none
RDP Zugriff auf RODC RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe in einer kleinen Lokation einen RODC laufen. Damit ein User, der über die sog. administrativen Berechtigungen dieses RODCs verfügt (ist kein Domain Admin) ist nur in der Gruppe drinnen die eben diese administrativen Berechtigungen für diesen RODC haben, eine RDP-Verbindung aufbauen kann habe ich eine Richtlinie gebaut.

    Dort habe ich unter Computer Configuration/Windows Settings/Security Settings/Local Policies/User Rights Assignment die Policy "Allow log on through Terminal Services aktiviert und gewünschte Gruppe (in der auch der User mitglied ist) eingetragen.

    Diese Richtlinie wirkt auch nur auf diesen Einen RODC (durch Security Filtering -> dort ist nur der gewünschte RODC)

    Wenn ich mir nun die GPO Results ansehe, wird zwar angezeigt, dass er die Richtline zugewiesen bekommen hat und diese auch durchführt, allerdings steht dann in den genaueren Results, dass die Winning GPO für meinen eingestellten Wert die "default domain controller policy" ist.

    Wenn ich mir nun die lokale Security Policy auf dem Server direkt ansehe, sehe ich auch nur die Gruppen/User die von der Default Domain Controller Policy eingetragen wurden.

    Der Anwender kann sich auch nicht via RDP am Server anmelden. Lokale Anmeldung klappt allerdings.

    Habe ich hier einen Denkfehler?

    Gruß

    Julian.

    Freitag, 16. November 2012 11:20
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
     
    > Habe ich hier einen Denkfehler?
     
    Ja ;-)
     
    Verknüpfungsreihenfolge - neue GPOs landen immer "ganz unten", schieb
    sie nach oben, dann wird's besser...
     
    mfg Martin
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Als Antwort markiert Julian79 Samstag, 17. November 2012 14:20
    Freitag, 16. November 2012 12:02
    |
  • Question
    Anmelden
    0
    Anmelden
     
    > Okay, dachte ich mir schon fast. Aber werden dann die Einträge ersetzt
    > oder hinzugefügt? Ich will ja nur zusätzlich auf diesem einen Server
    > noch die Gruppe dabei haben!
    >
     
    User Rights ist exclusiv - das wird also ersetzt. Du mußt alle
    reinnehmen, die Du haben willst.
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Als Antwort markiert Julian79 Samstag, 17. November 2012 14:20
    Freitag, 16. November 2012 13:13
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
     
    > Habe ich hier einen Denkfehler?
     
    Ja ;-)
     
    Verknüpfungsreihenfolge - neue GPOs landen immer "ganz unten", schieb
    sie nach oben, dann wird's besser...
     
    mfg Martin
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Als Antwort markiert Julian79 Samstag, 17. November 2012 14:20
    Freitag, 16. November 2012 12:02
    |
  • Question
    Anmelden
    0
    Anmelden

    Okay, dachte ich mir schon fast. Aber werden dann die Einträge ersetzt oder hinzugefügt? Ich will ja nur zusätzlich auf diesem einen Server noch die Gruppe dabei haben!

    Gruß

    Julian.

    Freitag, 16. November 2012 12:17
    |
  • Question
    Anmelden
    0
    Anmelden
     
    > Okay, dachte ich mir schon fast. Aber werden dann die Einträge ersetzt
    > oder hinzugefügt? Ich will ja nur zusätzlich auf diesem einen Server
    > noch die Gruppe dabei haben!
    >
     
    User Rights ist exclusiv - das wird also ersetzt. Du mußt alle
    reinnehmen, die Du haben willst.
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Als Antwort markiert Julian79 Samstag, 17. November 2012 14:20
    Freitag, 16. November 2012 13:13
    |
  • Question
    Anmelden
    0
    Anmelden
    Alles klar, danke!
    Samstag, 17. November 2012 14:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi

    Am 16.11.2012 13:17, schrieb Julian79:

    Aber werden dann die Einträge ersetzt oder hinzugefügt?

    Sie werden zusammengeführt nach dem Prinzip Last Writer Wins.
    Kollidierende Einstellugen werden von der letzten überschrieben
    nicht vorhandenen werden gesetzt.
    Das die letzte schreibende Einstellung "gewinnt" ist sie in der GPMC "oben" dargestellt. Die Ansicht in der GPMC ist wie im Sport: Der Sieger steht auf Platz 1. Nicht auf 10 ... :-)

    Reihenfolgentechnisch ist sie aber die letzte die läuft. Ein wenig verwirrend, aber merk dir einfach das Beispiel mit dem Sport, dann funktionierts sehr gut.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Samstag, 17. November 2012 17:33
    |