8
Frage bezüglich RDP per GPO
Hallo Zusammen!
Ich bin auf ein eigenartiges Verhalten gestoßen und würde euch gerne im Rat bitten.
In AD Nr 1 konnte ich RDP-Zugang auf Server für einen neuen Benutzer wie folgt per GPO regeln:
Sicherheitsgruppe "RDP-SRV01", dort alle User rein, per Gruppenrichtlinie RDP aktiviert und die Sicherheitsgruppe in "Allow Log on through Remote Desktop Services".
Funktioniert prima. Nur, dass ich den Account "Administrator" auch so versorgen musste, weil Er (wie eigl. per Default) nicht mehr per RDP rauf kam.
Nun habe ich in AD Nr 2 den o.g. Weg probiert. Funktioniert nicht.
Klappte erst, als ich die Gruppe "RDP-SRV01"(nur ein Bsp) via Eingeschränkte Gruppen in die Gruppe Remote Desktop Users gepackt habe.
Hier kommt nun der Account "Administrator" auch nach wie vor rein, auch ohne Mitgliedschaft in RDP-SRV01.
Kann mir eventuell Jemand erklären, was hier vor sich geht?
Viele Grüße
Ich bin auf ein eigenartiges Verhalten gestoßen und würde euch gerne im Rat bitten.
In AD Nr 1 konnte ich RDP-Zugang auf Server für einen neuen Benutzer wie folgt per GPO regeln:
Sicherheitsgruppe "RDP-SRV01", dort alle User rein, per Gruppenrichtlinie RDP aktiviert und die Sicherheitsgruppe in "Allow Log on through Remote Desktop Services".
Funktioniert prima. Nur, dass ich den Account "Administrator" auch so versorgen musste, weil Er (wie eigl. per Default) nicht mehr per RDP rauf kam.
Nun habe ich in AD Nr 2 den o.g. Weg probiert. Funktioniert nicht.
Klappte erst, als ich die Gruppe "RDP-SRV01"(nur ein Bsp) via Eingeschränkte Gruppen in die Gruppe Remote Desktop Users gepackt habe.
Hier kommt nun der Account "Administrator" auch nach wie vor rein, auch ohne Mitgliedschaft in RDP-SRV01.
Kann mir eventuell Jemand erklären, was hier vor sich geht?
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 282421
Url: https://administrator.de/contentid/282421
Printed on: April 26, 2024 at 19:04 o'clock
8 Comments
Latest comment
Hi
Du hättest das so machen können, wenn Du in der GPOfür das Privileg alle standardmäßig Privilegierten ebenfalls mit aufgenommen hättest.
E.
In AD Nr 1 konnte ich RDP-Zugang auf Server für einen neuen Benutzer wie folgt per GPO regeln:
Sicherheitsgruppe "RDP-SRV01", dort alle User rein, per Gruppenrichtlinie RDP aktiviert und die Sicherheitsgruppe in "Allow Log on through Remote Desktop Services".
Funktioniert prima.
Ja, bis auf .... du hast es selbst gemerkt. Sicherheitsgruppe "RDP-SRV01", dort alle User rein, per Gruppenrichtlinie RDP aktiviert und die Sicherheitsgruppe in "Allow Log on through Remote Desktop Services".
Funktioniert prima.
Nur, dass ich den Account "Administrator" auch so versorgen musste, weil Er (wie eigl. per Default) nicht mehr per RDP rauf kam.
Ist logisch, weil Du mit dem Konfigurieren des Privilegs "Allow Log on through Remote Desktop Services" via GPO die Standardeinstellungen überschrieben hast. Damit war der Admin raus.Du hättest das so machen können, wenn Du in der GPOfür das Privileg alle standardmäßig Privilegierten ebenfalls mit aufgenommen hättest.
Nun habe ich in AD Nr 2 den o.g. Weg probiert. Funktioniert nicht.
Klappte erst, als ich die Gruppe "RDP-SRV01"(nur ein Bsp) via Eingeschränkte Gruppen in die Gruppe Remote Desktop Users gepackt habe.
Hier kommt nun der Account "Administrator" auch nach wie vor rein, auch ohne Mitgliedschaft in RDP-SRV01.
Das ist der bevorzugte Weg. MS konform.Klappte erst, als ich die Gruppe "RDP-SRV01"(nur ein Bsp) via Eingeschränkte Gruppen in die Gruppe Remote Desktop Users gepackt habe.
Hier kommt nun der Account "Administrator" auch nach wie vor rein, auch ohne Mitgliedschaft in RDP-SRV01.
Kann mir eventuell Jemand erklären, was hier vor sich geht?
Alle ok so. Standardmäßig stehen die "Remote Desktop Users" beim Privileg "Allow Log on through Remote Desktop Services" drin.E.
Hallo emeriks,
vielen Dank für die gute Erklärung!
Allerdings bleibt bei mir eine Frage offen, wieso lief es bei AD Nr. 1 über den nicht-MS-konformen Weg und bei AD Nr. 2 klappte es nur über den MS-konformen Weg?
Viele Grüße
vielen Dank für die gute Erklärung!
Allerdings bleibt bei mir eine Frage offen, wieso lief es bei AD Nr. 1 über den nicht-MS-konformen Weg und bei AD Nr. 2 klappte es nur über den MS-konformen Weg?
Viele Grüße
Wie unterscheiden sich denn "AD1" und "AD2"?
Eigl. gar nicht.
Beides Win2k12R2 Umgebungen, beide 2 DCs.
Wurden auch zur selben Zeit vom selben Team eingerichtet.
Beides Win2k12R2 Umgebungen, beide 2 DCs.
Wurden auch zur selben Zeit vom selben Team eingerichtet.
Na wenn da nichte anders ist, dann muss beim Test im AD 2 irgendwas anders gemacht worden sein. Vielleicht habt Ihr nicht lange genug gewartet und die GPO war noch gar nicht angewendet. Oder die Gruppenmitgliedschaft noch nicht repliziert.
Mh Okay.
Habe eigl. per gpupdate durchgeladen.Keine Fehler.
Was mich eigl. wundert, wieso kann in AD 2. (MS-konformen Weg) trotz GPO "Administrator" per RDP anmelden.
Das sollte ja eigl. dann noch gehen? Denn Administrator ist nicht in der RDP Gruppe.
Habe eigl. per gpupdate durchgeladen.Keine Fehler.
Was mich eigl. wundert, wieso kann in AD 2. (MS-konformen Weg) trotz GPO "Administrator" per RDP anmelden.
Das sollte ja eigl. dann noch gehen? Denn Administrator ist nicht in der RDP Gruppe.
Was mich eigl. wundert, wieso kann in AD 2. (MS-konformen Weg) trotz GPO "Administrator" per RDP anmelden.
Das sollte ja eigl. dann noch gehen? Denn Administrator ist nicht in der RDP Gruppe.
Deine Frage ist nicht konsistent. Irgendwo fehlt da ein "nicht". Sonst ergäbe das keinen Sinn.Das sollte ja eigl. dann noch gehen? Denn Administrator ist nicht in der RDP Gruppe.
Naja, ich habe bei AD Nr. 1 die Erfahrung gemacht, dass wenn ich die Sicherheitsgruppe nur per GPO "Allow Log on through Remote Desktop Services" eintrage, der Remotedesktopzugang der Mitglieder der Sicherheitsgruppe funktioniert, aber eben NUR der Mitglieder. D.h. "Administrator" muss auch dort Mitglied sein.
In AD Nr. 2 hat eben Dieser weg nicht funktioniert, es änderte sich nach Eintrag der Sicherheitsgruppe in "Allow Log on through Remote Desktop Services" und gpupdate auf dem Server gar nichts. DIe Mitgleider der Sicherheitsgruppe kamen nicht per RDP rein, Administrator wie gehabt noch immer.
Erst nach dem ich die Eingeschränkte Gruppe eingelegt habe, kamen die Mitglieder der Sicherheitsgruppe rein, Administrator kommt noch immer rein, ohne Mitglied zu sein.
Das ergibt für keinen Sinn.
Viele Grüße
In AD Nr. 2 hat eben Dieser weg nicht funktioniert, es änderte sich nach Eintrag der Sicherheitsgruppe in "Allow Log on through Remote Desktop Services" und gpupdate auf dem Server gar nichts. DIe Mitgleider der Sicherheitsgruppe kamen nicht per RDP rein, Administrator wie gehabt noch immer.
Erst nach dem ich die Eingeschränkte Gruppe eingelegt habe, kamen die Mitglieder der Sicherheitsgruppe rein, Administrator kommt noch immer rein, ohne Mitglied zu sein.
Das ergibt für keinen Sinn.
Viele Grüße