Toon posts:

Users op DC of TC

Pagina: 1
Acties:
  • 652 views

zaterdag 21 mei 2011 11:34

Acties:
  • 0Henk 'm!
  • World Citizen
  • Registratie: Oktober 2002
  • Laatst online: 06-06 08:10

World Citizen

Topicstarter
Oke ik zit met een domme vraag...
Heb me echt rot gezocht om dit topic te vermijden maar kom er niet onderuit.

Ik ben bezig met het opzetten van een Terminal Service omgeving. Ik heb een losse DC en een losse TS.
Ik snap precies hoe ik dingen moet doen, maar zit met een toch wel makkelijke design vraag (voor jullie dan)

Het aanmaken van users... ik kan dit op de DC doen of op de TS..
Nu heb ik het hele design plan nog niet in kaart, maar dit is vrij cruciaal lijkt me.

Als ik een User aanmaak op de TS, dan werkt het.. Maar dan hij heeft geen toegang tot de DC.
Als ik hem aanmaak op de DC, en toegang geef op de TS, moet ik dan local logon op de DC vermijden.

Of redeneer ik weer eens de verkeerde kant uit.

En willen we het profiel van de user liever op de TS of op de DC?

Sry maar ik kan echt niet vinden hoe het aan te pakken.. alle opties LIJKEN mogelijk.


(admins... title fix please!! _/-\o_ )

zaterdag 21 mei 2011 11:40

Acties:
  • 0Henk 'm!
  • hhoekstra
  • Registratie: Maart 2008
  • Laatst online: 06-06 14:02

hhoekstra

Je TS is toch lid van het domein ?

zaterdag 21 mei 2011 11:44

Acties:
  • 0Henk 'm!
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Het makkelijkste is om ze gewoon op beide systemen aan te maken - je zorgt er dan voor dat ze beide hetzelfde passwoord hebben (veel mensen gebruiken een Excel filetje op de server met alle gebruikers' pasworden erin) en dan kan er niet zo veel mis gaan.

Vergeet overigens niet de gebruiker ook op de PC aan te maken :)

zaterdag 21 mei 2011 11:48

Acties:
  • 0Henk 'm!
  • World Citizen
  • Registratie: Oktober 2002
  • Laatst online: 06-06 08:10

World Citizen

Topicstarter
hhoekstra schreef op zaterdag 21 mei 2011 @ 11:40:
Je TS is toch lid van het domein ?
Yep.
elevator schreef op zaterdag 21 mei 2011 @ 11:44:
Het makkelijkste is om ze gewoon op beide systemen aan te maken - je zorgt er dan voor dat ze beide hetzelfde passwoord hebben (veel mensen gebruiken een Excel filetje op de server met alle gebruikers' pasworden erin) en dan kan er niet zo veel mis gaan.

Vergeet overigens niet de gebruiker ook op de PC aan te maken :)
Maar ik wil uiteraard niet dat ze echt op de DC in kunnen loggen... Maar ze moeten wel toegang hebben tot functies die de DC evt bied... Is het dan wel nodig om de user op de DC te hebben... of kan ik middels rechten alle functies van de DC aan een TS user geven..

User op PC? lokaal hoeft er geen profiel te zijn...


(aangezien ik nog niet precies weet wat mijn DC in de toekomst aan functies gaat bieden (of dat dat überhaupt de bedoeling is) wil ik dit nu wel goed regelen.. Het verplaatsen of dupliceren van een User database lijkt me namelijk niet prettig om te doen... achteraf

[Voor 12% gewijzigd door World Citizen op 21-05-2011 11:50]

zaterdag 21 mei 2011 11:50

Acties:
  • 0Henk 'm!
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

World Citizen schreef op zaterdag 21 mei 2011 @ 11:48:
Maar ik wil uiteraard niet dat ze echt op de DC in kunnen loggen... Maar ze moeten wel toegang hebben tot functies die de DC evt bied... Is het dan wel nodig om de user op de DC te hebben... of kan ik middels rechten alle functies van de DC aan een TS user geven..
Standaard kan een gebruiker niet op de DC aanloggen :)
User op PC? lokaal hoeft er geen profiel te zijn...
Maar je wilt toch wel dat ze kunnen aanloggen op die PC?

