2008R2: Gruppenzuordnungen hauen oft nicht hin

[NullDevice]

Hi,

Was unter 2k3 bei mir problemlos funktioniert hat, haut unter 2008R2 oft nicht hin.
Ich hab noch nicht herausgefunden warum...

Wenn ich einer bestimmten GRUPPE (AD) zB. auf den Remotedesktopdienst eines Rechners der Domain zugriff gebe (Also in den erweiterten Eigenschaften von "Computer" am Desktop) können sich User dieser Gruppe nicht anmelden. Fehlermeldung ist, dass sie keine Remotedesktop berechtigungen auf dem Zielsystem haben. Füge ich sie einzeln, also nicht die Gruppe hinzu, geht es ohne Probleme.

Der Domainadmin User ist mitglied von Domain-administratoren und Administratoren. Beides Gruppen der gleichen Domain. Ich bilde mir ein dass ich am Anfang ihn trotzdem bei einigen Ordnern manuell hinzufügen musste, obwohl die Gruppen Vollzugriff in den NTFS Berechtigungen hatten.

Was mir jetzt gerade aufgefallen ist:
Ich habe einen seperaten Ordner für die Profiles. Auf diesen Ordner bringt es nix, wenn ich der Gruppe der User SOGAR Vollzugriff gebe (Ist natürlich kein Dauerzustand, zum Testen aber kurz aktiviert). Ich muss jeden User einzeln hinzufügen, damit sie sich anmelden können. Und damit meine ich nicht die Unterordner der User selbst, sondern den Profil-ordner in dem alle sind.

Was genau ist hier los?

lg ND

 

[systemkiller]

Verstehe nicht ganz Dein Problem.

Habe mal ein GPO (W2K3) - sollte aber bei W2K8 auch da sein gefunden

Computerkonfiguration --> Administrative Vorlagen --> Windows Komponenten --> Terminaldienste --> Remotverbindungen für Benutzer mit Hilfe der Terminaldienste zulassen auf "Aktiviert" setzen.

Die GPO weist Du dann Deinen Clients zu

Deine User (die per RDP zugreifen sollen) müssen Mitglied der Gruppe "Remotedesktopbenutzer" sein !

 

[Frightener]

Hast Du evtl. ein Replikationsproblem? Gib mal auf dem Client, von dem aus ein User sich auf einen anderen Rechner zugreifen soll, 'whoami /all' ein und prüfe, in welchen Gruppen der User Mitglied ist.

Nur um sicherzustellen, daß ich Dein Problem richtig verstanden habe:
Auf dem Client: Lokale Gruppe 'Remotedesktop User', hier ist eine Global Security Group Mitglied, in der wiederum der User Mitglied ist.

 

[systemkiller]

Um Dein Problem in den Griff zu bekommen, würde ich folgendermaßen vorgehen.

1. Bei allen Clients den Remotedesktop Zugriff erlauben (per GPO)
2. Alle User die Remotezugriff haben sollen, in die Gruppe der Remotedesktopbenutzer

Somit sollte (bei Firmen die ich betreue funktioniert es) funktionieren.

Was haben Ordner- / NTFS Berechtigungen mit RDP zu tun ?

Das Du die User-Profile in einen anderen Ordner verschiebst ist OK (mache ich auch).
Als Option nutze ich aber die Einstellung " Administrator den servergespeicherten Profilen zufügen", um in berechtigten Fällen auf die Userdaten zugreifen zu können ! ( Datenschutz beachten !)

Soo - und nun kann/darf mein Kollege FBrenner auch noch seinen Kommentar dazugeben !! (natürlich gern gesehen !)

 

[Frightener]

@systemkiller
So ein Quatsch!


So sollte es normal funktionieren. Die User gehören aber eigentlich nicht direkt in die lokale Gruppe. Hier gehört eine globale Gruppe rein. Es ist allerdings zu hinterfragen, wie der genaue Aufbau aussehen soll. Soll nur ein User pro PC Remotezugriff haben (dann so wie systemkiller geschrieben hat vorgehen), sollen es mehrere sein, dann mit globalen Gruppen arbeiten.

 

[systemkiller]

FBrenner : schrieb ich doch - in die Gruppe der Remotedesktopbenutzer

 

[Frightener]

War ja auch nur ein Witz
Ich dachte Du meintest dir lokale Gruppe, was ja auch sinnvoll sein kann, wenn es sich um einen einzigen User pro PC handelt.