none
HILFE - Alle Standardbenutzer in der lokalen Admin Gruppe gelandet (SBS2011 Essentials) RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    aus irgend einem Grund - ich weiß nicht wie - sind sämtliche meiner Standard Benutzer auf Ihren PCs in der lokalen Admin Gruppe. Ist das normal? Wenn ich einen User lokal zum normalen User herabstufe, kann er keine RDP Verbindung mehr zu seinem eigenen Rechner aufbauen (User ist in der Domänen-Benutzer Gruppe und diese ist in der Remotedesktopbenutzer Gruppe). 

    Ich verstehe gerade die Welt nicht mehr. Kann es sein, daß eine Einstellung im Dashboard hinsichtlich Remote Zugriff das verursacht hat?

    Wenn dieser Zustand nicht dem Normalzustand entspricht (was ich vermute), wie kann ich die User wieder herunterstufen und gleichzeitig den RDP Zugriff auf ihren eigenen PC gestatten?

    Achja: SBS 2011 Essentials mit installiertem Windows 7 Professional Pack Add-In.

    Danke!

    Donnerstag, 4. Oktober 2012 17:45
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi Axel,

    Danke. Was ich mitlerweile gemacht habe: Ich habe die User aus der lokalen Admin Gruppe entfernt. Scheint alles nachwievor zu funktionieren. Mehrfaches Herausnehmen und Neusetzen des von Dir erwähnten Häkchens in der Benutzereinstellung ändert das auch nicht, sprich der User bleibt aus der lokalen Admin Gruppe draussen. 

    Sicher, daß das durch das einschalten der Remote-Zugriffsrechte passiert? Dann müsste der User ja jedesmal erneut in die lokale Admingruppe gepackt werden, wenn ich das aus- und wieder einschalte. Passiert aber nicht. Der User bleibt definitiv draußen (auch nach gpupdate und Reboot). Könnte es sein, daß das hinzufügen in die lokale Admin Gruppe bereits beim Ausführen des SBS Connect Wizards passiert?

    Gruß

    Sascha

    Hab das noch mal genauer geprüft. Die Einstellungen werden durch die Gruppenrichtlinie "Windows SBS CSE Policy" gesetzt. Das ist allerdings etwas komplizierter. Das wird über Skript- und Binärdateien bewerkstelligt. Und zwar "ClientAgent.vbs" und "sbslogon.exe". Die Einstellungen werden erst wirksam, wenn die Gruppenrichtlinie neu angewendet wird und wenn der Benutzer sich anmeldet (sbslogon ;-) )

    Meine Aussage bezüglich "Lokale Administratoren" ist so nicht richtig, sorry. Wenn Du in den Benutzereinstellungen unter Computer die Zugriffsebene auf "Lokaler Administrator" umstellst, dann hat der natürlich gleichzeitig Remotezugriffsrechte.  Allerdings gibt es für den Standardbenutzer ja auch noch den Haken "Remotezugriff auf den Computer ist zulässig".

    Also hast Du über die SBS-Console sehr wohl die Möglichkeit, Remotezugriff zu ermöglichen ohne den Benutzer lokale Adminrechte zu geben.

    Niveau sieht nur von unten aus wie Arroganz

    Montag, 8. Oktober 2012 21:50
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    aus irgend einem Grund - ich weiß nicht wie - sind sämtliche meiner Standard Benutzer auf Ihren PCs in der lokalen Admin Gruppe. Ist das normal?

    Ja. Wie Du selber bereits vermutet hast, wird der Benutzer, der in der SBS-Console Remote-Zugriffsrechte bekommt, in die Gruppe der lokalen Administratoren gepackt. Falls Du das nicht wünschst, entferne den Haken in den Eigenschaften des Benutzers und trage den Benutzer am Client händisch bei Remoteeinstellungen / Remotedesktop nach. Besser wäre aber, eine eigene Gruppenrichtlinie dafür zu erstellen (passe möglichst keine SBS-Standard-Richtlinien an). Schau Dir dazu doch einfach die bestehenden Richtlinien an, falls Du nicht weißt, wo und wie das funktioniert.

    Gruß

    -Axel-

    Niveau sieht nur von unten aus wie Arroganz





    Montag, 8. Oktober 2012 09:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Axel,

    Danke. Was ich mitlerweile gemacht habe: Ich habe die User aus der lokalen Admin Gruppe entfernt. Scheint alles nachwievor zu funktionieren. Mehrfaches Herausnehmen und Neusetzen des von Dir erwähnten Häkchens in der Benutzereinstellung ändert das auch nicht, sprich der User bleibt aus der lokalen Admin Gruppe draussen. 

