Cheers,
Joshua

Zum Vergrößern anklicken....

Ja, es ist ein physikalisch getrenntes Netz. Es darf keine Anbindung nach draußen haben und soll für Auswertungen von vertraulichen Daten genutzt werden.


Gruß

Tullamore

Naja, auf einem DC kann man sich halt nur anmelden, wenn man Adminrechte hat - das geht nunmal nicht anders.
Für RDP-Anwendungen nimmt man i.d.R. nen eigenen Server, der nur als Terminalserver verwendet wird.

Cheers,
Joshua

Hmmm... ich verstehe das immer noch nicht so ganz.

Nochmal kurz zusammengefaßt (damit ich das auch kapiere : ) :

1. Ich habe hier einen Server mit Active Directory & TS installiert. Diese Tatsache ansich scheint ja irgendwie schon schlecht zu sein. Richtig?

2. Ich habe Benutzerkonten die über ein serverseitig gespeichertes Benutzerprofil verfügen. Ich kann mich in der Domäne von jedem Client aus anmelden und die gewünschten Laufwerke werden gemappt. Auch gut...

3. Ich kann mich als Admin per Remotedesktopverbindung auf meinem Server anmelden. Funktioniert & habe vollen Zugriff. Auch gut....

4. Ich kann mich als Domänenbenutzer per Remotedesktop auf dem Server anmelden. Sehr gut...


Wenn ich mich nun als User XY auf dem Server anmelde habe ich ja momentan vollen Zugriff.

Wenn ich mich nun aber auf Client YX als User XY anmelde, greift die Richtlinie und ich habe eingeschränkte Rechte. Irgendwie will ich das noch nicht so ganz einsehen...... 8)

Ich kann ja z.B. unter Terminaldienstekonfiguration/Verbindungen bei RDP-Tcp die Berechtigungen für die User die sich per Remote auf dem Server anmelden einstellen. Oder bin ich da mal sowas von komplett auf dem Holzweg?

1.  Ich habe hier einen Server mit Active Directory & TS installiert. Diese Tatsache ansich scheint ja irgendwie schon schlecht zu sein. Richtig?

Zum Vergrößern anklicken....

An sich nein... Das nennt sich dann Remote-Verwaltung. Geniale Sache, wenn der Server am Ar... der Welt steht, oder man nicht immer ins Rechenzentrum latschen möchte.

2. Ich habe Benutzerkonten die über ein serverseitig gespeichertes Benutzerprofil verfügen. Ich kann mich in der Domäne von jedem Client aus anmelden und die gewünschten Laufwerke werden gemappt. Auch gut...

Zum Vergrößern anklicken....

korrekt... aber beachte, das Du für die Terminal-Services seperate Profile benötigst.

3. Ich kann mich als Admin per Remotedesktopverbindung auf meinem Server anmelden. Funktioniert & habe vollen Zugriff. Auch gut....

Zum Vergrößern anklicken....

genau... da sich das Remote-Verwaltung nennt impliziert es schon die (nötigen) Adminrechte.

4. Ich kann mich als Domänenbenutzer per Remotedesktop auf dem Server anmelden. Sehr gut...

Zum Vergrößern anklicken....

ähm... NEIN, ein Domänenbenutzer hat NICHTS auf dem Domänenkontroller zu suchen...

Wenn ich mich nun als User XY auf dem Server anmelde habe ich ja momentan vollen Zugriff.

Zum Vergrößern anklicken....

wenn User XY vollen Zugriff (sprich Adminrechte erhalten hat ja... aber die musst DU ihm verpasst haben - automatisch bekommt er die nicht)

Wenn ich mich nun aber auf Client YX als User XY anmelde, greift die Richtlinie und ich habe eingeschränkte Rechte. Irgendwie will ich das noch nicht so ganz einsehen......  8)

Zum Vergrößern anklicken....

Stimmt ja so auch nicht...
Der Windows Domänenkontroller ist die höchste Verwaltungsebene einer AD(Domäne), daher DARF hier nur der Administrator zugreifen. Alles andere wäre Schwachflug hoch 10. Aber wieso asoziierst Du das nun mit einem Client ?
Ich dachte es geht um deinen DC ?

Ich kann ja z.B. unter Terminaldienstekonfiguration/Verbindungen bei RDP-Tcp die Berechtigungen für die User die sich per Remote auf dem Server anmelden einstellen. Oder bin ich da mal sowas von komplett auf dem Holzweg?

Zum Vergrößern anklicken....

jain... das kannst Du schon, aber das ist IMHO die schlechteste aller Möglichkeiten.

Wenn Du unbedingt zwei Usern den Zugriff auf den DC geben musst, aber diese User an sich einschränken möchtest, empfehle ich dir eine Anpassung der Policies.

Gruß
Sven

Oh Mann!

