Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Hauptbenutzerrechte für User am Terminalserver, der auch DC ist

Mitglied: ThomasEt

ThomasEt (Level 1) - Jetzt verbinden

05.11.2007, aktualisiert 06.11.2007, 6589 Aufrufe, 6 Kommentare

auf einem Windows Server 2003, der als Terminalserver arbeitet müssen die User Hauptbenutzerrechte haben.
Dies erfordert die Client-Anwendung.

Wäre es ein Mitgliedsserver würde ich die entsprechende Domänengruppe (Domänen-Benutzer) in die Lokale Gruppe Hauptbenutzer aufnehmen. Damit wäre das Problem gelöst.

Unglücklicherweise ist der Server aber auch ein Domaincontroller, somit gibt es keine lokalen Gruppen! Wie kann man das Probem auf Domänenebene lösen? Lässt sich das per GPO umsetzen? In der Domäne gibt es keine solche Gruppe!

Hat jemand eine Idee?

mfg Thomas E.
Mitglied: fritzo
05.11.2007 um 16:50 Uhr
Hallo,

ich trau mich zwar ungern an diese Fragestellung heran, antworte aber trotzdem mal:

Ein DC als Terminalserver mit Usern, die Hauptbenutzerrechte haben, ist in meinen Augen ein No-Go. Ihr solltet Euch einen zweiten Server beschaffen und diesen zum dedizierten Terminalserver machen.

Wahrscheinlich habt Ihr nur ein geringes Budget und das ist das nicht die Antwort, die Du haben möchtest, daher hier eine zweite:

Du könntest es per Policy machen oder aber auch erstmal mit Setzen von Schreibrechten auf der Platte.

Policy
Benutze am besten die GPMC. Erstelle eine Kopie der Default Domain Controllers Policy. Diese gilt für Euren DC. Erstell eine Testgruppe mit erst einmal einem Testaccount und ordne diese der Policy mit "Lesen durch Sicherheitsfilterung" zu, so daß Mitglieder dieser Testgruppe die Policy beim Anmelden ziehen.

Ändere diese Policy so ab, daß der Testaccount so eingeschränkt wird , daß er die gleichen Rechte hat, die ein Hauptbenutzer hätte (soweit ich es ermessen kann, geht das leider nur zu Fuß, da Ihr ja, wie Du bereits erwähntest, keine lokalen Gruppen habt). Ich würde den Testaccount erst einmal wie einen normalen Benutzer mit sehr eingeschränkten Rechten berechtigen und an den benötigten Stellen dann die Policy soweit aufbohren, daß die Anwendung läuft. Wenn die Anwendung irgendwann läuft und die Policy fertig ist, kannst Du die Anwender in eine globale Domänengruppe packen und statt des Testaccounts diese mit "Lesen durch Sicherheitsfilterung" zuweisen.

Schreibrechte
Vielleicht geht es aber auch einfacher - sollte die Anwendung nämlich nur Schreibrechte im lokalen Programmverzeichnis benötigen (dies ist meist der Fall), dann würde das Setzen von Schreibrechten für die entsprechenden Benutzer (über eine globale Gruppe) auf dem Programmverzeichnis ausreichen. Falls das funktioniert, dann würde ich es wahrscheinlich eher so machen.

Gruß,
fritzo
Bitte warten ..
Mitglied: Folkskygg
05.11.2007 um 17:26 Uhr
Da stimme ich fritzo zu... das ist echt etwas das nciht geht. Stell dir doch mal vor... die standard user die man in jeder Firma hat, die einfach keinen 100%igen Plan haben wie ein Windows-System funktioniert. Willst du solche User mit Power-User Rechten einfach auf einen eurer wichtigsten Server loslassen?

Ich würde dir vorschlagen dafür einen eigenen Server zu verwenden... bei dem es auch nicht so schlimm ist wenn die User mal was "kaputt machen".
Verwenden die Leute die darauf arbeiten werden auch Office Produkte wie Outllok auf dem Terminal Server? Weil wenn ja... jetzt stell dir mal vor ein Anwender öffnet da in der Terminal-Server Session eine virenverseuchte Mail... na da wirste dann richtig Spass haben. ;)

Würde lieber versuchen deinem Chef die Gelder für nen System als TerminalServer aus dem Kreuz zu leidern, als das ich dann irgendwann mal nen ganzes Wochenende da sitze und versuche die AD wieder irgendwie zu rekonstruieren.

