Discussion:
Frage zu mstsc /console - Berechtigung
(zu alt für eine Antwort)
unknown
2006-11-03 23:40:19 UTC
Permalink
Hallo NG

ich habe jetzt wirklich viel zum /console - Parameter von mstsc gesucht aber
nicht dieAntwort gefunden die ich benötige.

Ich lese überall, dass der /console-Parameter nur als Administrator
funktioniert. Ich benötige jedoch den /console-Zugriff auf Serversysteme für
Benutzer, die nicht gleich Admin sein sollen.

Ich möchte sogenannte Applikationsadmins einrichten die halt nur bestimmte
Dinge können
- dedizierte Dienste starten
- rpd-Zugriff auf den Server (ganz wichtig mit /console-Parameter)
- und noch ein zwei drei dinge mehr die ich prima via GPO steuern kann


hat jemand ne Idee, wie ich /console ohne adminnistrator hinbekomme ? wo ich
da drehen kann ? ich meine zu denken, dass das auch nur irgendwo für den
Admin als Recht hinterlegt ist wo ich meine Applikationsadmins hinzufügen
könnte.

Danke für Ideen


Jan
Robert Pieroth [MVP]
2006-11-04 11:12:31 UTC
Permalink
"Jan Schneider" <jan-ät-janschneider.com> schrieb
Post by unknown
Hallo NG
ich habe jetzt wirklich viel zum /console - Parameter von mstsc gesucht aber
nicht dieAntwort gefunden die ich benötige.
Ich lese überall, dass der /console-Parameter nur als Administrator
funktioniert. Ich benötige jedoch den /console-Zugriff auf Serversysteme für
Benutzer, die nicht gleich Admin sein sollen.
Ich möchte sogenannte Applikationsadmins einrichten die halt nur bestimmte
Dinge können
- dedizierte Dienste starten
- rpd-Zugriff auf den Server (ganz wichtig mit /console-Parameter)
- und noch ein zwei drei dinge mehr die ich prima via GPO steuern kann
hat jemand ne Idee, wie ich /console ohne adminnistrator hinbekomme ? wo ich
da drehen kann ? ich meine zu denken, dass das auch nur irgendwo für den
Admin als Recht hinterlegt ist wo ich meine Applikationsadmins hinzufügen
könnte.
Hi Jan,

zur Verwendung der Console benötigt ein User das Recht der lokalen
Anmeldung am Server. Dies wird über die Sicherheitsrichtlinien des
lokalen Computers erteilt oder auch per Gruppenrichtlinie in den
Computereinstellungen - Windows-Einstellungen - Sicherheitseinstellungen -
Lokale Richtlinien - Zuweisen von Benutzerrechten. Dort dann "Lokal Anmelden".

Die dort eingetragenen Benutzer können sich direkt lokal am Server anmelden!
Msdtc /console entspricht einer direkten lokalen Anmeldung.

Viele Grüße
Robert Pieroth
--
http://www.faq-o-matic.net
http://www.edv-buchversand.de/mspress/product.asp?&cnt=product&id=ms-5604
https://mvp.support.microsoft.com/profile=014FC01B-D493-4B7E-8FD1-A0A5B32BFF0A
Norbert Fehlauer [MVP]
2006-11-07 11:07:49 UTC
Permalink
Robert Pieroth [MVP] wrote:
Hi,
Post by Robert Pieroth [MVP]
Die dort eingetragenen Benutzer können sich direkt lokal am Server
Was spätestens beim DC eher unerwünscht sein sollte. ;)
Post by Robert Pieroth [MVP]
anmelden! Msdtc /console entspricht einer direkten lokalen Anmeldung.
mstsc /console entspricht /fast/ einer direkten lokalen Anmeldung. Zumindest
Cisco hat es geschafft die Softwareinstallation für sein UMS System so zu
schreiben, dass ich wirklich zum Server wackeln muß, oder doch wieder
dameware und Konsorten verwenden muß.

