8
Win8 Client, Fernwartung per RDP über GPO
Hallo zusammen,
Ziel ist es an Windows 8.1 Clients die Fernwartung per RDP über eine Gruppenrichtlinie zu aktivieren.
Dazu habe ich in der GPO unter
Computerkonfiguration->Richtlinien -> Administrative Vorlagen -> Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host
Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen
und
Regeln für Remotesteuerung von Remotedesktopdienste-Benutzersitzungen festlegen auf "Vollzugriff ohne Erlaubnis des Benutzers"
außerdem
Computerkonfiguration->Richtlinien->Windowseinstellungen->Sicherheitseinstellungen->Lokale Richtlinien -> dort unter Anmelden über Terminaldienste zulassen eine Gruppe eingetragen, die die entsprechenden Benutzer enthält.
Die GPO ist passend eingehängt und über den Richtlinienergebnissatz kann ich sehen, dass sie auch angewendet wird.
Versuche ich einen Login mit einem Benutzer, der in der Gruppe ist erhalte ich die Meldung, dass die Verbindung abgelehnt wurde, das das Benutzerkonto nicht für die Remotanmeldung autorisiert ist.
Habe ich noch eine Einstellung vergessen??
Lokal an dem Client kann ich natürlich die entsprechende Gruppe aufnehmen, aber es muss halt per GPO passieren.
Ziel ist es an Windows 8.1 Clients die Fernwartung per RDP über eine Gruppenrichtlinie zu aktivieren.
Dazu habe ich in der GPO unter
Computerkonfiguration->Richtlinien -> Administrative Vorlagen -> Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host
Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen
und
Regeln für Remotesteuerung von Remotedesktopdienste-Benutzersitzungen festlegen auf "Vollzugriff ohne Erlaubnis des Benutzers"
außerdem
Computerkonfiguration->Richtlinien->Windowseinstellungen->Sicherheitseinstellungen->Lokale Richtlinien -> dort unter Anmelden über Terminaldienste zulassen eine Gruppe eingetragen, die die entsprechenden Benutzer enthält.
Die GPO ist passend eingehängt und über den Richtlinienergebnissatz kann ich sehen, dass sie auch angewendet wird.
Versuche ich einen Login mit einem Benutzer, der in der Gruppe ist erhalte ich die Meldung, dass die Verbindung abgelehnt wurde, das das Benutzerkonto nicht für die Remotanmeldung autorisiert ist.
Habe ich noch eine Einstellung vergessen??
Lokal an dem Client kann ich natürlich die entsprechende Gruppe aufnehmen, aber es muss halt per GPO passieren.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 274807
Url: https://administrator.de/contentid/274807
Printed on: April 19, 2024 at 17:04 o'clock
8 Comments
Latest comment
Hi.
Der dazu passende Fehler wäre, dass Du einen Nutzer verwendest, den Du eben erst in die berechtigte Gruppe gesetzt hast und er sich noch gar nicht neu angemeldet hat. Vergessen hast Du nichts. Wenn es daran nicht liegt, dann schau mit rsop.msc am Client nach, ob die Einstellungen angekommen sind.
PS: Remotesteuerung von Remotedesktopdienste-Benutzersitzungen festlegen auf "Vollzugriff ohne Erlaubnis des Benutzers" hat nur Bedeutung, wenn Du Sitzungen an einem Server spiegeln willst. Am Client geht das nicht, da nicht mehrere paralelle Sitzungen technisch ermöglicht werden.
Der dazu passende Fehler wäre, dass Du einen Nutzer verwendest, den Du eben erst in die berechtigte Gruppe gesetzt hast und er sich noch gar nicht neu angemeldet hat. Vergessen hast Du nichts. Wenn es daran nicht liegt, dann schau mit rsop.msc am Client nach, ob die Einstellungen angekommen sind.
PS: Remotesteuerung von Remotedesktopdienste-Benutzersitzungen festlegen auf "Vollzugriff ohne Erlaubnis des Benutzers" hat nur Bedeutung, wenn Du Sitzungen an einem Server spiegeln willst. Am Client geht das nicht, da nicht mehrere paralelle Sitzungen technisch ermöglicht werden.
