Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Hauptbenutzerrechte für User am Terminalserver, der auch DC ist

Mitglied: ThomasEt

ThomasEt (Level 1) - Jetzt verbinden

05.11.2007, aktualisiert 06.11.2007, 6566 Aufrufe, 6 Kommentare

auf einem Windows Server 2003, der als Terminalserver arbeitet müssen die User Hauptbenutzerrechte haben.
Dies erfordert die Client-Anwendung.

Wäre es ein Mitgliedsserver würde ich die entsprechende Domänengruppe (Domänen-Benutzer) in die Lokale Gruppe Hauptbenutzer aufnehmen. Damit wäre das Problem gelöst.

Unglücklicherweise ist der Server aber auch ein Domaincontroller, somit gibt es keine lokalen Gruppen! Wie kann man das Probem auf Domänenebene lösen? Lässt sich das per GPO umsetzen? In der Domäne gibt es keine solche Gruppe!

Hat jemand eine Idee?

mfg Thomas E.
Mitglied: fritzo
05.11.2007 um 16:50 Uhr
Hallo,

ich trau mich zwar ungern an diese Fragestellung heran, antworte aber trotzdem mal:

Ein DC als Terminalserver mit Usern, die Hauptbenutzerrechte haben, ist in meinen Augen ein No-Go. Ihr solltet Euch einen zweiten Server beschaffen und diesen zum dedizierten Terminalserver machen.

Wahrscheinlich habt Ihr nur ein geringes Budget und das ist das nicht die Antwort, die Du haben möchtest, daher hier eine zweite:

Du könntest es per Policy machen oder aber auch erstmal mit Setzen von Schreibrechten auf der Platte.

Policy
Benutze am besten die GPMC. Erstelle eine Kopie der Default Domain Controllers Policy. Diese gilt für Euren DC. Erstell eine Testgruppe mit erst einmal einem Testaccount und ordne diese der Policy mit "Lesen durch Sicherheitsfilterung" zu, so daß Mitglieder dieser Testgruppe die Policy beim Anmelden ziehen.

Ändere diese Policy so ab, daß der Testaccount so eingeschränkt wird , daß er die gleichen Rechte hat, die ein Hauptbenutzer hätte (soweit ich es ermessen kann, geht das leider nur zu Fuß, da Ihr ja, wie Du bereits erwähntest, keine lokalen Gruppen habt). Ich würde den Testaccount erst einmal wie einen normalen Benutzer mit sehr eingeschränkten Rechten berechtigen und an den benötigten Stellen dann die Policy soweit aufbohren, daß die Anwendung läuft. Wenn die Anwendung irgendwann läuft und die Policy fertig ist, kannst Du die Anwender in eine globale Domänengruppe packen und statt des Testaccounts diese mit "Lesen durch Sicherheitsfilterung" zuweisen.

Schreibrechte
Vielleicht geht es aber auch einfacher - sollte die Anwendung nämlich nur Schreibrechte im lokalen Programmverzeichnis benötigen (dies ist meist der Fall), dann würde das Setzen von Schreibrechten für die entsprechenden Benutzer (über eine globale Gruppe) auf dem Programmverzeichnis ausreichen. Falls das funktioniert, dann würde ich es wahrscheinlich eher so machen.

Gruß,
fritzo
Bitte warten ..
Mitglied: Folkskygg
05.11.2007 um 17:26 Uhr
Da stimme ich fritzo zu... das ist echt etwas das nciht geht. Stell dir doch mal vor... die standard user die man in jeder Firma hat, die einfach keinen 100%igen Plan haben wie ein Windows-System funktioniert. Willst du solche User mit Power-User Rechten einfach auf einen eurer wichtigsten Server loslassen?

Ich würde dir vorschlagen dafür einen eigenen Server zu verwenden... bei dem es auch nicht so schlimm ist wenn die User mal was "kaputt machen".
Verwenden die Leute die darauf arbeiten werden auch Office Produkte wie Outllok auf dem Terminal Server? Weil wenn ja... jetzt stell dir mal vor ein Anwender öffnet da in der Terminal-Server Session eine virenverseuchte Mail... na da wirste dann richtig Spass haben. ;)

Würde lieber versuchen deinem Chef die Gelder für nen System als TerminalServer aus dem Kreuz zu leidern, als das ich dann irgendwann mal nen ganzes Wochenende da sitze und versuche die AD wieder irgendwie zu rekonstruieren.

Gruß
Folkskygg
Bitte warten ..
Mitglied: Logan000
06.11.2007 um 09:07 Uhr
Hauptbenutzer auf dem DC geht garnicht.
Aber warum benötigen die User Hauptbenutzer rechte?
Bitte warten ..
Mitglied: fritzo
06.11.2007 um 10:56 Uhr
Das kann eigentlich nur einen Grund haben: es wird irgendwo Schreibzugriff benötigt - entweder muß in einen Ordner auf der Platte oder in den HKLM-Teil der Registry geschrieben werden. Aber da muß ThomasEt jetzt mal schauen, was die Software wo an Schreibrechten benötigt.