Bye
Norbert
unknown
2006-11-08 10:09:16 UTC
Permalink
Post by Norbert Fehlauer [MVP]
Was spätestens beim DC eher unerwünscht sein sollte. ;)
bei mir geht es ausschliesslich um memberserver

ich habe für bestimmte servergruppen dedizierte OU's angelegt und möchte
dass diese servergruppen dann per GPO durch wiederum bestimmte serveradmins
(Applikationsadmins) ferngewartet werden könnnen .. LotusNotes hat da z.B.
eine Applikationskonsole die ich nur über /console bekomme


jetzt habe ich zwar noch ein problem mit der policy aber die stell ich mal
in der entsprechenden NG..

danke an dieser stelle schonmal :-)
Norbert Fehlauer [MVP]
2006-11-08 10:25:28 UTC
Permalink
news.microsoft.com wrote:
Hi,
Post by unknown
jetzt habe ich zwar noch ein problem mit der policy aber die stell
ich mal in der entsprechenden NG..
Und wenn du noch nen Namen drunterschreiben würdest, könnte man dich sogar
erkennen.

Bye
Norbert
unknown
2006-11-08 11:48:20 UTC
Permalink
korrekt ^^^

immer dieses roamen

btw funktioniert das "lokale anmelden" für das mstsc /console nicht

ich erhalte hartnäckig die meldung

Sie müssen über Administratorrechte auf diesem Computer verfügen, um sich an
der Remoteconsolensitzung anmelden zu können.


:-(
Post by Norbert Fehlauer [MVP]
Hi,
Post by unknown
jetzt habe ich zwar noch ein problem mit der policy aber die stell
ich mal in der entsprechenden NG..
Und wenn du noch nen Namen drunterschreiben würdest, könnte man dich sogar
erkennen.
Bye
Norbert
Norbert Fehlauer [MVP]
2006-11-08 12:46:15 UTC
Permalink
Jan Schneider wrote:
Hi,
Post by unknown
Sie müssen über Administratorrechte auf diesem Computer verfügen, um
sich an der Remoteconsolensitzung anmelden zu können.
Ist das ein Memberserver? Was genau hast du denn derzeit definiert?

Bye
Norbert
unknown
2006-11-08 13:51:08 UTC
Permalink
ja, ganz normale memberserver

definiert ist per gpo, dass eine bestimmte gruppe den lokalen
Remotedesktopusern hinzugefügt wird (über restricted Groups), so dass das
die rdp-anmeldung zumindest erstmal funktioniert



habe der gruppe (händisch) auch vollzugriff auf rdp gegeben (in der
terminalkonfiguration)
Post by Norbert Fehlauer [MVP]
Hi,
Post by unknown
Sie müssen über Administratorrechte auf diesem Computer verfügen, um
sich an der Remoteconsolensitzung anmelden zu können.
Ist das ein Memberserver? Was genau hast du denn derzeit definiert?
Bye
Norbert
Norbert Fehlauer [MVP]
2006-11-08 14:14:11 UTC
Permalink
Post by unknown
ja, ganz normale memberserver
OK.
Post by unknown
definiert ist per gpo, dass eine bestimmte gruppe den lokalen
Remotedesktopusern hinzugefügt wird (über restricted Groups), so dass
das die rdp-anmeldung zumindest erstmal funktioniert
Auch schonmal ok.
Post by unknown
habe der gruppe (händisch) auch vollzugriff auf rdp gegeben (in der
terminalkonfiguration)
Du mußt ihnen in der lokalen Sicherheitsrichtlinie (geht ja auch per GPO)
noch das Recht zur lokalen Anmeldung geben. Danach funktioniert dann auch
/console.

