Windows 2003 Remote Desktop vraagje

Status
Niet open voor verdere reacties.
Eagle Creek

Eagle Creek

Verenigingslid
Lid geworden
3 okt 2002
Berichten
26.322
Hallo,

wanneer ik een gebruikersgroep (AB) toevoeg bij de policy 'allow log on through Terminal Services', en ik een user toevoeg aan gebruikersgroep AB moet deze zich toch gewoon kunnen aanmelden via RDP?

Tenminste; dat is wat mij logisch lijkt en hoe ik het vind op het net.

Echter: een gebruiker met usergroup USERS en usergroup AB (welke dus Terminal Services mag gebruiken) kan NIET inloggen op de server. Pas wanneer ik de gebruikersgroep "Remote Desktop Users" erbij betrek kan deze gebruiker remote inloggen.

Zie ik iets over het hoofd?

Met andere woorden:
Ik wil per ce gebruiker X niet toevoegen aan de "remote desktop"-groep. Ik wil dat een andere groep ook de mogelijkheid heeft om hier in te loggen.
Echt; er wordt niet geluisterd.

attachment.php


Om te voorkomen dat ik dingen écht over het hoofd zie probeer ik nu gewoon de normale, ingebouwde, usergroup USERS toe te voegen aan dit recht. Maar helaas?

EDIT: Zelfs als ik de user (test) individueel toevoeg aan dit recht lukt het niet!
Ik regel dit bij het LOKALE beveiligingsbeleid omdat de PC nog niet in een domein zit. (geen idee of dit ook per domain policy kan maar dat zien we dán wel weer).
Er zijn geen gebruikers of groepen opgegeven bij DENY.
 

Bijlagen

  • gebruiksrecht.PNG
    gebruiksrecht.PNG
    7,2 KB · Weergaven: 138
Laatst bewerkt:
Volgens mij is er ook een policy voor dat je als gewone gebruiker niet mag inloggen
op een windows 2k3 server.

Als je die ook goed zet dan moet het werken
 
Jeffrey1986 zei:
Volgens mij is er ook een policy voor dat je als gewone gebruiker niet mag inloggen
op een windows 2k3 server.

Als je die ook goed zet dan moet het werken
Klik om te vergroten...

Als je me dan nog even vertelt wélke policy ;). Want dat was de hamvraag eigenlijk.
 
kun je die groep dan niet dezelfde rechten geven als die Groep?
 
Je kan de groep AB lid maken van de remote desktop users

Verder zocht je de gpo setting voor de terminal server deze vindt je onder
Comp config /win settings /security settings/user right assignment daar zie je allow logon through terminal services
Denk eraan dat je als je deze setting toekent dit doet op de ou waar de computer (terminal server) zich bevindt

even een vraag is je terminal server ook domein controller ?
Mocht dit het geval zijn dan wil je niet dat gebruikers connecten met de remote desktop dit zou een mega beveiligingslek zijn (proef ondervondelijk uitgeprobeerd als normal gebruiker was ik in staat via terminal de mmc te openen vervolgens die AD snap in te laden en mijzelf vervolgens lid te maken van de admin groep )
je kan dit wel geheel dicht timmeren via een gpo maar het risico is te groot ga ervanuit een terminal server is nooit domeincontroller
 
@rdee zei:
Je kan de groep AB lid maken van de remote desktop users
Klik om te vergroten...
Ik kan een groep niet toewijzen aan een groep. Altans, dit kreeg ik niet voor elkaar. Ben je er zeker van dat dit moet kunnen? Dan duik ik er nog even in n amelijk.

@rdee zei:
Verder zocht je de gpo setting voor de terminal server deze vindt je onder
Comp config /win settings /security settings/user right assignment daar zie je allow logon through terminal services
Denk eraan dat je als je deze setting toekent dit doet op de ou waar de computer (terminal server) zich bevindtp
Klik om te vergroten...
Zoals al meerdere keren gezegd, dit recht is toegewezen aan deze groep. En daarom starte ik deze hele thread.

@rdee zei:
even een vraag is je terminal server ook domein controller ?
Mocht dit het geval zijn dan wil je niet dat gebruikers connecten met de remote desktop dit zou een mega beveiligingslek zijn (proef ondervondelijk uitgeprobeerd als normal gebruiker was ik in staat via terminal de mmc te openen vervolgens die AD snap in te laden en mijzelf vervolgens lid te maken van de admin groep )
je kan dit wel geheel dicht timmeren via een gpo maar het risico is te groot ga ervanuit een terminal server is nooit domeincontroller
Klik om te vergroten...
Nee, er is een aparte DC. Dit inderdaad ivm beveiliging. (Windows zou het zelf ook al afraden mocht je deze configuratie willen maken). Hoe je dat geintje geflikt hebt zou ik wel willen weten trouwens, interessante stuff.
 
de toewijzing van die groepen zou kunnen liggen aan je domein functional level
ik meen me te herinneren dat als je nog nt ondersteund dit inderdaad niet kan

Je kan je functional level promoten als je in de active directory users & computers snap in rechtsklikt op je domein dan raise functional level

Waarschuwing als je nog windows nt of windows 2000 domeincontrollers draait niet uitvoeren na deze handeling heb je anders een serieeus probleem

met het raisen van je funtional level heb je ineens ook ondersteuning voor universal groups
deze zijn voor forrest wide comunicatie oa als je trusts opzet met andere domeinen

ik heb het nog nagekeken en kan gewoon een global group toevoegen in de builtin local remote desktop users group mijn functional level is overgens wel 2003

zoek even in de help van 2003 op "functional level" vervolgens klik je op "Domain and forest functionality : Active Directory" daar staat een schema van wat suported is op welk level
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan