2K3 Enterprise Edition & Terminalserver

Dieses Thema 2K3 Enterprise Edition & Terminalserver im Forum "Windows Server-Systeme" wurde erstellt von Tullamore, 8. Feb. 2005.

Thema: 2K3 Enterprise Edition & Terminalserver Hallo zusammen! :) Ich schlage mich seit einigen Tagen mit ein und dem selben Problem herum.. :P Ich habe hier ein...

  1. Hallo zusammen! :)

    Ich schlage mich seit einigen Tagen mit ein und dem selben Problem herum.. :p

    Ich habe hier ein Netzwerk mit folgenden Merkmalen aufgebaut:

    - Windows 2003 Server Enterprise Edition
    - Active Direktory, DHCP,DNS,WINS,Terminalserver
    - Benutzerkonten (AD) mit serverseitig gesp. Profilen

    Alles funktioniert bisher einwandfrei. User können sich von jedem x-beliebigen Client aus in der Domäne anmelden und auf die entsprechenden Freigaben zugreifen.

    Mein Problem:

    Ich muss zwei Usern einen Zugriff auf den Server per Remotedesktop gestatten. Das funktioniert auch sehr gut. Nur haben die User auf dem Server irgendwie immer Adminrechte, und ich weiß nicht wie ich das unterbinden kann. Wenn sich die User vom Client aus in der Domäne anmelden funktioniert alles. Da hat man z.B. keinen Zugriff auf die Netzwerkumgebung.

    Kann mir jemand helfen? Am besten so, als wäre ich 3 Jahre alt. Ansonsten wander ich hier gleich mit meinem Gürtel auf´s Klo. Habe da so nen schicken Haken an der Decke entdeckt..... 8)


    Vielen Dank im voraus und einen netten Gruß sendet

    Tullamore
     
  2. Du hast nur diesen einen Server ?!?

    Cheers,
    Joshua
     
  3. Ja, es ist ein physikalisch getrenntes Netz. Es darf keine Anbindung nach draußen haben und soll für Auswertungen von vertraulichen Daten genutzt werden.


    Gruß

    Tullamore
     
  4. Naja, auf einem DC kann man sich halt nur anmelden, wenn man Adminrechte hat - das geht nunmal nicht anders.
    Für RDP-Anwendungen nimmt man i.d.R. nen eigenen Server, der nur als Terminalserver verwendet wird.

    Cheers,
    Joshua
     
  5. Hmmm... ich verstehe das immer noch nicht so ganz.

    Nochmal kurz zusammengefaßt (damit ich das auch kapiere ::) ) :

    1. Ich habe hier einen Server mit Active Directory & TS installiert. Diese Tatsache ansich scheint ja irgendwie schon schlecht zu sein. Richtig?

    2. Ich habe Benutzerkonten die über ein serverseitig gespeichertes Benutzerprofil verfügen. Ich kann mich in der Domäne von jedem Client aus anmelden und die gewünschten Laufwerke werden gemappt. Auch gut...

    3. Ich kann mich als Admin per Remotedesktopverbindung auf meinem Server anmelden. Funktioniert & habe vollen Zugriff. Auch gut....

    4. Ich kann mich als Domänenbenutzer per Remotedesktop auf dem Server anmelden. Sehr gut...


    Wenn ich mich nun als User XY auf dem Server anmelde habe ich ja momentan vollen Zugriff.

    Wenn ich mich nun aber auf Client YX als User XY anmelde, greift die Richtlinie und ich habe eingeschränkte Rechte. Irgendwie will ich das noch nicht so ganz einsehen...... 8)

    Ich kann ja z.B. unter Terminaldienstekonfiguration/Verbindungen bei RDP-Tcp die Berechtigungen für die User die sich per Remote auf dem Server anmelden einstellen. Oder bin ich da mal sowas von komplett auf dem Holzweg?
     
  6. An sich nein... Das nennt sich dann Remote-Verwaltung. Geniale Sache, wenn der Server am Ar... der Welt steht, oder man nicht immer ins Rechenzentrum latschen möchte.

    korrekt... aber beachte, das Du für die Terminal-Services seperate Profile benötigst.

    genau... da sich das Remote-Verwaltung nennt impliziert es schon die (nötigen) Adminrechte.

    ähm... NEIN, ein Domänenbenutzer hat NICHTS auf dem Domänenkontroller zu suchen...

    wenn User XY vollen Zugriff (sprich Adminrechte erhalten hat ja... aber die musst DU ihm verpasst haben - automatisch bekommt er die nicht)

    Stimmt ja so auch nicht...
    Der Windows Domänenkontroller ist die höchste Verwaltungsebene einer AD(Domäne), daher DARF hier nur der Administrator zugreifen. Alles andere wäre Schwachflug hoch 10. Aber wieso asoziierst Du das nun mit einem Client ?
    Ich dachte es geht um deinen DC ?

    jain... das kannst Du schon, aber das ist IMHO die schlechteste aller Möglichkeiten.

    Wenn Du unbedingt zwei Usern den Zugriff auf den DC geben musst, aber diese User an sich einschränken möchtest, empfehle ich dir eine Anpassung der Policies.

    Gruß
    Sven
     
  7. Oh Mann! :p

    Ich muss mich erstmal sammeln....... pfffffft ???

    Ich glaube ich erkläre das eine oder andere vielleicht nicht ganz verständlich.