Bye
Norbert
unknown
2006-11-08 14:39:55 UTC
Permalink
Hallo Norbert

schonmal danke für deine Zeit und Mühe
Post by Norbert Fehlauer [MVP]
Du mußt ihnen in der lokalen Sicherheitsrichtlinie (geht ja auch per GPO)
noch das Recht zur lokalen Anmeldung geben. Danach funktioniert dann auch
/console.
hast du das getestet bzw. bist dir 100% sicher ? weil bei mir geht das
trotzdem nicht. Ich hab sowohl die AD-Gruppe als auch den Testuser direkt
hier aufgenommen und es funktioniert nicht

Gruß, Jan
Robert Pieroth [MVP]
2006-11-11 12:37:15 UTC
Permalink
"Jan Schneider" <Jan-ät-janschneider.com> schrieb
Post by unknown
Hallo Norbert
schonmal danke für deine Zeit und Mühe
Post by Norbert Fehlauer [MVP]
Du mußt ihnen in der lokalen Sicherheitsrichtlinie (geht ja auch per GPO)
noch das Recht zur lokalen Anmeldung geben. Danach funktioniert dann auch
/console.
hast du das getestet bzw. bist dir 100% sicher ? weil bei mir geht das
trotzdem nicht. Ich hab sowohl die AD-Gruppe als auch den Testuser direkt
hier aufgenommen und es funktioniert nicht
Hi Jan,

in den Eintrag aufgenommen ist ja fein. Da es sich um eine Policy handelt,
wirkt das aber nicht sofort. Hast Du danach "gpupdate" ausgeführt?

Viele Grüße
Robert Pieroth
--
http://www.faq-o-matic.net
http://www.edv-buchversand.de/mspress/product.asp?&cnt=product&id=ms-5604
https://mvp.support.microsoft.com/profile=014FC01B-D493-4B7E-8FD1-A0A5B32BFF0A
unknown
2006-11-11 21:29:38 UTC
Permalink
Post by Robert Pieroth [MVP]
in den Eintrag aufgenommen ist ja fein. Da es sich um eine Policy handelt,
wirkt das aber nicht sofort. Hast Du danach "gpupdate" ausgeführt?
:-) ja klar

ich habe schon "gpupdate /force" scripte auf die Testmaschienen verteilt ein
Tool in die ADUC-msc eingebunden welches das gpupdate ferngesteuert
durchführt. (Bin grad zu Haus - name des Tools grad nicht bei der Hand)

Laut Eventlog werden diese ausgeführt und auch keinerlei Fehlermeldungen
erzeugt


nochmal meine Frage an dich Robert:
Weisst du es ganz sicher, dass dieses "lokal anmelden" auf den /console -
Parameter ziehen muss oder schätzt du es weil es sich plausibel anhört
(plausibel fänd ich es ja btw auch :-) )? Wenn du dir da ganz sicher bist
und das funktionieren MUSS, dann forsche ich da nochmal tiefer warum es
ausgerechnet bei mir nicht zieht
unknown
2006-11-11 21:31:37 UTC
Permalink
Nachtrag:

ich bin zwar kein Freund von X-Postern, aber nächste woche frag ich noch mal
in der TS-NG und GPO-NG mit X-Link auf diesen Beitrag nach. Oder wie handelt
man das hier am besten ?

Gruß, Jan Schneider
Denis Jedig
2006-11-08 16:16:30 UTC
Permalink
Post by unknown
Sie müssen über Administratorrechte auf diesem Computer verfügen, um sich an
der Remoteconsolensitzung anmelden zu können.
Das ist wohl so. Die Remoteadministration über Remote Desktop ist den
(lokalen) Administratoren vorbehalten. Und auch da maximal drei Sessions.
--
Denis Jedig
syneticon networks GbR http://syneticon.net/service/
unknown
2006-11-09 06:07:23 UTC
Permalink
Post by Denis Jedig
Das ist wohl so. Die Remoteadministration über Remote Desktop ist den
(lokalen) Administratoren vorbehalten.
danke, aber damit gebe ich mich nicht zufrieden :-)
denn darum geht es mir ja. WO ist das definiert ?
Jedes Konto, jede Gruppe erhält ja irgendwo und durch irgendwas diese
Berechtigung

