W2K Termserver - Userprivilegien

remark · 04.02.2003

Hallo,

wie kann ich auf einem W2K Termserver für User den Affengriff oder zumendest das Herunterfahren/Neustarten abschalten ?
Ich find's einfach nicht.
Danke und Gruß im voraus remark

Marco · 04.02.2003

Wie? ???

Na überhaupt ned, weilst in der lokalen Admingruppe drin sein musst, und somit alles darfst. Die sollen ja wenns sein muss den Server neu booten können. Is ja eine der Hauptaufgaben wenns drauf ankommt.

remark · 04.02.2003

Hallo und danke für die Info.
Als Admin will ich natürlich aus- und anmachen, aber nicht al geöhnlicher User.
Hab's auch gefunden unter <Sicherheitsrichtlinie für Domänencontroller> <Zuweisen von Benutzerrechten>.
Funktioniert auch für alle, die sich lokal und über den Terminalclient anmelden.
Danke und Gruß remark.

lissi25 · 10.02.2003

Ich denke mal du setzt den Standard Windows 2000 Terminal Server ein? Hast du den im Anwendungsmodus installiert?

Natürlich kannst du den Benutzern das Herunterfahren in einer Terminalsession untersagen. Wäre auch sehr krass, wenn's jeder könnte.

Normalerweise werden Anwendungen als Published Application Benutzer zugewiesen, so dass sie nur diese einsetzen können. Der Desktop wir eher seltener komplett freigegeben.

Die Benutzer sind lokal eingerichtet und nicht Mitglied der Administratoren. Hierdurch allein sind sie schon sind ihre Rechte eingeschränkt und sie können sich nur noch Abmelden von der Session. Vorraussetzung ist die Einrictung des Terminal Servers im Anwendungsmodus. Die Benutzer dürfen nur Mitglied der Gruppe Benutzer sein.
In der häufig verwendeten Variante zu reinen administrativen Zwecken geht das nicht, weil hierdurch die lokale Anmeldung am Terminal Server Standard Benutzer untersagt bleibt.

Gruß,
Heiko

Joshua · 10.02.2003

Vorraussetzung für nachfolgendes Szenario ist die Installation des Terminal-Servers im Anwenderverwaltungsmodus. Der Remote-Verwaltungsmodus dient, wie Marco schon schrieb, nur der Administration des Servers bzw. Netzes und setzt Admin-Rechte voraus.
Im Gegensatz zum Remote-Verwaltungsmodus musst du beim Betreiben eines Terminal-Servers im Anwenderverwaltungs-Modus extra Lizenzen kaufen.

Hängt der Terminalserver in einer Domäne, dann am besten über Domänen- bzw. Gruppenrichtlinien, ist es ein Standalone-Server über die lokale Sicherheitsrichtlinie.

Domänen- und lokale Sicherheits-Richtlinie findest über Start => Einstellungen => Systemsteuerung => Verwaltung, die Gruppenrichtlinen wie folgt:
Auf dem PDC die MMC mit dem Snap-In Active-Directory Benutzer- und Computer starten.
Den obersten Eintrag -also deine Domäne- rechts anklicken und Eigenschaften wählen, dann auf der Registerkarte Gruppenrichtlinien die Richtlinie auswählen, die du bearbeiten willst bzw. eine neue erstellen.

Innerhalb dieser Richtlinien kannst du User so ziemlich alles verbieten bzw. erlauben, ohne das diese es ändern könnten.

Cheers,
Joshua

remark · 28.03.2003

Hallo,
noch eine Frage zum W2K-TS:
Wie erreiche ich, daß User sich nur mit dem Namen/Pw anmelden können, das Sie auch für die Einwahl verwendet haben ?
Irgendwie habe ich das völlig übersehen und finde die Lösung nicht.
Danke und Gruss remark

Joshua · 28.03.2003

remark schrieb:
Hallo,
noch eine Frage zum W2K-TS:
Wie erreiche ich, daß User sich nur mit dem Namen/Pw anmelden können, das Sie auch für die Einwahl verwendet haben ?
Irgendwie habe ich das völlig übersehen und finde die Lösung nicht.
Danke und Gruss remark

???
Erläutere das bitte mal genauer....

