- #1
N
nixblicker
Neues Mitglied
Themenersteller
- Dabei seit
- 12.11.2003
- Beiträge
- 4
- Reaktionspunkte
- 0
Hallo Forum,
ich habe folgende Frage(n) an Euch. Meine Frage dreht sich um Rechtevergabe und Policies.
Zunächst versuche ich mal das Szenario wie es bei uns installiert ist zu beschreiben.
Ein DC (Domänencontroller) der auch gleichzeitig als Anwendungsserver mit einer Datenbank (MS-SQL 2000) läuft. Daneben ein Terminalserver welcher auf die Anwendung (Datenbank) auf dem DC zugreift.
Auf dem Terminalserver sind die entsprechenden Benutzer welche über den Terminalserver auf die Datenbank zugreifen angelegt.
Jetzt haben die Benutzer die sich am Terminalserver anmelden aber leider auch das Recht den Terminalserver herunterzufahren. Dies möchte ich natürlich nicht. Die Benutzer sollen lediglich das recht haben die Sitzung zu trennen.
Ich weiss dass es in der gpedit.msc möglich ist das Recht den Terminalserver herunterzufahren wegzunehmen, aber leider betrifft diese Einstellung auch den Administrator.
Nun habe ich irgendwo gelesen, dass mann wenn man einen DC (Domänencontroller) einsetzt die Rechte auch für jeden einzelnen Benutzer oder eine bestimmte Benutzergruppe so einstellen kann wie ich es benötige. Leider war das auch schon alles was da stand, keine Ansätze oder gar ein bissi weiterführende Hilfe.
Nun genau an dieser Stelle fängt mein Problem an.
Wie muss ich die Benutzeranmeldung am Netzwerk bewerkstelligen damit das o.g. auch wirklich funktioniert ?
Ich denke mir das mal so.
Der Benutzer meldet sich an seinem (Windows NT 4.0-Client) an und zwar an der Domäne (Windows 2000-Server).
Auf dem Domänencontroller ist der Benutzer in einer Gruppe (z.B. Datenbank) eingetragen. Ok ?!
Frage 1 : Muss ich jetzt schon auf dem DC dieser Gruppe die Rechte beschränken ?
Dann startet der Benutzer eine Sitzung am Terminalserver um mit dem Datenbankprogramm arbeiten zu können. Auch noch verständlich denke ich.
Frage 2: Woher weiss der Terminalserver dass es auf dem DC eine Gruppe gibt, die bestimmte (beschränkte) Rechte hat, und dass diese bitte schön anzuwenden sind ?
Frage 3: Muss ich dann auch noch am Terminalserver in der gpedit.msc einstellen ? (Betrifft das nicht dann wieder alle Benutzer, auch den Admin?)
Oder muss ich den Terminalserver auch zum DC (Domänencontroller) machen, so dass dieser sich per Replikation die Infos besorgt ? Das würde ich aber nur sehr ungern amchen, weil dadurch wohl die Leistung des Terminalservers herunter geht, oder ?
Viele Fragen, aber ich hoffe ihr helft einem Newbie.
Falls dieses Thema schon so oder ähnlich behandelt wurde bitte ich um entschuldigung, ich habe gesucht aber nichts passendes gefunden.
Ein Link auf den entsrechenden Thread wäre dann sehr nett.
Danke im voraus sagt nixblicker
ich habe folgende Frage(n) an Euch. Meine Frage dreht sich um Rechtevergabe und Policies.
Zunächst versuche ich mal das Szenario wie es bei uns installiert ist zu beschreiben.
Ein DC (Domänencontroller) der auch gleichzeitig als Anwendungsserver mit einer Datenbank (MS-SQL 2000) läuft. Daneben ein Terminalserver welcher auf die Anwendung (Datenbank) auf dem DC zugreift.
Auf dem Terminalserver sind die entsprechenden Benutzer welche über den Terminalserver auf die Datenbank zugreifen angelegt.
Jetzt haben die Benutzer die sich am Terminalserver anmelden aber leider auch das Recht den Terminalserver herunterzufahren. Dies möchte ich natürlich nicht. Die Benutzer sollen lediglich das recht haben die Sitzung zu trennen.
Ich weiss dass es in der gpedit.msc möglich ist das Recht den Terminalserver herunterzufahren wegzunehmen, aber leider betrifft diese Einstellung auch den Administrator.
Nun habe ich irgendwo gelesen, dass mann wenn man einen DC (Domänencontroller) einsetzt die Rechte auch für jeden einzelnen Benutzer oder eine bestimmte Benutzergruppe so einstellen kann wie ich es benötige. Leider war das auch schon alles was da stand, keine Ansätze oder gar ein bissi weiterführende Hilfe.
Nun genau an dieser Stelle fängt mein Problem an.
Wie muss ich die Benutzeranmeldung am Netzwerk bewerkstelligen damit das o.g. auch wirklich funktioniert ?
Ich denke mir das mal so.
Der Benutzer meldet sich an seinem (Windows NT 4.0-Client) an und zwar an der Domäne (Windows 2000-Server).
Auf dem Domänencontroller ist der Benutzer in einer Gruppe (z.B. Datenbank) eingetragen. Ok ?!
Frage 1 : Muss ich jetzt schon auf dem DC dieser Gruppe die Rechte beschränken ?
Dann startet der Benutzer eine Sitzung am Terminalserver um mit dem Datenbankprogramm arbeiten zu können. Auch noch verständlich denke ich.
Frage 2: Woher weiss der Terminalserver dass es auf dem DC eine Gruppe gibt, die bestimmte (beschränkte) Rechte hat, und dass diese bitte schön anzuwenden sind ?
Frage 3: Muss ich dann auch noch am Terminalserver in der gpedit.msc einstellen ? (Betrifft das nicht dann wieder alle Benutzer, auch den Admin?)
Oder muss ich den Terminalserver auch zum DC (Domänencontroller) machen, so dass dieser sich per Replikation die Infos besorgt ? Das würde ich aber nur sehr ungern amchen, weil dadurch wohl die Leistung des Terminalservers herunter geht, oder ?
Viele Fragen, aber ich hoffe ihr helft einem Newbie.
Falls dieses Thema schon so oder ähnlich behandelt wurde bitte ich um entschuldigung, ich habe gesucht aber nichts passendes gefunden.
Ein Link auf den entsrechenden Thread wäre dann sehr nett.
Danke im voraus sagt nixblicker
