none
RDP Zugriff auf MMC ungelöst RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hi,

    ich würde an Anfang gar nicht auf das eigentliche Problem eingehen, denn evtl. ist auch mein Ansatz zur Lösung falsch. Vielleicht ist mein Herangehen nicht richtig. Daher kurz beschrieben, was zu lösen ist.

    Ein Kunde hat einen WTS (2008 R2) auf dem läuft eine ERP Lösung. Alle Nutzer von den PCs (W8.1) aus melden sich am WTS an. Diese Nutzer haben natürlich nur Benutzerrechte auf dem WTS, sind keine Admins.

    Nun kommt es hin und wieder vor, dass eine WTS Session fest hängt. Hier hat sich der Admin (auch auf dem WTS arbeitend) mit dem Remotedesktopmanager (%windir%\system32\tsadmin.msc) verbunden und die Session abgemeldet/beendet, je nach dem.

    Nun kommt es vor, dass der Admin auch mal nicht da ist (z.B. Urlaub o.ä.). Einen direkten Vertretung gibt es nicht bzw. keinen, der die Adminzugangsdaten wissen darf (auch nicht als Subadmin). Trotzdem wird jemand im Unternehmen benötigt, der halt einfach mal so eine WTS Session beenden kann. Das könnte auch ein normaler Nutzer sein, der spezifisch für die Aufgabe zu- und eingewiesen ist.

    Nun war meine Überlegung einfach ein RDP Objekt erstellen, welches spezifisch nur "%windir%\system32\tsadmin.msc" startet und bei dem die Zugangsdaten das Administrators hinterlegt und gespeichert sind. Dieses RDP Objekt könnte dann direkt auf dem PC der zugewiesenen Nutzers liegen. Der Nutzer könnte nur dieses "%windir%\system32\tsadmin.msc" starten als Administrator, sieht und braucht keine Admin Anmeldedaten - alles gut.

    Leider funktioniert dies nicht. Sie Bild (1)

    Was läuft hier falsch?

    Gibt es evtl. sogar noch einen anderen Ansatz um einen "normalen" Nutzer die Berechtigung für den Remotedesktopmanager auf dem WTS zu geben?

    Wichtig wäre, der Ansatz sollte einfach gehalten sein ;-)

    Danke für Eure Tipps/Hilfe.

    Danke und liebe Grüße Oliver Richter

    Freitag, 19. Juni 2015 08:14
    |

Alle Antworten

  • Discussion
    Anmelden
    1
    Anmelden

    Hallo,

    wenn es nicht explizit gewünscht ist, das es einen User mit Administrativen Rechten gibt, kannst du nicht viel tun. Du könntest in den Sicherheitsrichtlinien der RDS dem User/ der Gruppe versch. Rechte einräumen. Nur die msc zu starten reicht nicht, da ja ein normaler Nutzer den RDS nicht verwalten kann, und das trennen/ beenden einer Verbindung ist ein Verwaltungsvorgang.

    Was ich dir empfehlen kann und auch schon mehrfach bewährt, ist unter: Computerkonfigruation\Administrative Vorlagen\Windows Komponenten\Remotedesktopdienste\Remotedesktopsitzungs-Host\Sitzungslimits\

    das Zeitlimit für getrennte Sitzungen festlegen.

    Damit sinkt auch der Arbeitsaufwand wenn der Admin da ist, die User bekommen einfach den Hinweis, wenn ein Programm hängt oder sonstiges mit der Session komisch ist, einfach den Rechner neu zu starten und sich erneut anzumelden. (Dafür muss das Zeitlimit auf 1-2 Minuten gestellt werden, länger dauert das Booten ja nicht mehr) - danach wird die Sitzung vom Server gekickt und wenn der User seinen Rechner neugebootet hat und sich erneut anmeldet bekommt er eine neue Sitzung. Das ganze klappt übrigens auch wenn die Anwendung eine Abmeldung verhindert etc.. 

    freundliche Grüße Thomas

    Freitag, 19. Juni 2015 08:28
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Danke @Thomas

    Das mit dem Zeitlimit für getrennte Sitzungen ist schon eingestellt. Das Limit ist auf 8...10 Stunden eingestellt. Das hat einen praktischen Hintergrund.