Je kan eventueel ook 1 gebruikersnaam gebruiken voor alle PC's (user met password user bv) :)

zaterdag 21 mei 2011 11:50

Acties:
  • 0Henk 'm!

Anoniem: 26306

World Citizen schreef op zaterdag 21 mei 2011 @ 11:48:

Maar ik wil uiteraard niet dat ze echt op de DC in kunnen loggen...
Dan blokkeer je dat toch? Rechten, firewall, noem het maar...

zaterdag 21 mei 2011 11:50

Acties:
  • 0Henk 'm!
  • redfoxert
  • Registratie: December 2000
  • Niet online

redfoxert

Erhm ... het hele principe van een AD domain is dat je je user administratie op ÉÉN plek houdt, op de DC dus in de Active Directory Users and Computers snap-in.

Als je dan via een lokale policy wijziging zorgt dat normale users niet op de DC kunnen inloggen (via Terminal Services) dan kunnen ze daar gewoon niet bij. Overigens bedenk ik me nu dat dit zelfs al standaard is ..

Anyway, als mensen dan inloggen op de Terminal Server kunnen ze gewoon aanmelden op het domain. Zorg wel dat ze wel de rechten hebben om lokaal op die TS in te mogen loggen.

https://discord.com/invite/tweakers

zaterdag 21 mei 2011 11:53

Acties:
  • 0Henk 'm!
  • World Citizen
  • Registratie: Oktober 2002
  • Laatst online: 06-06 08:10

World Citizen

Topicstarter
redfoxert schreef op zaterdag 21 mei 2011 @ 11:50:
Erhm ... het hele principe van een AD domain is dat je je user administratie op ÉÉN plek houdt, op de DC dus in de Active Directory Users and Computers snap-in.
Thanks... dit zocht ik. Bovenaan in de boom beginnen, en afschermen tot welk niveau ze mogen. Dit is zo logisch, en was ook welk wat ik dacht, maar durfde dit niet op eigen vertrouwen uit te voeren...

Ergens twijfelde ik of het echt nodig was om in de DC te beginnen, maar je wilt dit eigenlijk toch wel.. dit is veel georganiseerder.

[Voor 12% gewijzigd door World Citizen op 21-05-2011 11:55]

zaterdag 21 mei 2011 18:55

Acties:
  • 0Henk 'm!
  • Ethirty
  • Registratie: September 2007
  • Laatst online: 22:16

Ethirty

Who...me?

Maak gewoon zoals het hoort al je gebruikers aan op de DC, anders snap ik niet waarom je die hebt :?

Vervolgens maak je een groep TS_Users (of wat dan ook) aan, daar stop je je users in en die groep geef je op de TS rechten. Vervolgens bepaal je mbv policies wat mensen op de TS nu precies wel en niet mogen. Et voilá, logisch, beheersbaar en ook nog zoals het hoort ;)

#team_UTC+1

An investment in knowledge always pays the best interest - Benjamin Franklin
You can call me McOverloper  Mini '12 i7/16/256  Air '13 i5/8/256  iPad mini 5 64GB  iPhone SE 128GB

zaterdag 21 mei 2011 19:06

Acties:
  • 0Henk 'm!
  • ItsValium
  • Registratie: Juni 2009
  • Laatst online: 31-05 10:27

ItsValium

Eens met Ethirty, zo heb ik een aantal omgevingen draaien bij klanten/in het datacenter. Werkt perfect en volledig conform de gebruikelijke richtlijnen bij windows omgevingen.

zaterdag 21 mei 2011 21:28

Acties:
  • 0Henk 'm!
  • Dennism
  • Registratie: September 1999
  • Laatst online: 00:22

Dennism

Als je beneden de 100 users blijft zou je ook kunnen kiezen voor the gratis versie van Powerfuse om de TS mee af te schermen. Hiermee kun je een mooie afgeschermde user omgeving maken op de TS welke ook nog eens flexibel is, en makkelijk te configuren.

Chronia Lvl 60 Warlock Diablo 3

zondag 22 mei 2011 10:22

Acties:
  • 0Henk 'm!

Anoniem: 304544

Om je terminal server af te schermen kun je eventueel ook een Loopback processing GPO gebruiken.
Als je er dan voor zorgt dat je een apparte OU hebt met je TS. Aan deze OU koppel je dan die loopback GPO en de policy is alleen van toepassing als de gebruikers inloggen op de TS.