auch die Administratoren

Gruß, Jan
Denis Jedig
2006-11-09 14:09:01 UTC
Permalink
Post by unknown
Post by Denis Jedig
Das ist wohl so. Die Remoteadministration über Remote Desktop ist den
(lokalen) Administratoren vorbehalten.
denn darum geht es mir ja. WO ist das definiert ?
Ich würde schwer schätzen, im Code. Ist mehr als Einschränkung gegen
Missbrauch als TS zu sehen, denn als Berechtigungsfrage.
--
Denis Jedig
syneticon networks GbR http://syneticon.net/service/
unknown
2006-11-11 21:21:30 UTC
Permalink
Post by Denis Jedig
Ich würde schwer schätzen, im Code. Ist mehr als Einschränkung gegen
Missbrauch als TS zu sehen, denn als Berechtigungsfrage.
also das glaube ich nicht

a) Der Missbrauch als TS wird Lizenztechnisch abgefangen durch die
Limitierung der Sessions
b) ein "User" braucht ja nicht zwingend die Console wenn es um einen
Missbrauch als TS gehen würde - denn die Konsole ist ja schon eher ein
administratives Thema.
c) wenn überhaupt sähe ich es als Schutz vor Unbefugtem Zugriff auf die
Konsole - was am meisten Sinn machen würde

c) das mit dem code glaube ich auch nicht - die Anteilnahme in allen Ehren
aber ich suche hier nicht nach Schätzungen :-) sondern eher nach Erfahrungen
und Kenntnissen oder aber nach Begründungen die gesattelt sind.

und nochmal ...

ein User .. nennen wir Ihn mal Administrator (oder auch eine Gruppe , nennen
wir sie Administratoren) ... ist nichts anderes als ein Name für einen
Benutzer, der auf bestimmte Registryteile und Filebereiche die
entsprechenden Berechtigungen per default bekommt. Und diese Berechtigungen
kann ich im Prinzip jedem anderen Benutzer geben. also auch das Recht all
das zu tun was der Administrator kann.. und so auch diese verd*****
/console zu nutzen :-)

In Windows 2000 brauchte man für den terminalzugriff das recht "Lokal
Anmelden" in der Policy - weil es unter W2k keine dedizierte
TS-Anmeldungsunterscheidung gab. Unter W2K3 kann ich die Lokale, von der
TS-Anmeldung unterscheiden. Unter W2K3 kann ich also sagen ob sich ein
benutzer direkt lokal am Server anmelden darf oder/und via Terminaldienste.
Das "lokal Anmelden" bezieht sich nach meinen derzeitigen Tests NICHT auf
die /consolen-Anmeldung via RDP



Ich werde wohl mal bei MS einen Call aufmachen - das Ergebnis gebe ich dann
mal bei Interesse hier kund


