none
Eine Gruppenrichtlinie verhindert allgemeine Aktivierung des Remote Desktop's RRS feed

  • Frage

  • Hallo an Alle !

    Und zwar habe ich folgendes Problem:

    Beim AD habe ich für meine Rechner einzelne Gruppen einrichtet.

    Wenn ich jetzt einen Rechner installiere  kommt dieser allgemein in die Gruppe "Computers" und von dort kann ich ihn in andere Gruppen verschieben wie z.B. "aktive Rechner".

    Jetzt habe ich bemerkt, das wenn ich einen Rechner neu aufsetzte und er in der Gruppe "Computers" ist, dass der Remote Desktop deaktiviert ist.

    Nun verschiebe ich allerdings diesen Rechner in einen anderen Ordner wie "aktive Rechner" wird die Einstellung des Remote Desktop auf aktiviert gestellt.

    Jetzt stellt sich mir die Frage welche Group Policy dafür verantwortlich ist bzw. wie ich es auch in dem Ordner "Computers" es einstellen kann das der Remote Desktop aktiviert wird.

     

     

    Viele Dank für eure Hilfe

    Freitag, 19. November 2010 16:00

Antworten

  • Am 22.11.2010 schrieb Boje_2301:

    Also ganz genau möchte ich wissen wo ich die Richtlinie finde die dafür verantwortlich ist das der Remotedesktop aktiviert ist/wird.

    Computerkonfig > Windows Komponenten > Windows-Komponenten >
    Remotedesktopdienste > Remotedesktopsitzungs-Host > Verbindungen
    Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste
    zulassen > Aktivieren.

    http://www.gruppenrichtlinien.de/RiLi/Uebersicht_Richtlinien_7.htm >
    Computer oder Benutzerkonfig auswählen > Online anklicken, mit STRG +
    F nach Remotedesktop suchen.

    Seitdem wir Win7 Rechner installiert haben besteht die Möglichkeit
    für einen Remotedesktop nur wenn ich die Rechner in die
    Workstations einsortiere und ich möchte halt wissen welches Recht
    das veranlässt, wo ich es finde und wieso es so geregelt ist.

    Irgendjemand wird die GPO mit den Einstellungen gesetzt haben. Hättest
    Du mit RSOP.MSC aber im Vergleich finden können/sollen. ;)

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert Boje_2301 Montag, 22. November 2010 13:40
    Montag, 22. November 2010 11:33

Alle Antworten

  • Am 19.11.2010 schrieb Boje_2301:

    Wenn ich jetzt einen Rechner installiere  kommt dieser allgemein in die Gruppe "Computers" und von dort kann ich ihn in andere Gruppen verschieben wie z.B. "aktive Rechner".

    Jetzt habe ich bemerkt, das wenn ich einen Rechner neu aufsetzte und er in der Gruppe "Computers" ist, dass der Remote Desktop deaktiviert ist.

    Im Container Computers wirkt nur die Default Domain Policy. In der
    sollte man auch nur SMB-Signing und Passwortrichtlinien einstellen.
    Und per Standard ist Remote Desktop deaktiviert.

    Nun verschiebe ich allerdings diesen Rechner in einen anderen Ordner wie "aktive Rechner" wird die Einstellung des Remote Desktop auf aktiviert gestellt.

    Du meinst eine OU, keinen Ordner. OU = Organization Unit. In dieser OU
    wird es eine GPO geben, die Remote Desktop wieder aktiviert. Ruf
    RSOP.MSC am Client auf, im Computerteil solltest Du sehr schnell
    fündig werden.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Freitag, 19. November 2010 16:14
  • Howdie!
     
    On 19.11.2010 17:00, Boje_2301 wrote:
    > Jetzt stellt sich mir die Frage welche Group Policy dafür verantwortlich
    > ist bzw. wie ich es auch in dem Ordner "Computers" es einstellen kann
    > das der Remote Desktop aktiviert wird.
     
    Winfried hat dir schon den Tipp mit der richtigen Policy gegeben. Welche
    Remote Desktop-GPO beim Verschieben aktiv wird, kannst du per RSOP.msc
    erfahren. Das sollte ja relativ einfach (unter Windows-Komponenten?) zu
    finden sein.
     
