[2008] Allow log on through terminal services

zaterdag 12 december 2009 22:30

Acties:

0 Henk 'm!

Topicstarter

Ik heb een Windows 2008 machine toegevoegd in mijn domein en terminal services geconfigureerd. Ik kan als gebruiker alleen aanloggen als ik expliciet in "allow log on through terminal services" in the local security policy op de Windows 2008 machine deze gebruiker heb toegevoegd (of "everyone").

Anders volgt een event 4625: "The user has not been granted the requested logon type at this machine".

Op de domein controller staat het qua policies verder goed want op een "oude" 2003 terminal server werkt het prima. Volgens mij zou bovenstaande niet nodig moeten zijn, heeft iemand een idee waar dit aan ligt?

zaterdag 12 december 2009 22:43

Acties:

0 Henk 'm!

Coach4All

I'm a Coach 4 All

Zitten de gebruikers wel in de "terminal servers users" group op de TS?
(of in een groep die aan deze groep is toegevoegd?)

--- Systeembeheerdersdag --- Voedselintolerantie ---

zaterdag 12 december 2009 22:48

Acties:

0 Henk 'm!

Zwelgje

die 2008 terminalserver is toch niet toevallig ook een domaincontroller

want de wizard van 2008 (bij het toevoegen van de ts-role) zou je moeten vragen welke gebruikes mogen inloggen op de machine. neem aan dat je hier een gebruikersgroep hebt geselecteerd

)

enigste reden die ik dan kan bedenken is dat die machine middels dcpromo is toegevoegd aan het domain en dus een DC is...

A wise man's life is based around fuck you

zaterdag 12 december 2009 22:54

Acties:

0 Henk 'm!

mvandek2

Topicstarter

Ja, de gebruikers zitten in een groep die via "Terminal Server Configuration" aan de Connection op het tabblad Security zijn toegevoegd.

De Terminal server is geen domein controller.

zaterdag 12 december 2009 22:56

Acties:

0 Henk 'm!

Zwelgje

naja mischien zit die bak wel op een OU met een screwed up GPO

default zou je iig dat niet hoeven in te stellen

A wise man's life is based around fuck you

zaterdag 12 december 2009 23:45

Acties:

0 Henk 'm!

mvandek2

Topicstarter

Powershell schreef op zaterdag 12 december 2009 @ 22:56:
naja mischien zit die bak wel op een OU met een screwed up GPO default zou je iig dat niet hoeven in te stellen

Hoe kom ik daar achter?
Het is overigens een nieuw systeem wat TS moet gaan worden in de plaats van een bestaande TS (Windows 2003), deze staat nog onveranderd in het netwerk met de zelfde TS CAL's, kan dat er iets mee te maken hebben?

[ Voor 29% gewijzigd door mvandek2 op 12-12-2009 23:46 ]

zondag 13 december 2009 01:26

Acties:

0 Henk 'm!

mvandek2

Topicstarter

Coach4All schreef op zaterdag 12 december 2009 @ 22:43:
Zitten de gebruikers wel in de "terminal servers users" group op de TS?
(of in een groep die aan deze groep is toegevoegd?)

Bedoel je de lokale groep "Remote desktop users" op de TS?
Daar zaten ze niet in, ik had ze direct toegevoegd via het tabblad "security" aan de RDP connection, waar dus ook de lokale groep "Remote desktop users" staat.

Het lukt dus inderdaad wel als ik de gebruikers toevoeg aan de lokale groep "Remote desktop users" op de TS.

[ Voor 19% gewijzigd door mvandek2 op 13-12-2009 01:30 ]

zondag 13 december 2009 09:28

Acties:

0 Henk 'm!

Zwelgje

mvandek2 schreef op zondag 13 december 2009 @ 01:26:
[...]

Bedoel je de lokale groep "Remote desktop users" op de TS?
Daar zaten ze niet in, ik had ze direct toegevoegd via het tabblad "security" aan de RDP connection, waar dus ook de lokale groep "Remote desktop users" staat.

Het lukt dus inderdaad wel als ik de gebruikers toevoeg aan de lokale groep "Remote desktop users" op de TS.

ah dan was dat je fout. die RDP security connectie is voor heel wat anders (oa shadowen, kicken van users,etc,etc)

remote desktop users is de groep (dus lokaal op die machine) waar je lid van moet zijn

A wise man's life is based around fuck you

zondag 13 december 2009 11:09

Acties:

0 Henk 'm!

mvandek2

Topicstarter

ah dan was dat je fout. die RDP security connectie is voor heel wat anders (oa shadowen, kicken van users,etc,etc)

Dit werkte onder 2003 wel, ik heb ook andere 2008 TS machines waar het zo werkt, kan het te maken hebben met geinstalleerde roles/features?

zondag 13 december 2009 11:12

Acties:

0 Henk 'm!

Zwelgje

als je niet in de groep 'remote desktop users' zit wordt je gewoon snoeihard gedenied op het inloggen via rdp.. ongeacht de rechten op de RDP connector. ook al heb je daar 'full control' maar je wordt via een GPO geen toegang verleend om aan te melden via terminalservices kom je er gewoon niet in

maar ik kan niet zien hoe die andere 2003/2008 machines zijn ingericht. kan dus ook niet zo beoordelen wat er fout is ingesteld

remote desktop users is de manier om mensen rechten te geven om in te loggen, die RDP connector security om vervolgens mensen rechten te geven om het eea te doen met andere ingeloggede users op die connector

A wise man's life is based around fuck you

zondag 13 december 2009 11:37

Acties:

0 Henk 'm!

mvandek2

Topicstarter

Bedankt.

Het verbaast me een beetje omdat het zo zit "weggestop", je veracht dat dit in de TS Manager zou kunnen, toch een belangrijke functionaliteit, maar in plaats daarvan moet je een local group aanpassen in Windows zelf.

zondag 13 december 2009 12:44

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

mvandek2 schreef op zondag 13 december 2009 @ 11:37:
Het verbaast me een beetje omdat het zo zit "weggestop", je veracht dat dit in de TS Manager zou kunnen, toch een belangrijke functionaliteit, maar in plaats daarvan moet je een local group aanpassen in Windows zelf.

Het zit ook in de TS Manager. Vraag via deze manager voor de fun maar eens de permissies op de RDP-connector maar eens op. Je zult zien dat de lokale groep "Remote desktop users" rechten hebben op deze connector.

Door het aanpassen van deze rechten kun je ook andere users toegang geven. MS heeft het alleen makkelijker gemaakt om alvast een groep te defeineren en deze deze alvast juiste rechten te geven.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

zondag 13 december 2009 13:41

Acties:

0 Henk 'm!

Zwelgje

mvandek2 schreef op zondag 13 december 2009 @ 11:37:
Bedankt.

Het verbaast me een beetje omdat het zo zit "weggestop", je veracht dat dit in de TS Manager zou kunnen, toch een belangrijke functionaliteit, maar in plaats daarvan moet je een local group aanpassen in Windows zelf.

als je de TS role via de servermanagerwizard hebt toegevoegd krijgt je aan het einde een scherm waar je kan aangeven welke group gebruik mag maken van terminalservices (default: admins) hier heb je een groep toegevoegd

deze group zou dan automagisch in de 'remote desktop user' group moeten komen

A wise man's life is based around fuck you

maandag 14 december 2009 01:34

Acties:

0 Henk 'm!

mvandek2

Topicstarter

Question Mark schreef op zondag 13 december 2009 @ 12:44:
[...]

Het zit ook in de TS Manager. Vraag via deze manager voor de fun maar eens de permissies op de RDP-connector maar eens op. Je zult zien dat de lokale groep "Remote desktop users" rechten hebben op deze connector.

Door het aanpassen van deze rechten kun je ook andere users toegang geven. MS heeft het alleen makkelijker gemaakt om alvast een groep te defeineren en deze deze alvast juiste rechten te geven.

Je kan in de TS manager toch geen groepen toevoegen aan de "Remote desktop users" groep?

maandag 14 december 2009 08:32

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Nee, maar wel een gebruiker of groep de juiste rechten geven op de connector.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Pagina: 1

Reageer

Onderwerpen