Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

probleme mit basisordner / windows server 2003 - remotedesktopverbindung

Mitglied: Tobiator

Tobiator (Level 1) - Jetzt verbinden

05.08.2005, aktualisiert 06.08.2005, 10178 Aufrufe, 1 Kommentar

system: windows 2k3, AD (1 Domäne), Terminalserver (inkl. Lizensierung)

ich ärgere mich jetzt seit stunden. grund:

nach dem einloggen über remotedektop können die nutzer nicht auf ihren basisiordner zugreifen. fehlermeldung: zugriff verweigert.
basisordner wurde unter den benutzereigenschaften (AD) angelegt. zusätzlich habe ich den ordner freigegeben (vollzugriff für alle).
der zugriff funktioniert aber nur, wenn ich dem nutzer administratoren-rechte gebe. bei allen anderen gruppenzugehörigkeiten verweigert er den zugriff. irgendwo gibts da ein rechtekonflikt, aber wo?

vielleicht hat ja jemand eine idee....

gruss aus bonn

tobi
Mitglied: Wappel
06.08.2005 um 09:44 Uhr
Hallo Tobi !

Ich hatte vor einiger Zeit ein ähnliches Problem mit der RPC Protokoll. Hast du zufälligerweise gerade das SP1 installiert ? Nach der Inst. ändert sich einiges an den RPC Rechten und nur noch Admins haben den vollen zugriff.

Ich habe die Lösung hier gefunden.

Hier ein wichtiger Hinweis zur Installation im Hinblick auf DCOM und Remotezugriffsrechte:

MS hat in den Release Notes zum SP1 darauf hingewiesen, daß die DCOM-Konfiguration abgeändert wird, um sie entsprechend härten zu können. Die Änderungen sind hier auch im Detail beschrieben. Wenn also nach der Installation massive Probleme im Hinblick auf den Remote-Zugriff auftreten, so sollte man die Release Notes noch einmal genau lesen und ggfs. die für DCOM eingestellten Rechte mit der MMC-Konsole dcomcnfg.msc überprüfen.

Hier ein die DCOM-Komponenten betreffender Auszug aus den Release Notes (Quelle: Microsoft):
Security Certificate Services: Effects of security enhancements to the DCOM protocol
Windows Server 2003 SP1 introduces enhanced default security settings for the DCOM protocol. Specifically, SP1 introduces more precise rights that give an administrator independent control over local and remote permissions for launching, activating, and accessing COM servers.

Windows Server 2003 Certificate Services provides enrollment and administration services by using the DCOM protocol. Certificate Services provides several DCOM interfaces to make these services available. For correct access and usage of these services, Certificate Services assumes that its DCOM interfaces are set to permit remote activation and access permissions. However, because of the enhanced default security settings for DCOM that are introduced by SP1, you may have to update these security settings to make sure of the continued availability of these services after you install SP1. The following information explains how to do this.

By default, all DCOM interfaces in Windows Server 2003 SP1 are configured to grant remote access permissions, remote launch permissions, and remote activation permissions only to administrators. However, when you upgrade to Windows Server 2003 SP1, security configuration changes are made to the global DCOM interface and to the CertSrv Request DCOM interface. These changes are made to enable Certificate Services to work correctly.

Note that any changes that have been made to the CertSrv Request DCOM interface security settings before the installation of SP1 will be lost. The SP1 installation procedure resets all previous security settings in the CertSrv Request DCOM interface to their default settings.

During the SP1 installation process, Certificate Services automatically updates the DCOM security settings as follows:
? CertSrv Request DCOM interface:
? The Everyone security group is granted local and remote access permissions.
? The Everyone security group is granted local and remote activation permissions.
? The Everyone security group is not granted local or remote launch permissions.
? DCOM Computer Restriction Settings:
? A new security group, CERTSVC_DCOM_ACCESS, is automatically created.

If the certification authority is installed on a member server, CERTSVC_DCOM_ACCESS is a computer local group, and the Everyone security group is added to it.

If the certification authority is installed on a domain controller, CERTSVC_DCOM_ACCESS is a domain local group. The Domain Users security group and the Domain Computers security group from the certification authority?s domain are added to it.
? The CERTSVC_DCOM_ACCESS security group is granted local and remote access permissions.
? The CERTSVC_DCOM_ACCESS security group is granted local and remote activation permissions.
? The CERTSVC_DCOM_ACCESS security group is not granted local or remote launch permissions.
Note that if the certification authority is installed on a domain controller, and the enterprise is made up of more than one domain, Certificate Services cannot automatically update the DCOM security settings for enrollees from outside the certification authority?s domain. Therefore, these enrollees will be denied enroll access to the certification authority.