Gruß
Folkskygg
Bitte warten ..
Mitglied: Logan000
06.11.2007 um 09:07 Uhr
Hauptbenutzer auf dem DC geht garnicht.
Aber warum benötigen die User Hauptbenutzer rechte?
Bitte warten ..
Mitglied: fritzo
06.11.2007 um 10:56 Uhr
Das kann eigentlich nur einen Grund haben: es wird irgendwo Schreibzugriff benötigt - entweder muß in einen Ordner auf der Platte oder in den HKLM-Teil der Registry geschrieben werden. Aber da muß ThomasEt jetzt mal schauen, was die Software wo an Schreibrechten benötigt.

Ich bevorzuge weiterhin die Lösung mit der dedizierten Maschine. DC als Terminalserver stinkt irgendwie zu sehr nach kaputtem AD, Stress und Wochenendeinsätzen.
Bitte warten ..
Mitglied: Logan000
06.11.2007 um 11:32 Uhr
Wenn Schreibrechte z.B. in c:\Programme\.. oder unter einem bestimmten Zweig in HKLM nötig sind um eine Anwendung zum laufen zukriegen kann ma ja evtl. in diesen ausgewählten Bereichen gegebenenfalls Schreibrechte für User erteilen (am besten per GPO) das ist alle mal besser als pauschale Rechteerweiterung.
Natürlich ist ein dedizierter TermServer die bessere Lösung.
Bitte warten ..
Mitglied: ThomasEt
06.11.2007 um 16:47 Uhr
Hallo an alle! Vielen Dank für die zahlreichen und guten antworten.

Ich kann mich dem nur anschliessen! Im aktuellen Fall wird der Terminalserver nicht mehr länger Domaincontroller sein und zum Mitgliedsserver heruntergestuft werden.

Generell ist es aber dennoch sehr interessant zu wissen, wie man sowas lösen kann, wenn man nicht so viele Server zur Verfügung hat!

mfg Thomas
Bitte warten ..
Ähnliche Inhalte
Windows Server
User am Terminalserver freigeben
gelöst Frage von samet22Windows Server4 Kommentare

Hallo Leute, Habe eine Frage an euch. Kann man am Terminal Server einen User wieder freigeben? Da ich etwas ...

Windows Server

User kann nicht am Terminalserver drucken

Frage von WernimanWindows Server3 Kommentare

Hallo! Folgender Sachverhalt: Bei uns sind die User über kleine ThinClients an Terminalservern angemeldet. Bei einem User haben wir ...

Windows Server

User Profile von drei Terminalservern auf einen neuen Terminalserver migrieren

Frage von sireivenWindows Server4 Kommentare

Hallo Zusammen Die Aufgabenstellung ist etwas komplex. Es geht darum die Userprofile auf drei Terminalservern auf einen neuen Terminalserver ...

Windows Server

Terminalserver Farm Problem mit User Abmeldung

gelöst Frage von dakoerryWindows Server3 Kommentare

Guten Tag an Alle, ich hoffe man kann mir hier Helfen. Ich habe eine Terminalserver Farm mit Server 2012 ...

Neue Wissensbeiträge
Microsoft

Neuigkeiten zu Server und Office 365 was läuft mit was und was nicht

Tipp von AlFalcone vor 1 TagMicrosoft2 Kommentare

Server Betriebssysteme auf dem die verschiedenen Offices nicht supported sind: • Office 365 ist und wird nicht supported auf Windows ...

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 1 TagSpeicherkarten1 Kommentar

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 1 TagSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 1 TagHardware1 Kommentar

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
EuGH-Urteil - Internetanschluss für die ganze Familie - Filesharer haften trotzdem
Frage von StefanKittelSicherheitsgrundlagen39 Kommentare

Hallo, In diesem Artikel geht es darum, dass Jemand aus der Familie ein Hörbuch illegal hochgeladen hat. Der Vater ...

Apple
MacBook Pro 2018 mit 8 GB oder 16 GB
Frage von SysAdm81Apple25 Kommentare

Hallo zusammen, ich steh vor der Überlegung mir ein MacBook Pro 13 (2018) zu kaufen. Bzgl. SSD habe ich ...

Off Topic
SysAdmin im öffentlichen Dienst - jemand Erfahrungen?
Frage von JohnDorianOff Topic19 Kommentare

Hallo zusammen, hat jemand Erfahrung wie es so ist als SysAdmin im öffentlichen Dienst (Landkreis) im Südwesten der Republik ...

Datenbanken
MS SQL DB-Daten archivieren?
gelöst Frage von SchelinhoDatenbanken16 Kommentare

Hallo zusammen! Ich habe eine Anwendung, welche MSSQL (SQL Server 2014 SP2) nutzt. Auf der DB-Instanz laufen diverse Datenbanken. ...