Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Remotedesktopverbindung als nicht-Admin in der Domäne möglich?

Frage Microsoft Windows Server

Mitglied: neo-mnemonic

neo-mnemonic (Level 1) - Jetzt verbinden

08.03.2006, aktualisiert 18.10.2012, 13585 Aufrufe, 43 Kommentare

hatte diese frage bereits innerhalb eines fremden threads gestellt, aber diese sind entweder zu alt und liest niemand mehr, oder man muss einen eigenen erstellen ... jeeedenfalls:

hallo liebe leute,

mich plagt folgendes problem:
habe eine domäne in betrieb (dc: w2k3 sbs; clients: winxp pro) wobei 2 benutzer (am wochende etwa) vom heimarbeitsplatz per remotedesktopverbindung auf deren unternehmensarbeitsplatz (nicht auf den server) zugreifen und arbeiten sollen.
das funktioniert aber nur, wenn diese benutzer mitglied des domänen-admins sind !?! 'türlich ist das nicht haltbar.
was muss ich wo wie einstellen, damit diese nicht als domänen-admins durchs netz taumeln? (mitgliedschaft in remotedesktop-benutzer hatte keine auswirkung ...)
pptp-vpn steht zwischen pc (heimarbeitsplatz) und router (bintec access25)

mbg
43 Antworten
Mitglied: meinereiner
08.03.2006 um 22:29 Uhr
Das geht auch so.
Was für eine Fehlermeldung kommt denn wenn sie es als normale User versuchen?
Bitte warten ..
Mitglied: ITwissen
08.03.2006 um 22:50 Uhr
Via "Control Panel" auf "System", dort den Reiter "Remote" auswaehlen.

Bei "Remote Desktop" kannst du unter "Select Remote Users ..." die Benutzer eintragen, die sich per RDP anmelden duerfen. Das muessen auch keine Admins sein. Allerdings gehen nur 2 Sessions gleichzeitig, ansonsten muss "Terminal Server" lizensiert werden.

Achtung, immer sauber "Disconnecten" sonst sind die beiden Sessions nutzlos verbraucht.
Bitte warten ..
Mitglied: RobertTischler
08.03.2006 um 22:52 Uhr
Hallo

Kann es sein das du den Terminal Server nur im RemoteAdmin Service Installiert hast zu mindestens bei Win 2k war das so. Man musste den Terminal Server im Anwender Modus installieren mit allen Lizenzen um sich als normaler Benutzer per Remote ins System zu kommen.

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: neo-mnemonic
08.03.2006 um 22:53 Uhr
... kann ich nicht mit sicherheit sagen - mom, werde es mal eben testen ...
Bitte warten ..
Mitglied: meinereiner
08.03.2006 um 22:56 Uhr
Hmm, verstehe ich da grad was falsch?

Die user sollen "auf deren unternehmensarbeitsplatz (nicht auf den server)" zugreifen und die "clients: winxp pro"...
Bitte warten ..
Mitglied: ITwissen
08.03.2006 um 22:58 Uhr
Bis auf das mit den zwei Sessions geht das auch mit XP. XP hat nur eine Session.
Bitte warten ..
Mitglied: neo-mnemonic
08.03.2006 um 23:01 Uhr
@ meinereiner:
vom heim-pc (xp pro) zuhause, zugriff auf client (xp pro) im unternehmen.
jeder benutzer auf sein eigenes system.
Bitte warten ..
Mitglied: meinereiner
08.03.2006 um 23:02 Uhr
Bis auf das mit den zwei Sessions geht das
auch mit XP. XP hat nur eine Session.

Pack mal in die Gruppe der Remotedesktopuser einen Benutzer rein und dann schau mal da nach wo du es beschrieben hast.
Bitte warten ..
Mitglied: neo-mnemonic
08.03.2006 um 23:05 Uhr
@RobertTischler
... kein Terminal Server ...
Bitte warten ..
Mitglied: meinereiner
08.03.2006 um 23:06 Uhr
@ meinereiner:
vom heim-pc (xp pro) zuhause, zugriff auf
client (xp pro) im unternehmen

Das sollte Problemlos gehen. Du musst nur auf dem XP Rechner die passenden Rechte haben. So ad hoc würde ich sagen, so wie du es eingerichtet hast passt es. Deswegen habe ich nach der Fehlermeldung gefragt.

