W2K Termserver - Userprivilegien

Dieses Thema W2K Termserver - Userprivilegien im Forum "Windows 95-2000" wurde erstellt von remark, 4. Feb. 2003.

Thema: W2K Termserver - Userprivilegien Hallo, wie kann ich auf einem W2K Termserver für User den Affengriff oder zumendest das Herunterfahren/Neustarten...

  1. Hallo,

    wie kann ich auf einem W2K Termserver für User den Affengriff oder zumendest das Herunterfahren/Neustarten abschalten ?
    Ich find's einfach nicht.
    Danke und Gruß im voraus remark
     
  2. Wie? ???

    Na überhaupt ned, weilst in der lokalen Admingruppe drin sein musst, und somit alles darfst. Die sollen ja wenns sein muss den Server neu booten können. Is ja eine der Hauptaufgaben wenns drauf ankommt.
     
  3. Hallo und danke für die Info.
    Als Admin will ich natürlich aus- und anmachen, aber nicht al geöhnlicher User.
    Hab's auch gefunden unter <Sicherheitsrichtlinie für Domänencontroller> <Zuweisen von Benutzerrechten>.
    Funktioniert auch für alle, die sich lokal und über den Terminalclient anmelden.
    Danke und Gruß remark.
     
  4. Ich denke mal du setzt den Standard Windows 2000 Terminal Server ein? Hast du den im Anwendungsmodus installiert?

    Natürlich kannst du den Benutzern das Herunterfahren in einer Terminalsession untersagen. Wäre auch sehr krass, wenn's jeder könnte.

    Normalerweise werden Anwendungen als Published Application Benutzer zugewiesen, so dass sie nur diese einsetzen können. Der Desktop wir eher seltener komplett freigegeben.

    Die Benutzer sind lokal eingerichtet und nicht Mitglied der Administratoren. Hierdurch allein sind sie schon sind ihre Rechte eingeschränkt und sie können sich nur noch Abmelden von der Session. Vorraussetzung ist die Einrictung des Terminal Servers im Anwendungsmodus. Die Benutzer dürfen nur Mitglied der Gruppe Benutzer sein.
    In der häufig verwendeten Variante zu reinen administrativen Zwecken geht das nicht, weil hierdurch die lokale Anmeldung am Terminal Server Standard Benutzer untersagt bleibt.

    Gruß,
    Heiko
     
  5. Vorraussetzung für nachfolgendes Szenario ist die Installation des Terminal-Servers im Anwenderverwaltungsmodus. Der Remote-Verwaltungsmodus dient, wie Marco schon schrieb, nur der Administration des Servers bzw. Netzes und setzt Admin-Rechte voraus.
    Im Gegensatz zum Remote-Verwaltungsmodus musst du beim Betreiben eines Terminal-Servers im Anwenderverwaltungs-Modus extra Lizenzen kaufen.

    Hängt der Terminalserver in einer Domäne, dann am besten über Domänen- bzw. Gruppenrichtlinien, ist es ein Standalone-Server über die lokale Sicherheitsrichtlinie.

    Domänen- und lokale Sicherheits-Richtlinie findest über Start => Einstellungen => Systemsteuerung => Verwaltung, die Gruppenrichtlinen wie folgt:
    Auf dem PDC die MMC mit dem Snap-In Active-Directory Benutzer- und Computer starten.
    Den obersten Eintrag -also deine Domäne- rechts anklicken und Eigenschaften wählen, dann auf der Registerkarte Gruppenrichtlinien die Richtlinie auswählen, die du bearbeiten willst bzw. eine neue erstellen.

    Innerhalb dieser Richtlinien kannst du User so ziemlich alles verbieten bzw. erlauben, ohne das diese es ändern könnten.

    Cheers,
    Joshua
     
  6. Hallo,
    noch eine Frage zum W2K-TS:
    Wie erreiche ich, daß User sich nur mit dem Namen/Pw anmelden können, das Sie auch für die Einwahl verwendet haben ?
    Irgendwie habe ich das völlig übersehen und finde die Lösung nicht.
    Danke und Gruss remark
     
  7. ???
    Erläutere das bitte mal genauer....

    Cheers,
    Joshua
     
  8. Guten Abend.
    Nachfolgend die Schritte im einzelnen:
    1.) User meldet sich über eine VPN-Verbindung mit Namen+Pw am Terminalserver an. OK.
    2.) Nun ruft er den T-Client auf, der ihm den Desktop des TS bringt mit Anmeldemaske.
    Ab hier kann er nun eine Usernamen+PW eingeben, der ihm vielleicht von seinem Kollegen bekannt ist.
    Dies möchte ich unterbinden.
    Er soll sich nur mit dem Namen+PW anmelden, mit dem er auch die VPN-Verbindung aufgebaut hat.
    Gruss remark
     
  9. Ok, nun ist klar, was du willst ;-)
    Ehrlich gesagt hab ich mir über diesen Punkt noch nie Gedanken gemacht -welch Frevel- ist ja sicherheitstechnisch schon relevant....
    Nunja, bei uns weiss eben niemand das Passwort von anderen Kollegen, daher.....

    Ich werde mir das morgen im Büro mal anschauen und mal ein wenig rumspielen, nen Blick in die Dokus werfen usw.
    Ich meld mich nochmal.....

    Cheers,
    Joshua
     
  10. Hallo,
    gibt es zu meinem Thema schon irgendwelche neuen Erkenntnisse ?

    Danke und Gruss remark