    Als Alternative könntest du dir überlegen, deine Rechner nicht per
    Default im "Computers" Container, sondern in einer anderen OU anlegen zu
    lassen. Du kannst das mit dem Kommandozeilentool "redirusr" erreichen -
    weitere Infos dazu hier: http://support.microsoft.com/kb/324949/en-us
     
    Cheers,
    Florian
     

    Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)
    Montag, 22. November 2010 07:06
  • Hi,

    Am 22.11.2010 08:06, schrieb Florian Frommherz [MVP]:

    Du kannst das mit dem Kommandozeilentool "redirusr" erreichen -

    redircmp ;-)
    von redirusr würde ich abraten.
    Mir ist die Installation von Ex2003 um die ohren geflogen, weil die
    Setup Routine die Sicherheitsgruppen, die Exchange erstellt beim
    Setup zwingend im USERS Ordner benötigt, die Setup Routine sucht
    nur darin und leider nicht mit einer LDAP Query :-((

    Seit dem leite ich, wenn überhaupt nur noch Computer rum.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Montag, 22. November 2010 07:24
  • Hallo,
     
    On 22.11.2010 08:24, Mark Heitbrink [MVP] wrote:
    > Am 22.11.2010 08:06, schrieb Florian Frommherz [MVP]:
    >
    > Du kannst das mit dem Kommandozeilentool "redirusr" erreichen -
    >
    > redircmp ;-)
     
    Mmmmh, natürlich!
     
    > von redirusr würde ich abraten.
    > Mir ist die Installation von Ex2003 um die ohren geflogen, weil die
    > Setup Routine die Sicherheitsgruppen, die Exchange erstellt beim
    > Setup /zwingend/ im USERS Ordner benötigt, die Setup Routine sucht
    > nur darin und leider nicht mit einer LDAP Query :-((
     
    d'oh! Sowas macht einen traurig... Exchange 2003 ist aber auch sowas von
    letztes Jahrzehnt ;-) Ich frage mich, ob redircmp einen Impact auf
    neuere Exchange-Versionen hat. Danke für den Hinweis!
     

    Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)
    Montag, 22. November 2010 07:32
  • Guten Morgen,

     

    erstmal vielen lieben Dank schonmal für die Hilfe.

     

    Also ich habe jetzt den Befehl RSOP.MSC aufgerufen.

    Und habe ein wenig durchgeschaut.

    Unter Computer/Windows-Einstellungen/Sicherheitseinstellungen/Systemdienste/Terminaldienste habe ich einen Eintrag gefunden und unter Computer/Administrative Vorlagen/Windows-Komponenten/Terminaldienste .

    Unter den Administrativen Vorlagen finde ich eine Richtlinie mit der Anzahl der Verbindungen die ich beschränken kann, allerdings habe ich nicht diesen Eintrag gefunden der mich interessiert.

    Ich suche den Eintrag der dafür verantwortlich ist den Terminaldienst zu aktivieren, denn mittlerweile rüsten wir im großen Stil auf Win7 auf und nur Win7 bekommt die Richtlinie nicht.

    Zumindestens ins unter Win7/Systemeigenschaften/Remote/Remotedesktop/Verbindungen deaktiviert.

    Wobei es doch eig. nicht sein dürfte oder?

     

    Ich hoffe Ihr versteht meine Problematik ;-)

     

    Montag, 22. November 2010 07:49
  • Am 22.11.2010 schrieb Boje_2301:

    Also ich habe jetzt den Befehl RSOP.MSC aufgerufen.

    Und habe ein wenig durchgeschaut.

    Unter Computer/Windows-Einstellungen/Sicherheitseinstellungen/Systemdienste/Terminaldienste habe ich einen Eintrag gefunden und unter Computer/Administrative Vorlagen/Windows-Komponenten/Terminaldienste .

    Du kennst den Unterschied der beiden Einträge?

    Unter den Administrativen Vorlagen finde ich eine Richtlinie mit der Anzahl der Verbindungen die ich beschränken kann, allerdings habe ich nicht diesen Eintrag gefunden der mich interessiert.

    Welcher genau interessiert dich denn?