Zie Loopback processing of Group Policy

zondag 22 mei 2011 11:33

Acties:
  • 0Henk 'm!
  • Powermage
  • Registratie: Juli 2001
  • Laatst online: 22:35

Powermage

elevator schreef op zaterdag 21 mei 2011 @ 11:44:
Het makkelijkste is om ze gewoon op beide systemen aan te maken - je zorgt er dan voor dat ze beide hetzelfde passwoord hebben (veel mensen gebruiken een Excel filetje op de server met alle gebruikers' pasworden erin) en dan kan er niet zo veel mis gaan.

Vergeet overigens niet de gebruiker ook op de PC aan te maken :)
WTF..... ik mag toch hopen dat dit sarcastisch is....

Join the club

zondag 22 mei 2011 11:49

Acties:
  • 0Henk 'm!
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Powermage schreef op zondag 22 mei 2011 @ 11:33:
WTF..... ik mag toch hopen dat dit sarcastisch is....
Nouja, er wordt vaak ook gebruik gemaakt van een text bestandje omdat je geen Excel wilt installeren op je domain controller.

zondag 22 mei 2011 17:33

Acties:
  • 0Henk 'm!
  • Remco
  • Registratie: Januari 2001
  • Laatst online: 06-06 16:29

Remco

elevator schreef op zondag 22 mei 2011 @ 11:49:
[...]

Nouja, er wordt vaak ook gebruik gemaakt van een text bestandje omdat je geen Excel wilt installeren op je domain controller.
Het gaat denk ik niet zozeer over het excel filetje, maar over je hele concept....

The best thing about UDP jokes is that I don't care if you get them or not.

zondag 22 mei 2011 21:35

Acties:
  • 0Henk 'm!

Anoniem: 304544

Remco schreef op zondag 22 mei 2011 @ 17:33:
[...]

Het gaat denk ik niet zozeer over het excel filetje, maar over je hele concept....
Het excel filetje met de wachtwoorden is toch wel het ergt. Dan kan net zo goed iedereen met admin inloggen.

zondag 22 mei 2011 21:51

Acties:
  • 0Henk 'm!
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Dat is op zich ook wel een idee maar kan praktische problemen geven met terminal services. Op het moment dat een sessie dan disconnect, heb je kans dat de ene user de sessie van een ander krijgt omdat ze dezelfde username gebruiken.

Ik zou dat dus niet aanraden.

maandag 23 mei 2011 07:36

Acties:
  • 0Henk 'm!
  • Equator
  • Registratie: April 2001
  • Laatst online: 06-06 12:50

Equator

Crew Council

#whisky #barista

World Citizen schreef op zaterdag 21 mei 2011 @ 11:53:
[...]


Thanks... dit zocht ik. Bovenaan in de boom beginnen, en afschermen tot welk niveau ze mogen. Dit is zo logisch, en was ook welk wat ik dacht, maar durfde dit niet op eigen vertrouwen uit te voeren...

Ergens twijfelde ik of het echt nodig was om in de DC te beginnen, maar je wilt dit eigenlijk toch wel.. dit is veel georganiseerder.
Kom op zeg, dit is zo verschrikkelijk basic dat je dit toch wel zelf had kunnen bedenken? Als je niet begrijpt hoe een Active Directory werkt (de basis) dan zou ik er maar mee stoppen. Je post je topic in Professional Networking & Servers. Een subforum bedoeld voor de geavanceerdere problemen. Je topic had (mits beter onderbouwd) beter in Serversoftware en Windows Servers passen.

Je kan op je TS gewoon aangeven welke groep met domein gebruikers (uit je Active Directory) in mogen loggen op de TS.

Bovendien had je dit ook kunnen vinden als je wat googled op steekwoorden i.c.m. "howto".
edit: 1 seconde googlen en ik loop tegen deze link aan: http://www.howtonetworking.com/articles/mstshowto.htm
elevator schreef op zondag 22 mei 2011 @ 11:49:
[...]

Nouja, er wordt vaak ook gebruik gemaakt van een text bestandje omdat je geen Excel wilt installeren op je domain controller.
Sarcasm detector overload :P

[Voor 12% gewijzigd door Equator op 23-05-2011 07:40]

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!

Pagina: 1

Dit topic is gesloten.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee