Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Hauptbenutzerrechte für User am Terminalserver, der auch DC ist

Frage Microsoft Windows Server

Mitglied: ThomasEt

ThomasEt (Level 1) - Jetzt verbinden

05.11.2007, aktualisiert 06.11.2007, 6538 Aufrufe, 6 Kommentare

auf einem Windows Server 2003, der als Terminalserver arbeitet müssen die User Hauptbenutzerrechte haben.
Dies erfordert die Client-Anwendung.

Wäre es ein Mitgliedsserver würde ich die entsprechende Domänengruppe (Domänen-Benutzer) in die Lokale Gruppe Hauptbenutzer aufnehmen. Damit wäre das Problem gelöst.

Unglücklicherweise ist der Server aber auch ein Domaincontroller, somit gibt es keine lokalen Gruppen! Wie kann man das Probem auf Domänenebene lösen? Lässt sich das per GPO umsetzen? In der Domäne gibt es keine solche Gruppe!

Hat jemand eine Idee?

mfg Thomas E.
Mitglied: fritzo
05.11.2007 um 16:50 Uhr
Hallo,

ich trau mich zwar ungern an diese Fragestellung heran, antworte aber trotzdem mal:

Ein DC als Terminalserver mit Usern, die Hauptbenutzerrechte haben, ist in meinen Augen ein No-Go. Ihr solltet Euch einen zweiten Server beschaffen und diesen zum dedizierten Terminalserver machen.

Wahrscheinlich habt Ihr nur ein geringes Budget und das ist das nicht die Antwort, die Du haben möchtest, daher hier eine zweite:

Du könntest es per Policy machen oder aber auch erstmal mit Setzen von Schreibrechten auf der Platte.

Policy
Benutze am besten die GPMC. Erstelle eine Kopie der Default Domain Controllers Policy. Diese gilt für Euren DC. Erstell eine Testgruppe mit erst einmal einem Testaccount und ordne diese der Policy mit "Lesen durch Sicherheitsfilterung" zu, so daß Mitglieder dieser Testgruppe die Policy beim Anmelden ziehen.

Ändere diese Policy so ab, daß der Testaccount so eingeschränkt wird , daß er die gleichen Rechte hat, die ein Hauptbenutzer hätte (soweit ich es ermessen kann, geht das leider nur zu Fuß, da Ihr ja, wie Du bereits erwähntest, keine lokalen Gruppen habt). Ich würde den Testaccount erst einmal wie einen normalen Benutzer mit sehr eingeschränkten Rechten berechtigen und an den benötigten Stellen dann die Policy soweit aufbohren, daß die Anwendung läuft. Wenn die Anwendung irgendwann läuft und die Policy fertig ist, kannst Du die Anwender in eine globale Domänengruppe packen und statt des Testaccounts diese mit "Lesen durch Sicherheitsfilterung" zuweisen.

Schreibrechte
Vielleicht geht es aber auch einfacher - sollte die Anwendung nämlich nur Schreibrechte im lokalen Programmverzeichnis benötigen (dies ist meist der Fall), dann würde das Setzen von Schreibrechten für die entsprechenden Benutzer (über eine globale Gruppe) auf dem Programmverzeichnis ausreichen. Falls das funktioniert, dann würde ich es wahrscheinlich eher so machen.

Gruß,
fritzo
Bitte warten ..
Mitglied: Folkskygg
05.11.2007 um 17:26 Uhr
Da stimme ich fritzo zu... das ist echt etwas das nciht geht. Stell dir doch mal vor... die standard user die man in jeder Firma hat, die einfach keinen 100%igen Plan haben wie ein Windows-System funktioniert. Willst du solche User mit Power-User Rechten einfach auf einen eurer wichtigsten Server loslassen?

Ich würde dir vorschlagen dafür einen eigenen Server zu verwenden... bei dem es auch nicht so schlimm ist wenn die User mal was "kaputt machen".
Verwenden die Leute die darauf arbeiten werden auch Office Produkte wie Outllok auf dem Terminal Server? Weil wenn ja... jetzt stell dir mal vor ein Anwender öffnet da in der Terminal-Server Session eine virenverseuchte Mail... na da wirste dann richtig Spass haben. ;)

Würde lieber versuchen deinem Chef die Gelder für nen System als TerminalServer aus dem Kreuz zu leidern, als das ich dann irgendwann mal nen ganzes Wochenende da sitze und versuche die AD wieder irgendwie zu rekonstruieren.

Gruß
Folkskygg
Bitte warten ..
Mitglied: Logan000
06.11.2007 um 09:07 Uhr
Hauptbenutzer auf dem DC geht garnicht.
Aber warum benötigen die User Hauptbenutzer rechte?
Bitte warten ..
Mitglied: fritzo
06.11.2007 um 10:56 Uhr
Das kann eigentlich nur einen Grund haben: es wird irgendwo Schreibzugriff benötigt - entweder muß in einen Ordner auf der Platte oder in den HKLM-Teil der Registry geschrieben werden. Aber da muß ThomasEt jetzt mal schauen, was die Software wo an Schreibrechten benötigt.

Ich bevorzuge weiterhin die Lösung mit der dedizierten Maschine. DC als Terminalserver stinkt irgendwie zu sehr nach kaputtem AD, Stress und Wochenendeinsätzen.
Bitte warten ..
Mitglied: Logan000
06.11.2007 um 11:32 Uhr
Wenn Schreibrechte z.B. in c:\Programme\.. oder unter einem bestimmten Zweig in HKLM nötig sind um eine Anwendung zum laufen zukriegen kann ma ja evtl. in diesen ausgewählten Bereichen gegebenenfalls Schreibrechte für User erteilen (am besten per GPO) das ist alle mal besser als pauschale Rechteerweiterung.
Natürlich ist ein dedizierter TermServer die bessere Lösung.
Bitte warten ..
Mitglied: ThomasEt
06.11.2007 um 16:47 Uhr
Hallo an alle! Vielen Dank für die zahlreichen und guten antworten.

Ich kann mich dem nur anschliessen! Im aktuellen Fall wird der Terminalserver nicht mehr länger Domaincontroller sein und zum Mitgliedsserver heruntergestuft werden.

Generell ist es aber dennoch sehr interessant zu wissen, wie man sowas lösen kann, wenn man nicht so viele Server zur Verfügung hat!

mfg Thomas
Bitte warten ..
Ähnliche Inhalte
Windows Server
User am Terminalserver freigeben
gelöst Frage von samet22Windows Server4 Kommentare

Hallo Leute, Habe eine Frage an euch. Kann man am Terminal Server einen User wieder freigeben? Da ich etwas ...

Windows Server
User Profile von drei Terminalservern auf einen neuen Terminalserver migrieren
Frage von sireivenWindows Server4 Kommentare

Hallo Zusammen Die Aufgabenstellung ist etwas komplex. Es geht darum die Userprofile auf drei Terminalservern auf einen neuen Terminalserver ...

Windows Server
Ein Terminalserver User kann sich nicht mehr vollständig abmelden.
Frage von NecroscopeWindows Server4 Kommentare

Ein Benutzer sollte von PC auf Thinclient umgestellt werden, aber sein „User“ meldet sich nicht richtig ab von dem ...

Windows Server
Terminalserver Farm Problem mit User Abmeldung
gelöst Frage von dakoerryWindows Server3 Kommentare

Guten Tag an Alle, ich hoffe man kann mir hier Helfen. Ich habe eine Terminalserver Farm mit Server 2012 ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 10 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 17 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 19 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 22 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1018 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...