Ich bevorzuge weiterhin die Lösung mit der dedizierten Maschine. DC als Terminalserver stinkt irgendwie zu sehr nach kaputtem AD, Stress und Wochenendeinsätzen.
Bitte warten ..
Mitglied: Logan000
06.11.2007 um 11:32 Uhr
Wenn Schreibrechte z.B. in c:\Programme\.. oder unter einem bestimmten Zweig in HKLM nötig sind um eine Anwendung zum laufen zukriegen kann ma ja evtl. in diesen ausgewählten Bereichen gegebenenfalls Schreibrechte für User erteilen (am besten per GPO) das ist alle mal besser als pauschale Rechteerweiterung.
Natürlich ist ein dedizierter TermServer die bessere Lösung.
Bitte warten ..
Mitglied: ThomasEt
06.11.2007 um 16:47 Uhr
Hallo an alle! Vielen Dank für die zahlreichen und guten antworten.

Ich kann mich dem nur anschliessen! Im aktuellen Fall wird der Terminalserver nicht mehr länger Domaincontroller sein und zum Mitgliedsserver heruntergestuft werden.

Generell ist es aber dennoch sehr interessant zu wissen, wie man sowas lösen kann, wenn man nicht so viele Server zur Verfügung hat!

mfg Thomas
Bitte warten ..
Ähnliche Inhalte
Windows Server
User am Terminalserver freigeben
gelöst Frage von samet22Windows Server4 Kommentare

Hallo Leute, Habe eine Frage an euch. Kann man am Terminal Server einen User wieder freigeben? Da ich etwas ...

Windows Server

User Profile von drei Terminalservern auf einen neuen Terminalserver migrieren

Frage von sireivenWindows Server4 Kommentare

Hallo Zusammen Die Aufgabenstellung ist etwas komplex. Es geht darum die Userprofile auf drei Terminalservern auf einen neuen Terminalserver ...

Windows Server

Ein Terminalserver User kann sich nicht mehr vollständig abmelden.

Frage von NecroscopeWindows Server4 Kommentare

Ein Benutzer sollte von PC auf Thinclient umgestellt werden, aber sein „User“ meldet sich nicht richtig ab von dem ...

Windows Server

Terminalserver Farm Problem mit User Abmeldung

gelöst Frage von dakoerryWindows Server3 Kommentare

Guten Tag an Alle, ich hoffe man kann mir hier Helfen. Ich habe eine Terminalserver Farm mit Server 2012 ...

Neue Wissensbeiträge
SAN, NAS, DAS
QNAP NAS Datenschutz-Loop nach Firmware-Update
Tipp von vanTast vor 9 StundenSAN, NAS, DAS1 Kommentar

Moin, im allgemeinen Trend seine geänderten Datenschutzbedingungen den Kunden zukommen zu lassen kam die Firma QNAP auf die glorreiche ...

Datenschutz
DSGVO Datenschutzgesetz
Anleitung von 1Werner1 vor 10 StundenDatenschutz4 Kommentare

Moin, ja was ist das, da ist die DSGVO Datenschutzverordnung. Wie das Gesetz gibt es schon 2 Jahre? Nun ...

CPU, RAM, Mainboards
Neverending story
Tipp von keine-ahnung vor 1 TagCPU, RAM, Mainboards1 Kommentar

Da kommt man mit dem fixen gar nicht mehr hinterher und die CPU erreichen wieder Rechenleistungen im Bereich des ...

Multimedia & Zubehör
AVM Fritz USB WLAN Sticks schneller einschalten
Tipp von NetzwerkDude vor 3 TagenMultimedia & Zubehör4 Kommentare

Die AVM Fritz WLAN Sticks haben in der Firmware 2 Modis: Einmal als Massenspeicher und einmal als WLAN Netzwerkkarte ...

Heiß diskutierte Inhalte
PHP
Nach Umzug zu 1und1 bekomme ich beim Eintrag in die DB Tabelle folgenden Fehler
gelöst Frage von jensgebkenPHP35 Kommentare

INSERT command denied to user 'dbo45342345342231244'@'112.127.102.073' for table 'orders'

LAN, WAN, Wireless
Powerline über zwei Stockwerke optimieren
gelöst Frage von DultusLAN, WAN, Wireless33 Kommentare

Guten Morgen liebes Forum, ich hätte einmal eine Frage bezüglich Powerline Adapter: Mein Problem ist seit gestern präsent, da ...

Windows Userverwaltung
Problem mit Benutzerprofil
Frage von lieferscheinWindows Userverwaltung24 Kommentare

Guten Tag liebe Community, folgendes Problem habe ich: User meldet sich auf Client A an - sein Homelaufwerk verbindet. ...

Off Topic
DISKUSSION: Was bringt der Disclaimer "Wenn Sie nicht der Empfänger sind."
Frage von N8DragonOff Topic21 Kommentare

So oder ähnlich, lese ich immer wieder Kleingedrucktes am Ende diverser Mails. Letzten Endes wollen sie mir alle sagen, ...