Cheers,
Joshua

remark · 29.03.2003

Guten Abend.
Nachfolgend die Schritte im einzelnen:
1.) User meldet sich über eine VPN-Verbindung mit Namen+Pw am Terminalserver an. OK.
2.) Nun ruft er den T-Client auf, der ihm den Desktop des TS bringt mit Anmeldemaske.
Ab hier kann er nun eine Usernamen+PW eingeben, der ihm vielleicht von seinem Kollegen bekannt ist.
Dies möchte ich unterbinden.
Er soll sich nur mit dem Namen+PW anmelden, mit dem er auch die VPN-Verbindung aufgebaut hat.
Gruss remark

Joshua · 30.03.2003

remark schrieb:
Guten Abend.
Nachfolgend die Schritte im einzelnen:
1.) User meldet sich über eine VPN-Verbindung mit Namen+Pw am Terminalserver an. OK.
2.) Nun ruft er den T-Client auf, der ihm den Desktop des TS bringt mit Anmeldemaske.
Ab hier kann er nun eine Usernamen+PW eingeben, der ihm vielleicht von seinem Kollegen bekannt ist.
Dies möchte ich unterbinden.
Er soll sich nur mit dem Namen+PW anmelden, mit dem er auch die VPN-Verbindung aufgebaut hat.
Gruss remark

Ok, nun ist klar, was du willst ;-)
Ehrlich gesagt hab ich mir über diesen Punkt noch nie Gedanken gemacht -welch Frevel- ist ja sicherheitstechnisch schon relevant....
Nunja, bei uns weiss eben niemand das Passwort von anderen Kollegen, daher.....

Ich werde mir das morgen im Büro mal anschauen und mal ein wenig rumspielen, nen Blick in die Dokus werfen usw.
Ich meld mich nochmal.....

Cheers,
Joshua

remark · 01.04.2003

Hallo,
gibt es zu meinem Thema schon irgendwelche neuen Erkenntnisse ?

Danke und Gruss remark

Marco · 01.04.2003

Hab mal gesucht und nichts dazu gefunden, hab ich mir aber schon gedacht.
VPN kannst nicht direkt mit Active Directoriy verbinden, dafür hast aber zwei Sicherheitsblokaden. VPN und AD.

Wennst das Passwort eines Users hast kannst dich damit auch in der Firma anmelden, dazu brauchst kein VPN.

remark · 01.04.2003

Hallo,
Wer oder Was ist AD ?
Wieso kann ich mich über's Internet mit Passwort User direkt am TS anmelden ? Hab' ich da nochwas übersehen ?
Mir will es so nicht gelingen. Bräuchte dafür doch die eindeutige IP-Adresse Oder ?
Danke und Gruss remark

remark · 01.04.2003

Sorry AD ist klar, der Rest aber nicht.

Marco · 02.04.2003

Die IP-Adresse oder nen DNS-Namen brauchst du natürlich schon, den trägst bei VPN-Verbindung einfach ein.

Um mit diesen Daten überhaupt mal ins lokale Netzwerk der Firma zu kommen benötigst du erst mal einen Benutzernamen und ein Passwort um überhaupt zum VPN-Server zu kommen der dich dann als User von aussen identifiziert.

Danach noch deinen Domänenaccount mit Passwort um auf den Terminalserver zu kommen. Denn jetzt bist du dabei in die Domäne einzutreten, dazu musst du dich wiederum identifizieren.

remark · 02.04.2003

So wie beschrieben funktioniert das Ganze auch einwandfrei.
Vielleicht habe ich einen Denkfehler eingebaut.
X-User melden sich per VPN am TS an.
Braucht dann jeder einen eigenen VPN-Account oder geht das auch zeitgleich über einen einzigen ?

Dannke und Gruss remark

Marco · 02.04.2003

Jeder bekommt normalerweise einen eigenen VPN-Account.

remark · 02.04.2003

So hab' ich es auch gemacht. Wenn der User auf dem TS ist, kann er doch jeden ihm bekannten x-beliebigen Usernamen eingeben. Und das möchte ich zusätzlich zu sonstigen Sicherheitsvorkehrungen unterbinden.
Gruss remark

Joshua · 03.04.2003

remark schrieb:
So hab' ich es auch gemacht. Wenn der User auf dem TS ist, kann er doch jeden ihm bekannten x-beliebigen Usernamen eingeben. Und das möchte ich zusätzlich zu sonstigen Sicherheitsvorkehrungen unterbinden.
Gruss remark

Das ist ja eigentlich auch Sinn der Sache - normalerweise schafft meinen _einen_ Account zum Anwählen für alle User, die sich dann mit Ihrem Usernamen/Passwort via TS am Netz/der Domäne anmelden.....

Ich habe auch nochmal ein bisschen experimentiert und bin zu dem Schluss gekommen, das dein Vorhaben nur mit Bordmitteln nicht zu lösen ist

Cheers,
Joshua

pablovschby · 03.04.2003

ich verstehe dein problem nicht...

in der dom-sec-policy nimmmst einfach deny shutdown oder sowas...

ein shutdown lässt sich per policy perfekt verbieten...

gruss
pablo

W2K Termserver - Userprivilegien

remark

Marco

remark

lissi25

Joshua

remark

Joshua

remark

Joshua

remark

Marco

remark

remark

Marco

remark

Marco

remark

Joshua

pablovschby

W2K Termserver - Userprivilegien

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums