none
Probleme mit Remoteüberwachung unter Windows XP und 7 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo

    folgendes Problem mit Remoteüberwachung unter Windows 2008 Server 32bit im Zusammenhang mit Windows XP und 7:

    Auf dem Windows 2008 Server 32 bit ist Active Directory und die Terminalserverdienste installiert (Ja, diese Konstellation sollte nicht sein, es handelt sich aber um ein Netzwerk mit 5 Usern und der Kunde möchte es so haben). Die Benutzer sind der Gruppe Remotedesktopbenutzer zugeordnet und habe das Recht der lokalen Anmeldung am Server. Der Zugriff und das Arbeiten auf dem Terminalserver klappt auch ohne Probleme. Des Weiteren ist eine GPO erstellt in der die Remoteüberwachung aktiviert ist bei Vollzugriff des Supporters ohne Rückfragen (Kunde kennt die rechtliche Problematik, er möchte es so haben).

    Auf den Windows XP Clients ist das Service Pack 3 und Remotedesktopclient 7.0 installiert. Wenn nun versucht wird von dem Windows XP Client auf eine andere Terminalsitzung über die Terminalverwaltung des Servers zuzugreifen, dann klappt dies auch, jedoch erscheint nach dem Schließen der zu überwachenden Sitzung ein Fenster mit "Zugriff verweigert".

    Wenn nun versucht wird mit einem Windows 7 Client auf eine andere Terminalsitzung über die Terminalverwaltung des Servers zuzugreifen, dann klappt dies nicht und es erscheint sofort das Fenster "Zugriff verweigert"

    Beide Rechner (XP und 7)sind nicht Mitglieder der Domäne.

    Meine Frage ist nun warum erscheint beim XP-Rechner die Fehlermeldung "Zugriff verweigert" und warum klappt die Remoteüberwachung bei Windows 7 überhaupt nicht?

    Gruß Heiko

    Mittwoch, 14. Juli 2010 11:50
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo Andrei

    danke für die Antwort und den Link. Mehr Monitorbetrieb ist nicht vorhanden, dass kann ich ausschließen.

    Ich habe jetzt weitere Test unternommen und unter anderem die Rechte der Benutzer im ADS und im Terminalserver verändert. Irgendwann ging dann die Remoteüberwachung auch mit Windows 7. Allerdings kann ich nicht sagen warum. Ich hatte die Benutzer testweise in die Gruppe der Administratoren aufgenommen, sowie im Terminalserver Vollzugriff gewährt. Momentan sind die Benutzer wieder mit normalen Rechten ausgestattet und haben im Terminalserver die zusätzlichen Rechte zur Remoteüberwachung und Nachrichten senden. Die Remoteüberwachung geht jetzt von den Windows XP und Windows 7 Rechner aus ohne Probleme, bis auf die Fehlermeldung nachdem Ende der Remoteüberwachung. Dies scheint ein Fehler von Windows zu sein, der jetzt aber auch kein Beinbruch ist. Man kann damit vorerst leben.

    Nicht so schön ist allerdings die UAC. Wenn man die Terminaldiensteverwaltung starten will, dann erscheint als Nicht-Administrator die UAC. Als Bestätigung gebe ich den Benutzername und Passwort ein und komme somit auf die Verwaltung. Als Administrator kann ich diese per GPO einfach ausschalten, als Benutzer aber nicht. Kennt jemand vielleicht noch eine Möglichkeit, wie ich diese UAC auch für den Benutzer ausschalten kann?

     

    Gruß Heiko

     

     

    Freitag, 23. Juli 2010 08:45
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo Heiko,

    Was hast Du wo und wie in Deiner GPO konfiguriert ?
    Wird die GPO überhaupt angewendet ?

    Wie sehen die Einstellungen in der Terminalserver-Konfiguration aus hinsichtlich RDP-TCP - Protokoll ?

    Wie versuchst Du eigentlich Dich in die RDP-Session eines User zu "hacken" ?

    Gruß Ralph Andreas Altermann | Microsoft Partner Regional Technical Communities, Hamburg | Bald - 4.ter Microsoft Partner Stammtisch Hamburg | Anmeldung/Registrierung unter http://www.xing.com/net/mpshh
    Donnerstag, 15. Juli 2010 10:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Andreas

    ich habe die Konstellation nochmal auf einem anderen Server nachgestellt mit dem gleichen Effekt.

    Zu deinen Fragen:

    folgende Gruppenrichtlinien habe ich aktiviert:

    Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinie/Zuweisen von Benutzerrechten/

    - Anmelden von Terminaldienste zulassen: Gruppe Administratoren und Remotedesktopbenutzer

    - Lokal anmelden zulassen: Standardgruppen (wie unter Default Domain Controllers Policy ) und Remotedesktopbenutzer

    Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Terminaldienste/Terminalserver/Verbindungen/

    - Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen: Vollzugriff ohne Erlaubnis des Benutzers

    Diese Richtlinie habe ich mit der OU "Domain Controllers" verknüpft und auf erzwungen gesetzt.

    Nach den Gruppenrichtlinieergebnissatz wird die Richtlinie angewendet und ich kann mich von den Windows XP Rechnern auch ohne Rückfrage mit einer anderen Sitzung verbinden. Darum schließe ich daraus, dass die Richtlinien angewendet werden.

     

    In der Terminaldienstekonfiguration habe ich keine Veränderung vorgenommen, d.h. es ist alles Standard eingestellt, bis auf den Reiter Sicherheit. Dort habe ich der Gruppe Remotedesktopbenutzer das erweiterte Recht "Remoteüberwachung" gegeben. Dies geht auch, da die Remoteüberwachung von den Windows XP-Rechnern aus funktioniert. Unter dem Reiter "Allgemein" ist bei Sicherheitsstufe: verhandeln und unter Verschlüsselungsstufe Client-kompatibel ausgewählt.

     

    Um in die Verbindung eines anderen Users "reinzukommen" starte ich in einer Terminalsitzung die Terminaldiensteverwaltung. Es erscheint dann eine Abfrage der Benutzerkontensteuerung, bei der ich mich mit dem User anmelde. Wenn ich den Administrator hier angebe, dann erhalte ich später das "Zugriff verweigert" Fenster. Seltsam ist nur, das ich die Benutzerkontensteuerung in der Systemsteuerung auf dem Server ausgeschaltet habe. In der Terminaldiensteverwaltung wähle ich dann eine andere Sitzung aus. Entweder wähle ich dann aus dem Kontextmenu, über die rechte Maustaste, oder rechts den Punkt Remoteüberwachung aus.

    Wie schon geschrieben: Unter Windows XP komme ich dann ohne Rückfragen in die Sitzung mitrein. Nachdem ausklinken und die Rückkehr auf meinem Desktop sehe ich jedoch ein kleines Fenster mit "Zugriff verweigert". Aber es klappt soweit. Unter Windows 7, es handelt sich im übrigen um Ultimate, komme ich überhaupt nicht in die Sitzung rein sondern es erscheint gleich das Fenster "Zugriff verweigert". Ach ja, es ist egal ob die Client Rechner in der Domäne sind oder nicht.

    Das ist also meine Vorgehensweise. Falls noch Informationen gewünscht werden, dann bitte posten.

     


    Donnerstag, 15. Juli 2010 13:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Heiko,

    werden mehrere Monitore für die Windows 7 Client Sitzung verwendet? Falls ja, wäre das die mögliche Ursache da dieses Szenario für Remoteüberwachung nicht unterstützt wird.

    Ansonsten könntest du noch versuchen die Überwachung von einer als Administrator ausgeführten Eingabeaufforderung über shadow.exe <Session ID> zu starten.

    Gruß,
    Andrei

    Donnerstag, 22. Juli 2010 06:18
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo Andrei

    danke für die Antwort und den Link. Mehr Monitorbetrieb ist nicht vorhanden, dass kann ich ausschließen.

    Ich habe jetzt weitere Test unternommen und unter anderem die Rechte der Benutzer im ADS und im Terminalserver verändert. Irgendwann ging dann die Remoteüberwachung auch mit Windows 7. Allerdings kann ich nicht sagen warum. Ich hatte die Benutzer testweise in die Gruppe der Administratoren aufgenommen, sowie im Terminalserver Vollzugriff gewährt. Momentan sind die Benutzer wieder mit normalen Rechten ausgestattet und haben im Terminalserver die zusätzlichen Rechte zur Remoteüberwachung und Nachrichten senden. Die Remoteüberwachung geht jetzt von den Windows XP und Windows 7 Rechner aus ohne Probleme, bis auf die Fehlermeldung nachdem Ende der Remoteüberwachung. Dies scheint ein Fehler von Windows zu sein, der jetzt aber auch kein Beinbruch ist. Man kann damit vorerst leben.

    Nicht so schön ist allerdings die UAC. Wenn man die Terminaldiensteverwaltung starten will, dann erscheint als Nicht-Administrator die UAC. Als Bestätigung gebe ich den Benutzername und Passwort ein und komme somit auf die Verwaltung. Als Administrator kann ich diese per GPO einfach ausschalten, als Benutzer aber nicht. Kennt jemand vielleicht noch eine Möglichkeit, wie ich diese UAC auch für den Benutzer ausschalten kann?

     

    Gruß Heiko

     

     

    Freitag, 23. Juli 2010 08:45
    |