    Es gibt einige Nutzer, die mobil arbeiten (Außendienstler) und halt den Tag über sich mal einwählen, dann trennen und wieder einwählen. Diese verlieren bei Einstellungen von 1-2 min. immer Ihre Sitzungen und müssen (mühevoll) wieder Ihre ERP etc. öffnen. Aber auch anderen Stationen (Filialen per VPN) kommt es in u.U. bei Internetverbindungsproblemen zum Trennen, und wann dann ein Nutzer gerade ein großer Projekt im ERP bearbeitet hat und der Server dann die Sitzung "killt" (meist dann, wenn man 2-3 Stunden lang nicht gespeichert hatte) ist das schon kritisch - sprich nicht gewollt. Zwar könnte man die VPN Nutzer und Mobilen mit anderen Zeitlimits bestücken als die LAN Nutzer, doch das bringt keine Lösung. Denn hängende Sitzungen gibt es im LAN, VPN oder mobil gleichartig. Somit sahen/sehen wir keine andere Wahl als eben einen manuellen Eingreifer bei Auftreten von Hängern einzubeziehen.

    Die Frage wäre trotzdem bestehend, warum der Zugriff per RDP direkt auf die WTS MMC selbst bei Admin Anmeldung nicht funktioniert. Fehlt der MMC irgendeine "Umgebung", die zuvor gestartet werden müsste? Wenn dem so wäre und ich wüsste was fehlt, könnte man auf dem WTS einen Script erstellen und dann diesen per RDP starten lassen.

    Wüsstest Du da was "fehlt"?

    Danke und liebe Grüße Oliver Richter

    Freitag, 19. Juni 2015 08:51
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Moin,

    Du könntest Mal versuchen das Snapin als Parameter beim Start der mmc.exe zu verwenden.

    Also: '%windir%\system32\mmc.exe %windir%\system32\tsadmin.msc'

    This posting is provided AS IS with no warranties.

    Freitag, 19. Juni 2015 09:06
    |
  • Discussion
    Anmelden
    1
    Anmelden

    So mit getrennten Sitzungen umzugehen halte ich für zweifelhaft, aber jeder wie er will :)

    B2T: Wenn du auf den RDS die Eigenschaften vom RDP-Tcp Protokoll öffnest, und dort im Reiter Sicherheit einen Benutzer oder Gruppe hinzufügst und dieser Vollzugriff bzw. Spezielle Berechtigungen zuweist, kann dann der Benutzer/ die Gruppe Sitzungen verwalten, mit einem einfachen Start von tsadmin.msc. . Nicht vergessen, der Nutzer der es machen soll muss nach der Änderung der Berechtigung vom Server ab und wieder angemeldet werden. Habs grade getestet, klappt.

    freundliche Grüße Thomas

    Freitag, 19. Juni 2015 09:30
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Danke @Dark

    das führt zu den gleichen Fehlermeldung - keine Lösung.

    "Zugriff verweigert"

    wie gesagt trotz verwendetet Administrator Anmeldung.

    Danke und liebe Grüße Oliver Richter



    • Bearbeitet Oliver Richter Freitag, 19. Juni 2015 11:12 Bild ging nicht
    Freitag, 19. Juni 2015 11:10
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Danke @Thomas

    hört sich gut an, könnte die optimale Lösung sein. Teste ich nachher...

    Danke und liebe Grüße Oliver Richter

    Freitag, 19. Juni 2015 11:12
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Hi Thomas,

    so er wurde ausprobiert.


      Trotzdem kann der Nutzer (auch nach vollständiger Abmeldung) nicht Trennen. Würde jetzt nochmals den WTS (es ist ja ein Windows 2008 R2) neu starten evtl. greift die Protokoll Änderung erst dann. Ich dachte früher war das noch so - oder?

    Danke und liebe Grüße Oliver Richter


    Freitag, 19. Juni 2015 15:22
    |