    Sicher, daß das durch das einschalten der Remote-Zugriffsrechte passiert? Dann müsste der User ja jedesmal erneut in die lokale Admingruppe gepackt werden, wenn ich das aus- und wieder einschalte. Passiert aber nicht. Der User bleibt definitiv draußen (auch nach gpupdate und Reboot). Könnte es sein, daß das hinzufügen in die lokale Admin Gruppe bereits beim Ausführen des SBS Connect Wizards passiert?

    Gruß

    Sascha

    Montag, 8. Oktober 2012 09:35
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi Axel,

    Danke. Was ich mitlerweile gemacht habe: Ich habe die User aus der lokalen Admin Gruppe entfernt. Scheint alles nachwievor zu funktionieren. Mehrfaches Herausnehmen und Neusetzen des von Dir erwähnten Häkchens in der Benutzereinstellung ändert das auch nicht, sprich der User bleibt aus der lokalen Admin Gruppe draussen. 

    Sicher, daß das durch das einschalten der Remote-Zugriffsrechte passiert? Dann müsste der User ja jedesmal erneut in die lokale Admingruppe gepackt werden, wenn ich das aus- und wieder einschalte. Passiert aber nicht. Der User bleibt definitiv draußen (auch nach gpupdate und Reboot). Könnte es sein, daß das hinzufügen in die lokale Admin Gruppe bereits beim Ausführen des SBS Connect Wizards passiert?

    Gruß

    Sascha

    Hab das noch mal genauer geprüft. Die Einstellungen werden durch die Gruppenrichtlinie "Windows SBS CSE Policy" gesetzt. Das ist allerdings etwas komplizierter. Das wird über Skript- und Binärdateien bewerkstelligt. Und zwar "ClientAgent.vbs" und "sbslogon.exe". Die Einstellungen werden erst wirksam, wenn die Gruppenrichtlinie neu angewendet wird und wenn der Benutzer sich anmeldet (sbslogon ;-) )

    Meine Aussage bezüglich "Lokale Administratoren" ist so nicht richtig, sorry. Wenn Du in den Benutzereinstellungen unter Computer die Zugriffsebene auf "Lokaler Administrator" umstellst, dann hat der natürlich gleichzeitig Remotezugriffsrechte.  Allerdings gibt es für den Standardbenutzer ja auch noch den Haken "Remotezugriff auf den Computer ist zulässig".

    Also hast Du über die SBS-Console sehr wohl die Möglichkeit, Remotezugriff zu ermöglichen ohne den Benutzer lokale Adminrechte zu geben.

    Niveau sieht nur von unten aus wie Arroganz

    Montag, 8. Oktober 2012 21:50
    |
  • Question
    Anmelden
    0
    Anmelden

    Also hast Du über die SBS-Console sehr wohl die Möglichkeit, Remotezugriff zu ermöglichen ohne den Benutzer lokale Adminrechte zu geben.

    Dann stellt sich mir nachwievor die Frage: Wie kamen die User in die lokale Admin Gruppe, wenn es nicht über die Remote Einstellungen passiert ist?

    Frage am Rande: Wo finde ich die "Windows SBS CSE Policy" Gruppenrichtlinie? Die ist in meinem GPE nicht enthalten.

    Danke!

    Dienstag, 9. Oktober 2012 17:57
    |
  • Question
    Anmelden
    0
    Anmelden
    Dann stellt sich mir nachwievor die Frage: Wie kamen die User in die lokale Admin Gruppe, wenn es nicht über die Remote Einstellungen passiert ist?

    Das kann ich Dir leider auch nicht beantworten

    Frage am Rande: Wo finde ich die "Windows SBS CSE Policy" Gruppenrichtlinie? Die ist in meinem GPE nicht enthalten

    Meine Erklärung oben bezieht sich auf den Standard. Ich bin davon ausgegangen, dass der Essentials genau so oder ähnlich tickt. Leider habe ich selbst keinen Essentials im Einsatz und ich finde im Internet bis jetzt leider auch keine Infos darüber. Welche GPOs existieren denn bei Dir?

    Evtl. wird alles über die Default DomainPolicy eingestellt

    Niveau sieht nur von unten aus wie Arroganz







    • Bearbeitet MSDNDiddi Donnerstag, 11. Oktober 2012 13:01
    Donnerstag, 11. Oktober 2012 12:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Aha, das erklärt natürlich einiges :)  Der SBS Standard und Essentials haben außer dem Namen nicht viel gemeinsam. Unterscheiden sich grundlegend. Sind quasi völlig unterschiedliche Produkte. 

    Auf dem Essentials gibt es genau eine Richtline, die Default Domain Policy :)

    Im englischsprachigen Forum meinte jemand zu dem Thema, daß es normal sei, dass der Essentials die User zu lokalen Admins macht. Wenn das wirklich so ist, dann gute Nacht. Krass.

    Donnerstag, 11. Oktober 2012 13:14
    |