    Ich suche den Eintrag der dafür verantwortlich ist den Terminaldienst zu aktivieren, denn mittlerweile rüsten wir im großen Stil auf Win7 auf und nur Win7 bekommt die Richtlinie nicht.

    Beschreib doch nochmal ganz genau was Du erreichen möchtest. Im OP
    liest sich das anders als jetzt dieses Posting hier.

    Zumindestens ins unter Win7/Systemeigenschaften/Remote/Remotedesktop/Verbindungen deaktiviert.

    Wobei es doch eig. nicht sein dürfte oder?

    Und welcher GPO-Name steht rechts daneben?

    Nochmal, was genau möchtest Du erreichen? Und beschreib alles,
    halte nicht wichtige Infos zurück. Lieber zu viel als zu wenig
    geschrieben.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Montag, 22. November 2010 09:15
  • Also ganz genau möchte ich wissen wo ich die Richtlinie finde die dafür verantwortlich ist das der Remotedesktop aktiviert ist/wird. Seitdem wir Win7 Rechner installiert haben besteht die Möglichkeit für einen Remotedesktop nur wenn ich die Rechner in die Workstations einsortiere und ich möchte halt wissen welches Recht das veranlässt, wo ich es finde und wieso es so geregelt ist.

     

    Grüße

     

     

     

    Montag, 22. November 2010 10:16
  • Am 22.11.2010 schrieb Boje_2301:

    Also ganz genau möchte ich wissen wo ich die Richtlinie finde die dafür verantwortlich ist das der Remotedesktop aktiviert ist/wird.

    Computerkonfig > Windows Komponenten > Windows-Komponenten >
    Remotedesktopdienste > Remotedesktopsitzungs-Host > Verbindungen
    Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste
    zulassen > Aktivieren.

    http://www.gruppenrichtlinien.de/RiLi/Uebersicht_Richtlinien_7.htm >
    Computer oder Benutzerkonfig auswählen > Online anklicken, mit STRG +
    F nach Remotedesktop suchen.

    Seitdem wir Win7 Rechner installiert haben besteht die Möglichkeit
    für einen Remotedesktop nur wenn ich die Rechner in die
    Workstations einsortiere und ich möchte halt wissen welches Recht
    das veranlässt, wo ich es finde und wieso es so geregelt ist.

    Irgendjemand wird die GPO mit den Einstellungen gesetzt haben. Hättest
    Du mit RSOP.MSC aber im Vergleich finden können/sollen. ;)

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert Boje_2301 Montag, 22. November 2010 13:40
    Montag, 22. November 2010 11:33
  • Am 22.11.2010 schrieb Florian Frommherz [MVP]:
    Hi,

    d'oh! Sowas macht einen traurig... Exchange 2003 ist aber auch sowas von letztes Jahrzehnt ;-) Ich frage mich, ob redircmp einen Impact auf neuere Exchange-Versionen hat. Danke für den Hinweis!

    Hmm gute Frage:
    http://technet.microsoft.com/en-us/library/bb310792(EXCHG.80).aspx

    Q: Can I move the default Exchange security groups to another container or
    domain in the forest? A: Exchange 2007 uses a new set of security groups to
    manage the permission model and to maintain coexistence. These groups are as
    follows:
     Exchange Servers

     Exchange View-Only Administrators

     Exchange Public Folder Administrators (New in Exchange 2007 Service Pack 1)

     Exchange Recipient Administrators

     Exchange Organization Administrators

     ExchangeLegacyInterop

    By default, these security groups are located in the root domain in the
    Microsoft Exchange Security Groups organizational unit. They can be moved to
    different organizational units and also to other domains in the forest.
    Moving the groups in the forest is supported because these groups have two
    unique properties: a well-known GUID and a distinguished name that can
    change. By using these two properties and adding them to the forest’s
    otherWellKnownObjects attribute during the Setup /PrepareAD task, Exchange
    can find the security group anywhere in the forest. The directory service
    will handle updating the distinguished name (DN) of the object when it is
    moved. In this manner, Exchange does not require a fixed location in the
    directory.

    Bye
    Norbert

    PS: Ich geh mal davon aus, dass das dann bei Exchange 2010 ähnlich ist.


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Montag, 22. November 2010 19:21
    Moderator