Ich muss mich erstmal sammeln....... pfffffft ???

Ich glaube ich erkläre das eine oder andere vielleicht nicht ganz verständlich.

Zitat
Wenn ich mich nun aber auf Client YX als User XY anmelde, greift die Richtlinie und ich habe eingeschränkte Rechte. Irgendwie will ich das noch nicht so ganz einsehen......

Stimmt ja so auch nicht...
Der Windows Domänenkontroller ist die höchste Verwaltungsebene einer AD(Domäne), daher DARF hier nur der Administrator zugreifen. Alles andere wäre Schwachflug hoch 10. Aber wieso asoziierst Du das nun mit einem Client ?
Ich dachte es geht um deinen DC ?

Zum Vergrößern anklicken....

Ich meinte folgendes:

Der User Schmidt (fiktiv) meldet sich an seinem Client mit seinem Anmeldenamen und seinem Passwort an seinem Client in der Domäne an. Während der Anmeldung wird das Benutzerprofil vom Server geladen und er hat Zugriff auf die Domäne. Soweit so gut.....

Öffnet er nun eine Remotedesktopverbindung mit dem Server sieht er den Anmeldebildschirm des Servers und meldet sich mit den selben Daten, die er auch auf seinem Client zur Anmeldung benutzt, am Server an. Der Server akzeptiert die Benutzerdaten und läßt ihn drauf. Nun kann der Benutzer mit vollen Rechten auf den Server zugreifen.

Wahrscheinlich mache ich gerade alles falsch, was man nur falsch machen kann... :-\ Aber naja... dafür ist so ne Testkiste ja ganz okay. Hauptsache ich habe es geschnallt, wenn es hier losgehen soll. Stecke ja quasi noch in den Kinderschuhen....


Wenn ich das ganze nun per Group Policies regeln möchte, wie gehe ich da am besten vor? Ich habe zwar von allem schon gehört, aber noch nichts wirklich gemacht. Gibt es für solche Zwecke schon vorgefertigte Templates?

Oder vielleicht habt ihr einen Link und eine Buchempfehlung um die ganze Sache in den Griff zu bekommen?

Gruß

Tullamore

Der User Schmidt (fiktiv) meldet sich an seinem Client mit seinem Anmeldenamen und seinem Passwort an seinem Client in der Domäne an. Während der Anmeldung wird das Benutzerprofil vom Server geladen und er hat Zugriff auf die Domäne. Soweit so gut.....

Zum Vergrößern anklicken....

das ist das Normale Verhalten...

Öffnet er nun eine Remotedesktopverbindung mit dem Server sieht er den Anmeldebildschirm des Servers und meldet sich mit den selben Daten, die er auch auf seinem Client zur Anmeldung benutzt, am Server an. Der Server akzeptiert die Benutzerdaten und läßt ihn drauf. Nun kann der Benutzer mit vollen Rechten auf den Server zugreifen.

Zum Vergrößern anklicken....

Wenn DAS der Fall sein sollte, dann hast Du diesen Benutzer auf dem Server in die lokale Administratorengruppe aufgenommen. Andernfalls hätte er KEINE Adminrechte.

Wahrscheinlich mache ich gerade alles falsch, was man nur falsch machen kann...  :-\ Aber naja... dafür ist so ne Testkiste ja ganz okay. Hauptsache ich habe es geschnallt, wenn es hier losgehen soll. Stecke ja quasi noch in den Kinderschuhen....

Zum Vergrößern anklicken....

Deine Einstellung ist schonmal die Richtige...

Wenn ich das ganze nun per Group Policies regeln möchte, wie gehe ich da am besten vor? Ich habe zwar von allem schon gehört, aber noch nichts wirklich gemacht. Gibt es für solche Zwecke schon vorgefertigte Templates?
Oder vielleicht habt ihr einen Link und eine Buchempfehlung um die ganze Sache in den Griff zu bekommen?

Zum Vergrößern anklicken....

Erste Anlaufstelle bei GPO's wäre www.gruppenrichtlinien.de.

Interesannt wäe erst einmal zu wissen, wieso Du überhaupt jemandem Adminrechte auf dem Server geben musst/möchtest. Eventuell reicht auch Druckeroperator (kann sich ebenfalls anmelden, aber kaum Administrationsaufgaben durchführen)

Gruß
Sven

Also als erstes mal einen schönen Dank an die geduldigen Mitleser hier.  ;D Habe mit diesem Problem schon in mehreren Foren gepostet und keine Antwort bekommen. Und wenn doch, eher unfreundlich!

RavensMetaller schrieb:

Interesannt wäe erst einmal zu wissen, wieso Du überhaupt jemandem Adminrechte auf dem Server geben musst/möchtest. Eventuell reicht auch Druckeroperator (kann sich ebenfalls anmelden, aber kaum Administrationsaufgaben durchführen)

Gruß
Sven

Zum Vergrößern anklicken....