danke soweit

Gruß,
Jan Schneider
Denis Jedig
2006-11-11 22:35:17 UTC
Permalink
Post by unknown
c) das mit dem code glaube ich auch nicht - die Anteilnahme in allen Ehren
aber ich suche hier nicht nach Schätzungen :-) sondern eher nach Erfahrungen
und Kenntnissen oder aber nach Begründungen die gesattelt sind.
Ich habe nochmal gesucht, weil ich recht überzeugt war, dass dem so ist.
Allerdings wurde ich nicht fündig und
http://technet2.microsoft.com/WindowsServer/en/library/b8e1fed7-7c78-4896-a833-33173ded27e01033.mspx?mfr=true
z.B. erzählt was von Gruppenmitgliedschaften. Vielleicht geht es also doch.
Da ich es bislang nicht gebraucht habe, habe ich auch noch nicht damit
herumgespielt.
Post by unknown
ein User .. nennen wir Ihn mal Administrator (oder auch eine Gruppe , nennen
wir sie Administratoren) ... ist nichts anderes als ein Name für einen
Benutzer, der auf bestimmte Registryteile und Filebereiche die
entsprechenden Berechtigungen per default bekommt.
Das ist nicht ganz korrekt. "Administrator" und "Administratoren" sind
Builtins, die in vielen Hinsichten ziemlich besonders sind.
--
Denis Jedig
syneticon networks GbR http://syneticon.net/service/
Norbert Fehlauer [MVP]
2006-11-12 12:51:26 UTC
Permalink
Jan Schneider wrote:
Hi,
Post by unknown
ein User .. nennen wir Ihn mal Administrator (oder auch eine Gruppe ,
nennen wir sie Administratoren) ... ist nichts anderes als ein Name
für einen Benutzer, der auf bestimmte Registryteile und Filebereiche
die entsprechenden Berechtigungen per default bekommt. Und diese
Berechtigungen kann ich im Prinzip jedem anderen Benutzer geben.
Nö das ist falsch. Und das wirst du bemerken wenn du in bestimmten Bereichen
rumstocherst, dass manches oftmals tatsächlich nur als Administrator geht.
Post by unknown
auch das Recht all das zu tun was der Administrator kann.. und so
auch diese verd***** /console zu nutzen :-)
Ich hab entgegen meiner ersten Aussage das auch mal nachgestellt und den
gleichen Effekt wie du. Ich kann mich zwar lokal anmelden (direkt am Server)
oder per RDP-Session, aber nicht per /console.
Post by unknown
In Windows 2000 brauchte man für den terminalzugriff das recht "Lokal
Anmelden" in der Policy - weil es unter W2k keine dedizierte
TS-Anmeldungsunterscheidung gab. Unter W2K3 kann ich die Lokale, von
der TS-Anmeldung unterscheiden. Unter W2K3 kann ich also sagen ob
sich ein benutzer direkt lokal am Server anmelden darf oder/und via
Terminaldienste. Das "lokal Anmelden" bezieht sich nach meinen
derzeitigen Tests NICHT auf die /consolen-Anmeldung via RDP
Richtig. Deswegen mußte man in W2k auch keinem nicht administrator die RDP
/console erlauben. ;)
Die /console Session scheint (auch wenn das jetzt wieder nur eine Mutmaßung
aufgrund der obigen Tests meinerseits ist) doch etwas besonderes zu sein.
Frag sicherheitshalber einfach mal in der TS Group nochmal nach.

Bye
Norbert
Robert Pieroth [MVP]
2006-11-12 15:26:33 UTC
Permalink
Post by Norbert Fehlauer [MVP]
Die /console Session scheint (auch wenn das jetzt wieder nur eine Mutmaßung
aufgrund der obigen Tests meinerseits ist) doch etwas besonderes zu sein.
Frag sicherheitshalber einfach mal in der TS Group nochmal nach.
Richtig, die /console Session ist etwas Besonderes. Zum Beispiel ist es die absolut
einzige RDP-Funktion auf einem Windows XP Rechner.
Die Windows XP Remotedesktopfunktion entspricht der mstsc /console Funktion
des Server 2003 (allerdings mit kleinen Unterschieden).
Post by Norbert Fehlauer [MVP]
Weist Du ganz sicher, dass sich dieses "lokal anmelden" auf den /console
Nein, da habe ich eine Richtlinie verwechselt/vertauscht. Es ist eine andere
Richtlinie, die konfiguriert werden muss, sorry.

Zum Herstellen einer Remotedesktop-Session über /console muss auf dem Server
folgendes konfiguriert werden:
1. In den Systemeigenschaften muss der Remotedesktop aktiviert sein.
2. Der Benutzer muss Mitglied der Gruppe "RemotedeskopBenutzer" sein
3. Dem Benutzer (oder der ganzen Gruppe "Remotedesktopbenutzer") muss
das Recht des Anmeldens über Terminaldienste erteilt werden. Das hatte
ich mit dem lokalen Anmelden in meiner ersten Antwort verwechselt.
Insofern: in der Gruppenrichtlinie - Sicherheitseinstellungen - Lokale Richtlinen
- Zuweisen von Benutzerrechten bei der Einstellung
"Anmelden über Terminaldienste zulassen" den Benutzer oder eine Gruppe die
die Benutzer enthält hinzufügen.

