RDP – oder: die Tücken der Gewohnheit

RDP ist eine wunderbare Technik, um remote auf Windows-Rechner zuzugreifen. Wer dies wie ich intensiv nutzt, gewöhnt sich aber schnell so sehr daran, dass er nicht mehr bemerkt, dass es sich schon um eine besondere Art des Zugriffs handelt.

Gerade entwerfe ich für einen Kunden einige Sicherheitseinstellungen für Active Directory. Unter anderem wollen wir per Gruppenrichtlinie steuern, wer sich an welchen Maschinen anmelden darf. Kein Problem – GPO auf die passende OU verlinken, in der die Computer stecken, und dort über die Sicherheitseinstellungen das Recht “Lokale Anmeldung erlauben” vorgeben. In meinem Fall sollen nur die “Administratoren” und die Gruppe “DOM\Abt02-Erlauben” drinstehen.

Tja – nur der Test schlägt fehl. Jeden Anmeldeversuch mit einem AD-Konto, das der Gruppe “Abt02-Erlauben” angehört, wird von XP abgewiesen mit dem Hinweis: “Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden.” Ja, Kruzi!

Nach langem Suchen und vielen vergeblichen Versuchen fiel es mir dann wie der Schuppen vom Stall: Ich versuchte die ganze Zeit, per RDP auf die XP-Maschine zuzugreifen. Vorher hatte ich das immer als Admin getan. Normale Benutzer dürfen aber nur per RDP zugreifen, wenn man sie separat in die Gruppe “Remotedesktop-Benutzer” aufnimmt. Die Fehlermeldung, die XP gibt, bezieht sich aber (weil XP da eben noch sehr mit Windows 2000 verwandt ist) auf die “Interaktive Anmeldung”.

Tja, und das war’s dann auch: Beim Zugriff direkt auf der lokalen Konsole verhielten sich XP (und damit auch meine Gruppenrichtline) genau so, wie es geplant war …