Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Hauptbenutzerrechte für User am Terminalserver, der auch DC ist

Frage Microsoft Windows Server

Mitglied: ThomasEt

ThomasEt (Level 1) - Jetzt verbinden

05.11.2007, aktualisiert 06.11.2007, 6502 Aufrufe, 6 Kommentare

auf einem Windows Server 2003, der als Terminalserver arbeitet müssen die User Hauptbenutzerrechte haben.
Dies erfordert die Client-Anwendung.

Wäre es ein Mitgliedsserver würde ich die entsprechende Domänengruppe (Domänen-Benutzer) in die Lokale Gruppe Hauptbenutzer aufnehmen. Damit wäre das Problem gelöst.

Unglücklicherweise ist der Server aber auch ein Domaincontroller, somit gibt es keine lokalen Gruppen! Wie kann man das Probem auf Domänenebene lösen? Lässt sich das per GPO umsetzen? In der Domäne gibt es keine solche Gruppe!

Hat jemand eine Idee?

Mit freundlichen Grüßen Thomas E.
Mitglied: fritzo
05.11.2007 um 16:50 Uhr
Hallo,

ich trau mich zwar ungern an diese Fragestellung heran, antworte aber trotzdem mal:

Ein DC als Terminalserver mit Usern, die Hauptbenutzerrechte haben, ist in meinen Augen ein No-Go. Ihr solltet Euch einen zweiten Server beschaffen und diesen zum dedizierten Terminalserver machen.

Wahrscheinlich habt Ihr nur ein geringes Budget und das ist das nicht die Antwort, die Du haben möchtest, daher hier eine zweite:

Du könntest es per Policy machen oder aber auch erstmal mit Setzen von Schreibrechten auf der Platte.

Policy
Benutze am besten die GPMC. Erstelle eine Kopie der Default Domain Controllers Policy. Diese gilt für Euren DC. Erstell eine Testgruppe mit erst einmal einem Testaccount und ordne diese der Policy mit "Lesen durch Sicherheitsfilterung" zu, so daß Mitglieder dieser Testgruppe die Policy beim Anmelden ziehen.

Ändere diese Policy so ab, daß der Testaccount so eingeschränkt wird , daß er die gleichen Rechte hat, die ein Hauptbenutzer hätte (soweit ich es ermessen kann, geht das leider nur zu Fuß, da Ihr ja, wie Du bereits erwähntest, keine lokalen Gruppen habt). Ich würde den Testaccount erst einmal wie einen normalen Benutzer mit sehr eingeschränkten Rechten berechtigen und an den benötigten Stellen dann die Policy soweit aufbohren, daß die Anwendung läuft. Wenn die Anwendung irgendwann läuft und die Policy fertig ist, kannst Du die Anwender in eine globale Domänengruppe packen und statt des Testaccounts diese mit "Lesen durch Sicherheitsfilterung" zuweisen.

Schreibrechte
Vielleicht geht es aber auch einfacher - sollte die Anwendung nämlich nur Schreibrechte im lokalen Programmverzeichnis benötigen (dies ist meist der Fall), dann würde das Setzen von Schreibrechten für die entsprechenden Benutzer (über eine globale Gruppe) auf dem Programmverzeichnis ausreichen. Falls das funktioniert, dann würde ich es wahrscheinlich eher so machen.

Gruß,
fritzo
Bitte warten ..
Mitglied: Folkskygg
05.11.2007 um 17:26 Uhr
Da stimme ich fritzo zu... das ist echt etwas das nciht geht. Stell dir doch mal vor... die standard user die man in jeder Firma hat, die einfach keinen 100%igen Plan haben wie ein Windows-System funktioniert. Willst du solche User mit Power-User Rechten einfach auf einen eurer wichtigsten Server loslassen?

Ich würde dir vorschlagen dafür einen eigenen Server zu verwenden... bei dem es auch nicht so schlimm ist wenn die User mal was "kaputt machen".
Verwenden die Leute die darauf arbeiten werden auch Office Produkte wie Outllok auf dem Terminal Server? Weil wenn ja... jetzt stell dir mal vor ein Anwender öffnet da in der Terminal-Server Session eine virenverseuchte Mail... na da wirste dann richtig Spass haben. ;)

Würde lieber versuchen deinem Chef die Gelder für nen System als TerminalServer aus dem Kreuz zu leidern, als das ich dann irgendwann mal nen ganzes Wochenende da sitze und versuche die AD wieder irgendwie zu rekonstruieren.

Gruß
Folkskygg
Bitte warten ..
Mitglied: Logan000
06.11.2007 um 09:07 Uhr
Hauptbenutzer auf dem DC geht garnicht.
Aber warum benötigen die User Hauptbenutzer rechte?
Bitte warten ..
Mitglied: fritzo
06.11.2007 um 10:56 Uhr
Das kann eigentlich nur einen Grund haben: es wird irgendwo Schreibzugriff benötigt - entweder muß in einen Ordner auf der Platte oder in den HKLM-Teil der Registry geschrieben werden. Aber da muß ThomasEt jetzt mal schauen, was die Software wo an Schreibrechten benötigt.

Ich bevorzuge weiterhin die Lösung mit der dedizierten Maschine. DC als Terminalserver stinkt irgendwie zu sehr nach kaputtem AD, Stress und Wochenendeinsätzen.
Bitte warten ..
Mitglied: Logan000
06.11.2007 um 11:32 Uhr
Wenn Schreibrechte z.B. in c:\Programme\.. oder unter einem bestimmten Zweig in HKLM nötig sind um eine Anwendung zum laufen zukriegen kann ma ja evtl. in diesen ausgewählten Bereichen gegebenenfalls Schreibrechte für User erteilen (am besten per GPO) das ist alle mal besser als pauschale Rechteerweiterung.
Natürlich ist ein dedizierter TermServer die bessere Lösung.
Bitte warten ..
Mitglied: ThomasEt
06.11.2007 um 16:47 Uhr
Hallo an alle! Vielen Dank für die zahlreichen und guten antworten.

Ich kann mich dem nur anschliessen! Im aktuellen Fall wird der Terminalserver nicht mehr länger Domaincontroller sein und zum Mitgliedsserver heruntergestuft werden.

Generell ist es aber dennoch sehr interessant zu wissen, wie man sowas lösen kann, wenn man nicht so viele Server zur Verfügung hat!

Mit freundlichen Grüßen Thomas
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Userverwaltung
gelöst Programmupdates ohne Adminrechte für die User einer Domäne (3)

Frage von M.Marz zum Thema Windows Userverwaltung ...

Microsoft Office
gelöst Sharepoint Cached User Infos ? (4)

Frage von joehuaba zum Thema Microsoft Office ...

Netzwerkgrundlagen
IPsec - .conf und .secret erstellen aus Gruppe und User (12)

Frage von MaxMLe zum Thema Netzwerkgrundlagen ...

Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User (10)

Frage von M.Marz zum Thema Windows Systemdateien ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...