Jetzt gibt es noch folgende Probleme:
Falls auf dem Server lokal ein Administrator angemeldet ist, kann ein Benutzer
sich die Session nicht holen. Den tatsächlich lokal angemeldeten kann nur ein
User "rauswerfen", der wirklich vollständiger Administrator ist.
Falls die /console bereits von einem Benutzer verwendet wird, kann kein zweiter
Benutzer dort dran. Genauso, wie sich nur ein Mensch lokal anmelden kann,
kann sich nur ein einziger die Konsole per TSClient holen.

Viele Grüße
Robert Pieroth
--
http://www.faq-o-matic.net
http://www.edv-buchversand.de/mspress/product.asp?&cnt=product&id=ms-5604
https://mvp.support.microsoft.com/profile=014FC01B-D493-4B7E-8FD1-A0A5B32BFF0A
unknown
2006-11-15 07:27:13 UTC
Permalink
Hallo Robert
Post by Robert Pieroth [MVP]
Zum Herstellen einer Remotedesktop-Session über /console muss auf dem Server
1. In den Systemeigenschaften muss der Remotedesktop aktiviert sein.
klar
Post by Robert Pieroth [MVP]
2. Der Benutzer muss Mitglied der Gruppe "RemotedeskopBenutzer" sein
habe ich über restricted groups gelöst
Post by Robert Pieroth [MVP]
3. Dem Benutzer (oder der ganzen Gruppe "Remotedesktopbenutzer") muss
das Recht des Anmeldens über Terminaldienste erteilt werden. Das hatte
ich mit dem lokalen Anmelden in meiner ersten Antwort verwechselt.
Insofern: in der Gruppenrichtlinie - Sicherheitseinstellungen - Lokale Richtlinen
- Zuweisen von Benutzerrechten bei der Einstellung
"Anmelden über Terminaldienste zulassen" den Benutzer oder eine Gruppe die
die Benutzer enthält hinzufügen.
habe ich auch. - unter win2k war es aber "lokal anmelden"

obiges funktioniert ja auch alles - nur kommt jetzt die /console challenge
:-)
Post by Robert Pieroth [MVP]
Falls auf dem Server lokal ein Administrator angemeldet ist, kann ein Benutzer
sich die Session nicht holen. Den tatsächlich lokal angemeldeten kann nur ein
User "rauswerfen", der wirklich vollständiger Administrator ist.
und das verstehe ich nicht .. warum kann ich nicht auch einem anderen
benutzer dieses recht geben :-)
Post by Robert Pieroth [MVP]
Falls die /console bereits von einem Benutzer verwendet wird, kann kein zweiter
Benutzer dort dran. Genauso, wie sich nur ein Mensch lokal anmelden kann,
kann sich nur ein einziger die Konsole per TSClient holen.
auch klar, aber ein admin kann den admin oder wen anders rauskicken - dieses
recht müsste ich ja auch einem anderen user geben können :-)

eigentlich.....

wie gesagt - ich bleine dran und kontaktiere MS - bisher bin ich noch nicht
dazu gekommen

Robert, danke und Gruß aus München,

Jan
unknown
2006-11-18 08:49:09 UTC
Permalink
ok,

ich habe etwas gefunden.

Es funktioniert und beantwortet einige meiner Fragen diesbezüglich. Es zeigt
auch , dass ich mit meiner Denkweise gar nicht so falsch gelegen habe. Es
ist zwar fraglich, ob diese Einstellung von MS so supportet oder gar
recomendet wird aber das kläre ich noch ab.

Wer jetzt gleich mit Sicherheitsbedenken kommt dem gebe ich erstmal recht,
aber es gibt noch andere Mechanismen die dann greifen :-)

ok.. damit ihr nicht dumm sterben müsst komm ich nun zur Antwort :-)

in der Registry im Pfad

HKLM\System\CCS\Control\Terminal Server\WinStations

gibt es die Binary-Key's "DefaultSecurity" und "ConsoleSecurity"

ergo Backup gemacht und den Inhalt des "DefaultSecurity" Keys für den des
"ConsoleSecurity"-keys benutzt.

voila

Gruß, Jan Schneider

*puh*

Loading...