alhambra
Goto Top

RDP-Anmeldung nur für Domänen-Admins

Hallo zusammen,

wir arbeiten mit einer Windows 2008 R2 Domäne. Terminalserver setzen wir nicht ein. Unsere Server administrieren wir über RDP mit speziellen Domänen-Admin-Konten).
Ein paar wenige User (leider lokale Admins auf den PCs) kennen das RDP-Protokoll und melden sich (wahrscheinlich erst mal, um zu sehen, was passiert) an einem Server an.

Dieses möchte ich verhindern, das Anmelden am Server soll Domänen-Admins vorenthalten bleiben.

Leider weiß ich momentan grad nicht, wie ich das verhindern kann und wende mich an dieses Forum. Ich habe an eine Gruppenrichtlinie gedacht, aber noch nicht die passende gefunden.

Hat jemand weitere Tipps für mich?

Vielen Dank im Voraus.

Ali

Content-Key: 281694

Url: https://administrator.de/contentid/281694

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: fognet
fognet 01.09.2015 um 12:26:53 Uhr
Goto Top
Hi
In den Active Directory bei Bentzer und Computer gibt es Benutzergruppen, so auch für den Terminalserver. Dort kannst du dann nur die Admins reintun und die normalen Nutzer aussperren.

LG PPR
Mitglied: rzlbrnft
rzlbrnft 01.09.2015 aktualisiert um 12:34:27 Uhr
Goto Top
Zitat von @alhambra:
Ein paar wenige User (leider lokale Admins auf den PCs) kennen das RDP-Protokoll und melden sich (wahrscheinlich erst mal, um zu
sehen, was passiert) an einem Server an.

Wenn die User in der Gruppe der Remotedesktopbenutzer am Server sind wo sie sich nicht anmelden sollen ist das schonmal grundsätzlich verkehrt designt.
Da sind sie bei einer Standardinstallation nämlich nicht.


Wenn User lokale Admins sein sollen dann wirf deren PCs in eine OU, mach dir nur für diese OU eine Gruppenrichtlinie und bearbeite in den lokalen Sicherheitsrichtlinien des Computers die lokale Benutzergruppe Administratoren.
Diese Richtlinie darf natürlich nicht in der gleichen OU liegen wie die Server.
Mitglied: emeriks
emeriks 01.09.2015 um 13:39:12 Uhr
Goto Top
Hi,
irgendwie passt das nicht zusammen, was Du da schreibst.
Wenn der Server kein TS ist, dann können sich standardmäßig nur Administratoren des Servers per RDP mit diesem verbinden.
Wenn ein Benutzer lokaler Administrator an seinem PC ist, dann berechtigt ihn das nicht, sich per RDP mit einem Server zu verbinden.
Das sie es aber offensichtlich können, muss ich davon ausgehen, dass diese Benutzer auch lokale Administratoren an den betreffenden Servern sind? Falls ja, dann kannst Du es schlussendlich nicht unterbinden, da sie mit ihren Admin-Rechten die RDP-Einstellungen am Server jederzeit remote wieder ändern könnten.

Wenn sie keine lokalen Admins an den Servern sind und sich trotzdem dort über RDP anmelden können, dann läuft der Terminalserver-Dienst auf dem Server entweder im Anwendungsmodus oder die Benutzer wurden explizit dafür berechtig, z.B. indem sie Mitglied der Gruppe "Remotedesktopbenutzer" auf den betreffenden Server sind oder weil die ACL des RDP-Protokolls auf diesen Servern entsprechend bearbeitet wurde.
Wenn sie Mitglied der lokalen "Remotedesktopbenutzer" sind, dann stellt sich die Frage warum sie dort drin sind. Möglicherweise wurde dies mit einer schlecht fokussierten GPO eingestellt, mit welcher man eigentlich einstellen wollte, dass die Benutzer sich auf ihre PC per RDP verbinden können, jedoch diese GPO auch für Server gilt.

E.
Mitglied: alhambra
alhambra 02.09.2015 um 09:31:31 Uhr
Goto Top
Nochmal hallo,

da war in der Tat einiges unklar, ich muss Informationen nachliefern...

Ich habe versucht, mich mit meinem "normalen" Benutzerkonto (nicht mein Admin-Konto) per RDP am Server anzumelden. Dort wurde ich mangels Rechten geblockt so wie es sein soll und wie ich es erwartet habe. In unserem Fall trifft das auch für die üblichen User zu.

Die Merkwürdigkeit liegt wohl doch wo anders. Auf dem Server habe ich unter c:\Benutzer\ scheinbar ein Profil eines Mitarbeiters gefunden. Daraus habe ich - womöglich falsch - geschlossen, dass sich ein User am Server anmelden konnte.

Wieso aber liegt dort ein Benutzerprofil eines Domänenbenutzers? (Servergespeicherte Profile setzen wir nicht ein, und wenn lägen sie woanders).

Grüße

Ali
Mitglied: emeriks
emeriks 02.09.2015 aktualisiert um 10:58:59 Uhr
Goto Top
Wieso aber liegt dort ein Benutzerprofil eines Domänenbenutzers? (Servergespeicherte Profile setzen wir nicht ein, und wenn lägen sie woanders).
Der Benutzer kann sich auch direkt am Server angemeldet haben. Also entweder vor Ort am Gerät oder per Remote Console z.B. wie bei HP das iLO oder bei Intel das IRMM. Oder es lief mal ein Task oder Prozess mit diesem User auf dem Server, bei welchem das Profil geladen werden sollte.
Roaming Profiles haben damit überhaupt nichts zu tun.
Mitglied: alhambra
alhambra 03.09.2015 um 08:13:37 Uhr
Goto Top
Ist eine vmware-Maschine, eine direkte Anmeldung ist also schwer möglich. Ein Zugriff über den vSphere-Client können wir ausschließen.
Mit dem Satz mit Task oder Prozess kann ich nicht viel anfangen, dieser Server macht nur Domänencontroller und dient als Fileserver. Was für Tasks oder Prozesse kommen hier infrage?

Gruß

Ali
Mitglied: emeriks
emeriks 03.09.2015 um 12:52:44 Uhr
Goto Top
Was für Tasks oder Prozesse kommen hier infrage?
Da könnte früher mal ein Scheduled Task (geplante Aufgabe) mit diesem Benutzer konfiguriert gewesen sein.
Oder es lief mal ein Dienst unter diesem Konto.
Mitglied: alhambra
alhambra 04.09.2015 um 12:01:41 Uhr
Goto Top
Kann ich beides ausschließen...

Ich werde es mal beobachten, macht mich halt stutzig, wenn unter C:\Benutzer ein Username auftaucht...

Trotzdem, danke für die Antworten!

Ali