To resolve this issue, you must manually add the users to the CERTSVC_DCOM_ACCESS security group. Because the CERTSVC_DCOM_ACCESS security group is a domain local group, you can add only domain groups to it. For example, if users and computers from another domain, a domain named Contoso, have to enroll with the certification authority, you must manually add the Contoso\Domain Users group and the Contoso\Domain Computers group to the CERTSVC_DCOM_ACCESS security group.

If any enrollees that should be authorized by the certification authority are denied authorization after the installation of SP1, you can have Certificate Services update the DCOM security settings again. To do this, run the following commands at the command prompt in the following order. Press ENTER after each command.
1. certutil ?setreg SetupStatus ?SETUP_DCOM_SECURITY_UPDATED_FLAG
2. net stop certsvc
3. net start certsvc
The DCOM_SECURITY_UPDATED_FLAG is an internal Certificate Services registry flag that indicates that the DCOM security settings were updated completely and successfully. Certificate Services checks this flag every time that it is started. The commands in the previous list reset the flag and then stop and start Certificate Services, causing it to update the DCOM security settings again.
Quelle: Microsoft

Grüße,
Michael
Bitte warten ..
Ähnliche Inhalte
Windows Server

Windows Server 2003 nach Update geht die Remotedesktopverbindung nicht mehr

Frage von absurt77Windows Server7 Kommentare

Hallo liebe Community, ich habe einen alten Produktivserver W2003 Updates gefahren (56 Stuck) und nun komme ich mit RDP ...

Windows Server

Windows Server 2012: Basisordner auf DomainController oder RDS-Server einrichten?

Frage von martingoWindows Server4 Kommentare

Hallo, ich habe einen virtuellen DC und einen RDS-Server auf einem Hyper-V. Macht es nun mehr Sinn, den Basisordner ...

Windows Server

Keine Remotedesktopverbindung auf Windows 2008R2

Frage von rababar2014Windows Server7 Kommentare

Hallo Leude, ich stehe vor folgendem Problem, ich habe einen Windows 2008R2 Server bei dem RDP nicht funktioniert. Als ...

Windows Server

Auf einen Windows Server 2008 R2 per Remotedesktopverbindung zugreifen

Frage von coltseaversWindows Server2 Kommentare

Hallo zusammen, ich habe ein LAN mit einem Windows SBS 2008 -Server und einem zweiten Server mit Windows 2008 ...

Neue Wissensbeiträge
Windows Netzwerk

CGM Praxisarchiv funktioniert auf Clients nach Update auf 4.14 nicht mehr

Tipp von MOS6581 vor 12 StundenWindows Netzwerk

Moin, ein Kunde setzt das CGM-Praxisarchiv ein. Mehrplatzinstallation mit SQL-Server. Nachdem letzte Woche auf die 4.14 aktualisiert wurde, funktionierte ...

Windows 10

Win 10 - Storage Sense - neues herstellerseitiges Cleaning-Tool statt cleanmgr

Tipp von mathu vor 19 StundenWindows 102 Kommentare

Vermutlich ab dem Oktoberrelease wird eine neue Speicherbereinigungssuftware ausgeliefert von Microsoft. Cleanmgr.exe soll angeblich aber noch weiter parallel verfügbar ...

E-Mail
Neueste Masche der Bad Guys: Offene Erpressung
Information von the-buccaneer vor 1 TagE-Mail15 Kommentare

"Warum den komplizierten Weg über einen Kryptotrojaner nehmen, wenn man die Leute auch direkt erpressen kann?" haben sich wohl ...

Viren und Trojaner
Neues ct-desinfect 2018 erschienen
Information von Lochkartenstanzer vor 1 TagViren und Trojaner1 Kommentar

Moin, heise hat eine neues Sonderheft Desinfect veröffentlicht (9,90€/12,90€) . Falls jemand öfter mal Kisten "säubern" muß ist das ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless24 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Windows Server
2012 R2 Server Keine Anmeldung möglich Meldung: Laut den Sicherheitsrichtlinien auf diesem PC sollen informationen zur letzten interaktiven Anmeldung angezeigt werden
Frage von Speedy18A4Windows Server21 Kommentare

Hallo, ich habe vor einigen Wochen einen zweiten Domain Controller zu meiner Domain hinzugefügt. Funktionierte alles wunderbar. Auch die ...

Windows Server
Fileserver von 2012 R2 auf 2012R2
gelöst Frage von ThabeusWindows Server20 Kommentare

Moin moin, leider war in der Vergangenheit der Fokus des Betriebs nicht auf Langfristigkeit ausgelegt. Daher stehe ich jetzt ...

iOS
Virus auf iphone
Frage von jensgebkeniOS17 Kommentare

hallo gemeinschaft, habe einen virus auf meinem iphone es kommen zwei meldungsfenster 1. online-2018-software-free.win 2. wpform.com - please click ...