Kann es sein das eine Richtlinie in der Firma den zugriff verweigert?
Bitte warten ..
Mitglied: ITwissen
08.03.2006 um 23:07 Uhr
Ist exakt das gleiche.
Bitte warten ..
Mitglied: neo-mnemonic
08.03.2006 um 23:07 Uhr
@ITwissen
... zugriff auf client, nicht auf server ...
Bitte warten ..
Mitglied: neo-mnemonic
08.03.2006 um 23:10 Uhr
> @ meinereiner:
> vom heim-pc (xp pro) zuhause, zugriff
auf
> client (xp pro) im unternehmen

Das sollte Problemlos gehen. Du musst nur
auf dem XP Rechner die passenden Rechte
haben. So ad hoc würde ich sagen, so
wie du es eingerichtet hast passt es.
Deswegen habe ich nach der Fehlermeldung
gefragt.

Kann es sein das eine Richtlinie in der
Firma den zugriff verweigert?

hmhh ... halte ich für möglich, werde das morgen mal prüfen ...
Bitte warten ..
Mitglied: meinereiner
08.03.2006 um 23:17 Uhr
> hmhh ... halte ich für
möglich, werde das morgen mal
prüfen ...


Oki, melde ich halt ggf nochmal
Bitte warten ..
Mitglied: ITwissen
08.03.2006 um 23:20 Uhr
Wie gesagt, das gleiche wie auf dem Server funktioniert auch auf den Clients. Den User in die Remotedesktopuser Gruppe eintragen, wie meinereiner gesagt hat. Oder ueber "System", "Remote" , ... wie ich es vorher beschrieben habe.

Oder via cmd:
net group remotedesktopuser username /add
Bitte warten ..
Mitglied: meinereiner
08.03.2006 um 23:36 Uhr
Wie gesagt, das gleiche wie auf dem Server
...
net group remotedesktopuser username /add


Zitat: (mitgliedschaft in remotedesktop-benutzer hatte keine auswirkung ...)

Sorry, aber mehr als den Titel hast du wohl nicht gelesen?!
Bitte warten ..
Mitglied: RobertTischler
09.03.2006 um 00:05 Uhr
Mal ein frage eines unwissenden. Wenn ich mich in einem Firmen Netzwerk einwählen und mich mit einem Client verbinden will läuft das nicht so oder so über einen Server? Und währe es nicht genau das was ein Hacker versuchen würde sich auf einen Client zu verbinden um das ganze System zu übernehmen. Mit Server-Client verbindungen habe ich noch nicht so die Ahnung des wegen diese Fragen.
Bitte warten ..
Mitglied: ITwissen
09.03.2006 um 00:05 Uhr
Ich habs gerade ausprobiert und es hat funktioniert.
Vielleicht hat er sich nicht praezise ausgedrueckt.

User die ich in die Gruppe "Remotedesktopusers" eintrage sehe ich in "System", "Remote", ... und alle die ich da reingeschrieben habe, konnten sich per RDP verbinden.
Bitte warten ..
Mitglied: meinereiner
09.03.2006 um 00:17 Uhr
Mal ein frage eines unwissenden. Wenn ich
mich in einem Firmen Netzwerk einwählen
und mich mit einem Client verbinden will
läuft das nicht so oder so über
einen Server?

Nicht unbedingt. Man kann sich auch über ISDN oder VPN auf einen Router einwählen. Auf einen richtigen Server würde ich persönlich es nicht machen. Es sei denn er spielt selbst auch Firewall.


>Und währe es nicht genau
das was ein Hacker versuchen würde sich
auf einen Client zu verbinden um das ganze
System zu übernehmen.

Ja, aber dazu müsste er ja erst ins Netz kommen. In einem Firmennetzwerk würde ich es als hochgradig leichtsinnig ansehen einen Client zum Internet hin auf zu machen.


>Mit Server-Client
verbindungen habe ich noch nicht so die
Ahnung des wegen diese Fragen.