    Ich meinte folgendes:

    Der User Schmidt (fiktiv) meldet sich an seinem Client mit seinem Anmeldenamen und seinem Passwort an seinem Client in der Domäne an. Während der Anmeldung wird das Benutzerprofil vom Server geladen und er hat Zugriff auf die Domäne. Soweit so gut.....

    Öffnet er nun eine Remotedesktopverbindung mit dem Server sieht er den Anmeldebildschirm des Servers und meldet sich mit den selben Daten, die er auch auf seinem Client zur Anmeldung benutzt, am Server an. Der Server akzeptiert die Benutzerdaten und läßt ihn drauf. Nun kann der Benutzer mit vollen Rechten auf den Server zugreifen.

    Wahrscheinlich mache ich gerade alles falsch, was man nur falsch machen kann... :-\ Aber naja... dafür ist so ne Testkiste ja ganz okay. Hauptsache ich habe es geschnallt, wenn es hier losgehen soll. Stecke ja quasi noch in den Kinderschuhen....


    Wenn ich das ganze nun per Group Policies regeln möchte, wie gehe ich da am besten vor? Ich habe zwar von allem schon gehört, aber noch nichts wirklich gemacht. Gibt es für solche Zwecke schon vorgefertigte Templates?

    Oder vielleicht habt ihr einen Link und eine Buchempfehlung um die ganze Sache in den Griff zu bekommen?

    Gruß

    Tullamore
     
  8. das ist das Normale Verhalten...

    Wenn DAS der Fall sein sollte, dann hast Du diesen Benutzer auf dem Server in die lokale Administratorengruppe aufgenommen. Andernfalls hätte er KEINE Adminrechte.

    Deine Einstellung ist schonmal die Richtige...

    Erste Anlaufstelle bei GPO's wäre www.gruppenrichtlinien.de.

    Interesannt wäe erst einmal zu wissen, wieso Du überhaupt jemandem Adminrechte auf dem Server geben musst/möchtest. Eventuell reicht auch Druckeroperator (kann sich ebenfalls anmelden, aber kaum Administrationsaufgaben durchführen)

    Gruß
    Sven
     
  9. Also als erstes mal einen schönen Dank an die geduldigen Mitleser hier.  ;D Habe mit diesem Problem schon in mehreren Foren gepostet und keine Antwort bekommen. Und wenn doch, eher unfreundlich!



    Ne, das will ich ja auch garnicht. Oder besser gesagt, genau das ist ja mein Problem. Das sich die User auf dem Server mit vollen Rechten anmelden. Werde das morgen nochmal ganz genau checken. Irgendwo muß ich denen da ein Adminrecht gegeben haben, ohne zu wissen wie und wo...  :eek:

    Nochmal eine Frage zu den Policies...  8) :

    Ich habe ja einmal die Default Domain Policy und einmal die Default Domain Controllers Policy.

    Nehmen wir mal an, ich sage der olle Papierkorb soll vom Desktop verschwinden. Unabhängig davon in welcher der beiden Policies ich das nun anordne, für wen gilt das dann? Für alle? Oder kann ich das irgendwie noch spezifizieren? Das ist eigentlich auch noch einer der Gründe, warum ich da noch nicht großartig rumgespielt habe. Irgendwie ist mir das noch nicht so transparent.


    P.S.: Gruppenrichtlinien.de werde ich mir heute Abend mal genauer anschauen.

    Gruß

    Tullamore
     
  10. Default Domain Policy: GPO, welche sich auf ALLE Objekte innerhalb der Domäne bezieht.

    Default Domain Controllers Policy: GPO, welche sich NUR auf Objekte im Container Domain
    Controllers befinden bezieht.

    Auf wen diese Policy angewandt wird, hängt vom Security-Filtering ab.
    Wenn der Apply-Haken bei Authenticated Users drin ist, wirkt diese Policy auf ALLE User, welche sich auf irgendeinen Weg an der Domäne autentisiert haben.
    Hier empfiehlt es sich über Gruppenzuordnungen zu arbeiten.
    Unser GPO Modell sieht zum Beispiel mehrere Gruppen vor:

    - Apply Gruppe: Hier werden die Settings ausgeführt
    - Deny Gruppe: Diesen Usern/Gruppen wird die GPO verweigert, sprich sie wird NICHT verarbeitet (meinstens die Administratoren)
    - Modify Gruppe: Dürfen die GPO anpassen.

    Am besten Du liest Dir erst mal in Ruhe die Basics unter oben genanntem Link durch und wenn dann noch Fragen sind, dann nochma posten. Ohne das Du das ganze gesehen hast, macht es IMHO wenig Sinn ;)

    By the Way... Ich empfehle dir die Gruppenrichtlinien-Verwaltungskonsole zum bearbeiten der Policies.

    Gruß
    Sven
     
Die Seite wird geladen...

2K3 Enterprise Edition & Terminalserver - Ähnliche Themen

Forum Datum
NOD32 Enterprise Edition Windows XP Forum 6. Mai 2007
ISA Server 2004 Enterprise Edition Windows XP Forum 7. März 2007
Bücher zu Windows 2003 Server Enterprise Edition / Microsoft Cluster Windows XP Forum 16. März 2005
Windows Server 2003 enterprise Edition Windows Server-Systeme 13. März 2005
Win7 Enterprise verlangt nach Aktivierung Windows 7 Forum 29. Aug. 2015