In der Gruppe ist der Benutzer und die Richtlinie wird laut Ergebnissatz vom AD auch angewendet. Auch über rsop.msc sehe ich die Einstellungen...
Es ist aber nicht so, dass der Benutzer bereits einmal an dem Rechner angemeldet gewesen sein muss, oder?
Ratlosigkeit macht sich breit
Es ist aber nicht so, dass der Benutzer bereits einmal an dem Rechner angemeldet gewesen sein muss, oder?
Ratlosigkeit macht sich breit
Nein, er muss nicht angemeldet gewesen sein. Was ist mit meinem Einwand (mein erster Satz)? Hat sich der in die Gruppe eingetragene Nutzer seit seiner Eintragung am Rechner, von dem die Verbindung ausgeht neu angemeldet?
Ratlosigkeit macht sich breit
Keine Sorge, das finden wir schnell.
Zum Testen habe ich dem Benutzer jetzt einmal Domänen-Admin Rechte gegeben.. Damit kommt er dann rein. Rechte sind wieder weg damit geht es nicht.
Der Benutzer in der Gruppe ist ein reiner Fernwartungsbenutzer. Der ist so nirgendwo angemeldet.
Geben wir ihnen mal Namen. Der Administrator nutzt den User Paul. Dann gibt es im AD den Benutzer "Kassenadmin". Der Kassenadmin ist in der Gruppe RDP-Administratoren, diese Gruppe wird wiederrum über die GPO verteilt.
Das heißt der Kassenadmin ist nie irgendwo angemeldet, es sei denn über RDP - was ja nun nicht klappt
Wenn ich das richtig verstehe dürfte die erste Einstellung schon genügen, damit sich Administratoren anmelden dürfen. Das heißt ja im Umkehrschluss, dass die zweite Einstellung (Windows-Einstellungen -> Lokale Richtlinie) nicht greift.
Kann es sein, dass es daran liegt, dass die Remote-Unterstützung bei den Clients schon manuell aktiviert wurde, jedoch der neue Benutzer "Kassenadmin" nicht berechtigt wurde?
Der Benutzer in der Gruppe ist ein reiner Fernwartungsbenutzer. Der ist so nirgendwo angemeldet.
Geben wir ihnen mal Namen. Der Administrator nutzt den User Paul. Dann gibt es im AD den Benutzer "Kassenadmin". Der Kassenadmin ist in der Gruppe RDP-Administratoren, diese Gruppe wird wiederrum über die GPO verteilt.
Das heißt der Kassenadmin ist nie irgendwo angemeldet, es sei denn über RDP - was ja nun nicht klappt
Wenn ich das richtig verstehe dürfte die erste Einstellung schon genügen, damit sich Administratoren anmelden dürfen. Das heißt ja im Umkehrschluss, dass die zweite Einstellung (Windows-Einstellungen -> Lokale Richtlinie) nicht greift.
Kann es sein, dass es daran liegt, dass die Remote-Unterstützung bei den Clients schon manuell aktiviert wurde, jedoch der neue Benutzer "Kassenadmin" nicht berechtigt wurde?
Zunächst einmal: wir haben es verteilt und es ist simpel und lief auch sofort. Siehe Bild hier:
http://www.petenetlive.com/KB/Media/0000043/00005.png
http://www.petenetlive.com/KB/Media/0000043/00005.png
Das Bild läd leider nicht.. aber ich glaube dir auch so, dass du es lauffähig hast
Ich habe das jetzt einmal bei uns nachgestellt, exakt das gleiche Problem. Ich bin mir immer sicherer, dass ich irgendwas falsch mache...
Ich habe das jetzt einmal bei uns nachgestellt, exakt das gleiche Problem. Ich bin mir immer sicherer, dass ich irgendwas falsch mache...
Das Bild lädt bei mir. Hier:
Ganz hervorragend. So funktioniert es.
Vielen Dank!!!
Vielen Dank!!!