Zum Fragen ist das Forum ja da.
Bitte warten ..
Mitglied: meinereiner
09.03.2006 um 00:23 Uhr
Ich habs gerade ausprobiert und es hat
funktioniert.
Vielleicht hat er sich nicht praezise
ausgedrueckt.

Oder das Problem liegt wo anders.


User die ich in die Gruppe
..
reingeschrieben habe, konnten sich per RDP
verbinden.

Das funktioniert aber nur, weil der Gruppe in den Richtlinien die Rechte dafür zugeteilt wurden. Wenn die z.B. durch eine Richtlinie verbogen sind, haut es nicht mehr hin.
Dabei ist es auch nicht so weit hergeholt, dass man in einer Firma so eine Richtlinie erstellt.


Edit: Wenn wirklich nur Domänen Admins drauf kommen, dann spricht das auch für die Überlegung mit der Richtlinie, denn eigentlich haben auch lokale Admins Zugriff auf den Remotedesktop
Bitte warten ..
Mitglied: ITwissen
09.03.2006 um 00:38 Uhr
Da hast du recht.

Bin ja noch neu hier. Vielleicht kann man mir das in diesem Fall nochmal verzeihen, wenn ich Besserung gelobe.
Bitte warten ..
Mitglied: meinereiner
09.03.2006 um 08:01 Uhr
Bin ja noch neu hier. Vielleicht kann man
mir das in diesem Fall nochmal verzeihen,
wenn ich Besserung gelobe.

Aber sicher doch..
Bitte warten ..
Mitglied: neo-mnemonic
10.03.2006 um 13:20 Uhr
... stimmt, als lokaler admin ist die verbindung auch nicht möglich - nor als dom-admin.

ich muß die prüfung und umsetzung der vorschläge auf mitte nächster woche verschieben, da dann der urlaub eines inhabers beginnt. bis dahin wird die derzeitige konstellation unter vollast genutzt ...
Bitte warten ..
Mitglied: neo-mnemonic
10.03.2006 um 13:23 Uhr
...vielen dank für eure wirklich rege teilnahme!!


mit bestem gruß
neo_mnemonic
Bitte warten ..
Mitglied: Heisenberg.
04.08.2010 um 11:01 Uhr
Entschuldigt das Ausbuddeln dieser Leiche:

Sehe ich das richtig, dass sich wirklich nur Mitglieder der Gruppe Domänen-Admin per RDP anmelden können?? Gibt es etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Bitte warten ..
Mitglied: meinereiner
04.08.2010 um 11:08 Uhr
Sehe ich das richtig, dass sich wirklich nur Mitglieder der Gruppe Domänen-Admin per RDP anmelden können??
Nein, hier wird doch auch das Gegenteil beschrieben.


>Gibt es
etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Vor allem solltest du ein gutes Backup von allen Servern haben!!!
Bitte warten ..
Mitglied: Heisenberg.
04.08.2010 um 11:18 Uhr
Alle User sind Mitglied der Gruppe "Remotedesktopbenutzer" und unter System > Remote auch zu sehen. Dennoch kann ich mich nur als Domänen-Admin per RDP anmelden.

Zitat von meinereiner:
>Gibt es
> etwas, was ich beachten muss, wenn ich alle User dieser Gruppe hinzufüge?
Vor allem solltest du ein gutes Backup von allen Servern haben!!!

Habe per GPO so ziemlich alles untersagt. Ordnerzugriffe, Rechtsklick etc. Es ist eigentlich nur die Ausführung eines Progammes möglich, Dateien mit diesem Programm in "Eigene Dateien" ablegen und 1-2 Internetseiten sind auch offen. Deswegen meine Frage, ob es dennoch gefährlich ist, alle User der Gruppe "Domänen-Admin" zuzuordnen?
Bitte warten ..
Mitglied: ITwissen
04.08.2010 um 11:28 Uhr
Mittels GPO kann man ziemlich Rechte sehr präzise vergeben. Wenn du dort alles richtig einstellst, dann geht das auch ohne Domänen-Admin.

