Terminalserver absichern
Hi!
Wir setzen bei uns Windows 2000 Terminalserver ein und ich möchte gerne verhindern, dass die User sich auch auf andere Server anmelden können.
Wenn ich ihnen die Rechte soweit entziehe, dass sie ausschließlich ihre Sitzung öffnen können ist es nicht möglich einen 2. User am gleichen PC einzurichten (ihm fehlen ja die Berechtigungen) und ich will nicht jedes mal die Rechte ändern müssen.
Habt ihr ne Idee?
Wir setzen bei uns Windows 2000 Terminalserver ein und ich möchte gerne verhindern, dass die User sich auch auf andere Server anmelden können.
Wenn ich ihnen die Rechte soweit entziehe, dass sie ausschließlich ihre Sitzung öffnen können ist es nicht möglich einen 2. User am gleichen PC einzurichten (ihm fehlen ja die Berechtigungen) und ich will nicht jedes mal die Rechte ändern müssen.
Habt ihr ne Idee?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 2753
Url: https://administrator.de/contentid/2753
Ausgedruckt am: 29.03.2024 um 12:03 Uhr
4 Kommentare
Neuester Kommentar
Also so richtig werde ich aus deiner Formulierung nicht schlau......
Sollen die User sich an allen Terminalserver anmelden können und z.B: nicht
an Fileserver, Domaincontroller ??
Oder sollen sie sich nur an einem Terminalserver anmelden können ?
Jedoch stellt sich mir dann hier die Frage wieso Du dann mehrere TS
hast ;)
Bitte definiere etwas genauer..... dann kann Dir event. geholfen werden
Sollen die User sich an allen Terminalserver anmelden können und z.B: nicht
an Fileserver, Domaincontroller ??
Oder sollen sie sich nur an einem Terminalserver anmelden können ?
Jedoch stellt sich mir dann hier die Frage wieso Du dann mehrere TS
hast ;)
Bitte definiere etwas genauer..... dann kann Dir event. geholfen werden
hmmm.......
Beispiel:
Wir haben einen Server A da soll sich ein Benutzer nicht anmelden dürfen.
Wir haben einen Server B, da darf sich der Benutzer via Terminaldienste anmelden.
Lösung:
Erstelle im AD eine Sicherheitsgrupe nologon und weiße diese einem User zu.
Erstelle im AD eine OU für Server A und definiere für diese OU eine eingene GPO.
Bewege den Server aus Computers in diese OU, nur so greift diese GPO dann auch
auf dem System.
Definiere in der GPO unter Computerkonfiguration -> Windows-Einstellungen ->
Lokale Richtlinien -> Zuweisen von Benutzerrechten, die Einstellung Anmeldung über
Terminaldienste verweigern. Stelle hier die Benutzergruppe nologin ein.
Nun kann sich der User, der in der Sicherheitsgruppe nologon befindet, nicht mehr an Server
A anmelden. Sollen mehrere Server für die Anmeldung gesperrt werden, so mußt Du nun
nur noch diese Server in diese OU packen.
Server B ist nun immernoch wie sonst eingestellt. Hier darf sich der Benutzer weiterhin anmelden.
Für diese Server würde ich jedoch auch eine eigene OU und GPO erstellen.
Hoffe das hilft....
Cya
Beispiel:
Wir haben einen Server A da soll sich ein Benutzer nicht anmelden dürfen.
Wir haben einen Server B, da darf sich der Benutzer via Terminaldienste anmelden.
Lösung:
Erstelle im AD eine Sicherheitsgrupe nologon und weiße diese einem User zu.
Erstelle im AD eine OU für Server A und definiere für diese OU eine eingene GPO.
Bewege den Server aus Computers in diese OU, nur so greift diese GPO dann auch
auf dem System.
Definiere in der GPO unter Computerkonfiguration -> Windows-Einstellungen ->
Lokale Richtlinien -> Zuweisen von Benutzerrechten, die Einstellung Anmeldung über
Terminaldienste verweigern. Stelle hier die Benutzergruppe nologin ein.
Nun kann sich der User, der in der Sicherheitsgruppe nologon befindet, nicht mehr an Server
A anmelden. Sollen mehrere Server für die Anmeldung gesperrt werden, so mußt Du nun
nur noch diese Server in diese OU packen.
Server B ist nun immernoch wie sonst eingestellt. Hier darf sich der Benutzer weiterhin anmelden.
Für diese Server würde ich jedoch auch eine eigene OU und GPO erstellen.
Hoffe das hilft....
Cya