Ne, das will ich ja auch garnicht. Oder besser gesagt, genau das ist ja mein Problem. Das sich die User auf dem Server mit vollen Rechten anmelden. Werde das morgen nochmal ganz genau checken. Irgendwo muß ich denen da ein Adminrecht gegeben haben, ohne zu wissen wie und wo... 

Nochmal eine Frage zu den Policies...  8) :

Ich habe ja einmal die Default Domain Policy und einmal die Default Domain Controllers Policy.

Nehmen wir mal an, ich sage der olle Papierkorb soll vom Desktop verschwinden. Unabhängig davon in welcher der beiden Policies ich das nun anordne, für wen gilt das dann? Für alle? Oder kann ich das irgendwie noch spezifizieren? Das ist eigentlich auch noch einer der Gründe, warum ich da noch nicht großartig rumgespielt habe. Irgendwie ist mir das noch nicht so transparent.


P.S.: Gruppenrichtlinien.de werde ich mir heute Abend mal genauer anschauen.

Gruß

Tullamore

Default Domain Policy: GPO, welche sich auf ALLE Objekte innerhalb der Domäne bezieht.

Default Domain Controllers Policy: GPO, welche sich NUR auf Objekte im Container Domain
Controllers befinden bezieht.

Auf wen diese Policy angewandt wird, hängt vom Security-Filtering ab.
Wenn der Apply-Haken bei Authenticated Users drin ist, wirkt diese Policy auf ALLE User, welche sich auf irgendeinen Weg an der Domäne autentisiert haben.
Hier empfiehlt es sich über Gruppenzuordnungen zu arbeiten.
Unser GPO Modell sieht zum Beispiel mehrere Gruppen vor:

- Apply Gruppe: Hier werden die Settings ausgeführt
- Deny Gruppe: Diesen Usern/Gruppen wird die GPO verweigert, sprich sie wird NICHT verarbeitet (meinstens die Administratoren)
- Modify Gruppe: Dürfen die GPO anpassen.

Am besten Du liest Dir erst mal in Ruhe die Basics unter oben genanntem Link durch und wenn dann noch Fragen sind, dann nochma posten. Ohne das Du das ganze gesehen hast, macht es IMHO wenig Sinn

By the Way... Ich empfehle dir die Gruppenrichtlinien-Verwaltungskonsole zum bearbeiten der Policies.

Gruß
Sven

Okay

Werde mir das alles mal in Ruhe zu Gemüte führen und dann nochmal nachhören.

Vielen Dank für die Kompetente Hilfe und bis bald!


Gruß

Tullamore

Hi Tullamore,

bist du dir wirklich sicher, dass die Benutzer über Adminrechte verfügen? Du hast geschrieben, dass deine Benutzer keinen Zugriff auf die Netzwerkumgebung* haben; diese auf dem Server allerdings schon erscheint. Könnte das daran liegen, dass die Richtlinie, die den Benutzern auf den Clients die Netzwerkumgebung ausblendet, schlicht und einfach nur auf dem Server nicht greift? Du solltest einfach mal versuchen, als normaler Benutzer per Remote Desktop irgendetwas durchzuführen, wofür Adminberechtigungen benötigt werden, z. B. ein Programm installieren. Oder du erstelltst mit dem echten Admin einen leeren Ordner und versuchst mit dem normalen Benutzer, die Berechtigungen zu ändern oder den Besitz zu übernehmen.
Wenn der Benutzer allerdings keine Adminrechte auf dem Server hat, kann er sich unter normalen Umständen auch nicht direkt am Server anmelden; d.h., das müsste dann bereits vorher an den betr. DC-Richtlinien geändert worden sein.
Sollte er wirklich Adminrechte haben, dann ist mir das ein verdammt großes Rätsel. Gleichzeitig auf einer Workstation keine Adminrechte zu haben und auf dem Server schon - das passt irgendwie nicht zusammen. Du kannst ja in den Eigenschaften des Benutzers in dem Tab Mitglied von sehen, ob die Benutzer Mitglied in irgendeiner administrativen Gruppe sind - vielleicht hat irgendein anderer Admin oder auch du selbst das dort mal aus Testgründen eingestellt. Das würde dann auch erklären, warum sich die Benutzer am Server anmelden können.

* achja: ich würde den Benutzern nicht soo viel verbieten. Solange es nur normale Domänen-Benutzer und keine Domänen-Admins sind, kann man nicht so besonders viel an den Workstations verstellen oder gar kaputtmachen; zu sehr eingeschränkte Rechte behindern da meistens eher, statt dass sie helfen. Auch wenn man sich da als Admin manchmal nicht so sicher ist ^^

MfG Martin