Kurzantwort auf deine Frage: Ja, es ist ziemlich gefährlich alle User in die Gruppe Domänen Admin einzutragen. Dieser Eintrag ist nämlich nicht auf einen einzelnen Rechner beschränkt sonder gilt Domänenweit, d.h. auf ALLEN Rechnern in der Domäne.
Bitte warten ..
Mitglied: Heisenberg.
04.08.2010 um 11:32 Uhr
Aber wenn ich sowieso alles per GPO verboten habe, was kann der User denn dann als Domänen-Admin noch böses anstellen? Ich bekomme es nämlich partout nicht auf die Kette, dass man sich ohne die Domänen-Admin-Mitgliedschaft via RDP anmelden kann...
Bitte warten ..
Mitglied: meinereiner
04.08.2010 um 11:35 Uhr
Alle User sind Mitglied der Gruppe "Remotedesktopbenutzer" und unter System > Remote auch zu sehen. Dennoch kann ich
mich nur als Domänen-Admin per RDP anmelden.

Was für eine Fehlermedlung kommt?
Auf was für ein System versuchen sie sich zu verbinden?

BTW: Auf einem DC brauchen sie noch das Rechtz zur lokalen Anmeldung.

Habe per GPO so ziemlich alles untersagt. Ordnerzugriffe, Rechtsklick etc. Es ist eigentlich nur die Ausführung eines
Progammes möglich, Dateien mit diesem Programm in "Eigene Dateien" ablegen und 1-2 Internetseiten sind auch offen.
Deswegen meine Frage, ob es dennoch gefährlich ist, alle User der Gruppe "Domänen-Admin" zuzuordnen?

Domänen Admins sind per Standard Admin auf JEDEM Server und PC der Domäne.
Server lassen sich auch Remote administrieren!

Lass diesen Unsinn bloss sein!!
selbst wenn du das irgendwie hinbekommst wirst du dein Leben nicht mehr froh wenn du so eine verbogene Umgebung administrieren willst.
Von einem anderen als dir will ich gar nicht reden.
Bitte warten ..
Mitglied: Heisenberg.
04.08.2010 um 11:56 Uhr
Danke erstmal für die schnellen Antworten. Bin auf dem Gebiet leider noch absoluter Neuling...

Habe zwei virtuelle Server 2003 R2 SP2. Auf dem ersten habe ich die AD eingerichtet. Dort kann ich mich mit allen angelegten Usern anmelden. Lokal und an der Domäne. Dann habe ich den zweiten als Client in die Domäne gehoben. Dort kann ich mich wie gesagt nur noch anmelden, wenn der User auch Mitglied in "Domänen-Admin" ist.
Bitte warten ..
Mitglied: ITwissen
04.08.2010 um 12:08 Uhr
Hast du schon mal nachgeschaut, welcher Fehler bei den Login Versuchen im EventtViewerr aufgezeichnet wird?

Auf Windows 2003 kann sich natürlich nur ein Admin per Remote Desktop anmelden, ausser du installierst den Terminal Server. Bisher war hier nur von Windows XP die Rede.
Bitte warten ..
Mitglied: Heisenberg.
04.08.2010 um 12:17 Uhr
Alles klar! Das bedeutet ja, dass es in meinem Fall wirklich nicht anders geht. Gut! Dachte schon, ich sei vollkommen bescheuert!
Bitte warten ..
Mitglied: meinereiner
04.08.2010 um 12:26 Uhr
Habe zwei virtuelle Server 2003 R2 SP2. Auf dem ersten habe ich die AD eingerichtet. Dort kann ich mich mit allen angelegten Usern
anmelden. Lokal und an der Domäne.

Das sollte gar nicht gehen. An einem DC darf sich ein normaler User nicht anmelden. Das wird in der Domain Controller Policy verboten.


>Dann habe ich den zweiten als Client in die Domäne gehoben. Dort kann ich mich wie
gesagt nur noch anmelden, wenn der User auch Mitglied in "Domänen-Admin" ist.

unter Verwaltung die TerminaldiesnsteKonfiguration aufmachen. ..Doppelklick auf RDP-TCP..Karteikarte Berechtigung..
Füge da mal einen Benutzer hinzu und probier es dann mit dem.

Was für eine Fehlermeldung kommt wenns nicht klappt?
Bitte warten ..
Mitglied: Heisenberg.
04.08.2010 um 12:32 Uhr
Gleiche Meldung wie zuvor: Sie müssen über die Berechtigung "Anmeldung über Terminaldienste zulassen".
Bitte warten ..
Mitglied: meinereiner
04.08.2010 um 13:37 Uhr
Dann geh mal in die lokalen Richtinien des Servers.

Computerkonfiguration-Win. Einstellungen - Lokale Richtlinie - Zuweisen von Benutzerrechten.

Da gibt es die Richtlinie: Anmelden über Terminaldienste zulassen.
Was steht da drin?
Zum Test: Füge dort mal den Benutzer ein.

Check auch die gegenteilig Richtline: Anmelden über Terminaldienste verweigern.
Die darf für deine User nicht wirken.
Bitte warten ..
Mitglied: ITwissen
04.08.2010 um 13:50 Uhr
Um es nochmal klar zu machen. Windows 2003 lässt ohne installiertem Terminal Server nur Administratoren per Remote Desktop zu.

Hier ist das beschrieben:
KB814590
Bitte warten ..
Mitglied: meinereiner
04.08.2010, aktualisiert 18.10.2012
Um es nochmal klar zu machen. Windows 2003 lässt ohne installiertem Terminal Server nur Administratoren per Remote
Desktop zu.

Hier ist das beschrieben:
KB814590


Das bezieht sich auf die Konsolen Sitzung. Dort muss man Admin Rechte haben.

Eine "normale" Session kann ein normalerDomänen User aufbauen.
Das habe ich x fach eingerichtet und sogar eben noch probiert.

guckst du auch hier: http://www.administrator.de/forum/2003-server-remote-desktop-berechtigu ...
Bitte warten ..
Mitglied: ITwissen
04.08.2010 um 14:29 Uhr
Tja, dann weiss wohl Microsoft selbst nicht, was ihre Produkte können.


You do not have to have a Terminal Server Client Access License to use Remote Desktop for Administration. However, only members of the Administrators group can gain access to the server.
Bitte warten ..
Mitglied: meinereiner
04.08.2010 um 14:39 Uhr
Tja, dann weiss wohl Microsoft selbst nicht, was ihre Produkte können.

Oder sie haben sich schlecht ausgedrückt.
Hierfür stimmt es:

>Additionally, an administrator can also remotely connect to the real console of a server by using the -console command

Dann kommt aber eine andere Fehlermeldung, die auch sagt das man Administrator sein muss.


Es könnte auch sein, dass sie die default Einstellung meinen.
Bitte warten ..
Mitglied: Heisenberg.
04.08.2010 um 14:54 Uhr
Möchte ungern einen neuen Thread eröffnen: Kann ich irgendwo alle Sitzungen verwalten? Da wir zwei Server gemietet haben, stehen uns ja insgesamt 4 RDP-Sitzungen zur Verfügung. Wenn sich da nun jemand nicht ordentlich abmeldet, möchte ich als Admin diese Sitzung beenden. In der Terminaldienstverwaltung kann ich das nur je Server machen.
Bitte warten ..
Mitglied: ITwissen
04.08.2010 um 15:30 Uhr
Aus Erfahrung kann ich dir sagen, dass du damit noch deinen Spass haben wirst.

In der Terminaldienstverwaltung gibt es ein Menüeintrag "Connect to Computer ..." (weiss nicht wie es auf Deutsch heisst).
Bitte warten ..
Mitglied: Heisenberg.
04.08.2010 um 15:36 Uhr
Du machst mir ja Hoffnung!

"Der Server wurde nicht gefunden." Verdammt. Nagut. Da habe ich also noch etwas Sucharbeit vor mir. Trotzdem besten Dank für die bisherigen Infos!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
gelöst Keine Anmeldung an Exchange Admin Center möglich (26)

Frage von 117799 zum Thema Exchange Server ...

Windows Netzwerk
Remotedesktopverbindung in Domäne nur über IP-Adresse möglich (12)

Frage von Geoleo zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...