Logo faq-o-matic.net
Logo faq-o-matic.net

RDP – oder: die Tücken der Gewohnheit

17 Mrz 2010
von veröffentlicht am17. März 2010, 15:52 Uhr Kurzlink http://faq-o-matic.net/?p=2178 Zitatlink
Kategorie Kategorie: Administration, Freie Wildbahn, Gruppenrichtlinien, Sicherheit, Windows XP   Translate with Microsoft Translator Translate EN

image RDP ist eine wunderbare Technik, um remote auf Windows-Rechner zuzugreifen. Wer dies wie ich intensiv nutzt, gewöhnt sich aber schnell so sehr daran, dass er nicht mehr bemerkt, dass es sich schon um eine besondere Art des Zugriffs handelt.

Gerade entwerfe ich für einen Kunden einige Sicherheitseinstellungen für Active Directory. Unter anderem wollen wir per Gruppenrichtlinie steuern, wer sich an welchen Maschinen anmelden darf. Kein Problem – GPO auf die passende OU verlinken, in der die Computer stecken, und dort über die Sicherheitseinstellungen das Recht “Lokale Anmeldung erlauben” vorgeben. In meinem Fall sollen nur die “Administratoren” und die Gruppe “DOM\Abt02-Erlauben” drinstehen.

Tja – nur der Test schlägt fehl. Jeden Anmeldeversuch mit einem AD-Konto, das der Gruppe “Abt02-Erlauben” angehört, wird von XP abgewiesen mit dem Hinweis: “Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden.” Ja, Kruzi!

Nach langem Suchen und vielen vergeblichen Versuchen fiel es mir dann wie der Schuppen vom Stall: Ich versuchte die ganze Zeit, per RDP auf die XP-Maschine zuzugreifen. Vorher hatte ich das immer als Admin getan. Normale Benutzer dürfen aber nur per RDP zugreifen, wenn man sie separat in die Gruppe “Remotedesktop-Benutzer” aufnimmt. Die Fehlermeldung, die XP gibt, bezieht sich aber (weil XP da eben noch sehr mit Windows 2000 verwandt ist) auf die “Interaktive Anmeldung”.

Tja, und das war’s dann auch: Beim Zugriff direkt auf der lokalen Konsole verhielten sich XP (und damit auch meine Gruppenrichtline) genau so, wie es geplant war …

Verwandte Beiträge:

  1. Wie kann ich per GPO den Zugriff auf USB-Sticks oder andere Devices sperren?
    Bis einschlißelich Windows XP: Gar nicht. Die einzige Möglichkeit, die Gruppenrichtlinien (GPO) hier bieten, ist das Ausblenden bzw. die Sperrung...
  2. Vorsicht Falle! Vererbung im AD
    Im Active Directory kann man ja, wie allseits bekannt, auf OUs etc. auch Rechte vergeben. Und natürlich lassen sich diese...
  3. Wie kann ich überprüfen, welche Benutzer gesperrt oder deaktiviert sind?
    Das ist recht komplex. Es gibt zwar einen LDAP-Query, den du bei WS2003 in den Gespeicherten Abfragen verwenden kannst, der...
  4. Kann ich eine Domäne oder einen DC umbenennen?
    Das Umbenennen einer Domäne oder eines Domänencontrollers wurde zwischen Windows 2000 und Windows 2003 geändert. Es hängt von der Windows-Version...
  5. \\ice:2008: Hype oder Nutzen in der IT – die Folien
    Hier sind nun auch die Folien zu meinem Vortrag "Hype oder Nutzen in der IT? Was Mittelständler interessiert" auf der...
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=2178
<<
>>

© 2005-2012 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!