RDP GPO Enkel eigen sessie overnemen

woensdag 29 januari 2014 16:01

Acties:

0 Henk 'm!

Topicstarter

Is er een GPO op WS2008r2 met W7 clients waarmee je users kan verplichten enkel te kunnen rdp-en naar machines waar ze met hetzelfde account zijn ingelogd.
Wanneer je nu RDP'ed (geen idee hoe je dit correct schrijft) naar een machine waar een andere user in ingelogd is krijg je een melding(iets in de trend van Logon message; another user is allready logged in, do you wish to end this users session) te zien.
Eigenlijk wil ik dat hier dan standaard nee wordt ingevuld, maar wil de keuze niet bij de gebruikers neerleggen.
Iemand een idee?

Thnx

woensdag 29 januari 2014 20:27

Acties:

0 Henk 'm!

Razwer

wat dacht je van alleen de user die op die machine hoort rechten te geven voor remote desktop

Newton's 3rd law of motion. Amateur moraalridder.

donderdag 30 januari 2014 09:12

Acties:

0 Henk 'm!

Benne

Topicstarter

Dat gaat helaas niet. Het zijn pc's die iedereen kan gebruiken om langdurige berekeningen uit te voeren , maar iedereen maakt wel eens gebruik van een andere pc.
Juist omdat ze zulke lange berekeningen uitvoeren wil ik niet hebben dat ze de kans krijgen om een ander ingelogde gebruiker eruit te gooien via rdp.
Ze moeten enkel remote kunnen zien hoe ver de machine is met het uitrekenen. Dus in praktijk moeten ze de pc zelf niet geheel kunnen overnemen, alleen kijken zou bvb al voldoende zijn.
Liefst zou ik het via rdp doen , maar anders in vnc misschien nog een optie.

donderdag 30 januari 2014 10:04

Acties:

0 Henk 'm!

sanfranjake

Computers can do that?

ZIjn je gebruikers Administrator? Je hebt wel een gpo-optie dat een administrator op de console nooit afgemeld mag worden, maar weet even niet zeker of die in 7 nog steeds geldt (ik praat over het 2003-tijdperk dat ik die voor het laatst heb gebruikt).
Maar een end-user met rdp rechten mag toch niet zomaar iemand anders er uit gooien tenzij deze administrator is, is het niet op te lossen door de rechten te beperken tot user ofzo?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 30 januari 2014 11:31

Acties:

0 Henk 'm!

Benne

Topicstarter

Ze zijn allemaal local admin, dit is ook nodig om hun werkzaamheden uit te voeren. Misschien dat die GPO optie dat een admin op console niet afgemeld mag worden wel een uitkomst is. Dacht deze wel te hebben gezien in 2008r2. Als andere users met admin rechten via deze gpo de pc niet kunnen overnemen dan is dit wel de oplossing. Ga het even testen.

donderdag 30 januari 2014 13:16

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Microsoft Windows Server

Benne schreef op donderdag 30 januari 2014 @ 11:31:
Ze zijn allemaal local admin, dit is ook nodig om hun werkzaamheden uit te voeren.

Even een andere vraag, maar waarom?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 30 januari 2014 14:46

Acties:

0 Henk 'm!

Benne

Topicstarter

Zodat ze van hun werkplek kunnen kijken hoever de pc is met berekenen. Nu moeten ze enkele verdiepingen naar boven om even te kijken.
Local admin zijn ze omdat ze allerlei tooltjes moeten kunnen installeren voor die berekeningen uit te voeren, plus het aansluiten van meetapparatuur.

donderdag 30 januari 2014 15:08

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Microsoft Windows Server

Benne schreef op donderdag 30 januari 2014 @ 14:46:
Local admin zijn ze omdat ze allerlei tooltjes moeten kunnen installeren voor die berekeningen uit te voeren, plus het aansluiten van meetapparatuur.

Al eens geprobeerd om hun enkel rechten te geven om device drivers te installeren icm schijfrechten op de local disk? Dan kunnen ze hun werk doen, maar voorkom je dat ze admin rechten krijgen. Een local admin heeft nu eenmaal "Full Control" rechten op de RDP connector en dus rechten om andere personen af te loggen.

Een andere oplossing zou zijn om zo'n werkplek te vervangen door een Server OS en daar RDS op te deployen, daarmee kunnen meerdere gebruikers tegelijk actief zijn op het systeem.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 30 januari 2014 15:34

Acties:

0 Henk 'm!

Benne

Topicstarter

Je eerste idee zal ik eens proberen. 2de idee is te duur

Heb net een testje gedaan met vnc en dat werkt opzich wel goed. Als het met rdp niet lukt dan laat ik vnc uitrollen op deze machines en dan doen ze het maar met vnc.
Sowieso bedankt voor het meedenken.

donderdag 30 januari 2014 16:19

Acties:

0 Henk 'm!

Semt-x

Vanuit een hele andere invalshoek;
Welke reken software is het? bestaat er een "reken server" rol voor die software?
Waar eind gebruikers reken jobs kunnen submitten aan een rekencluster, op een web pagina kunnen zien hoever de berekening is en een bericht krijgen als deze klaar is?

(dat heb ik gezien bij technisch tekenaars die hun tekeningen laten doorrekenen in zon oplossing)

vrijdag 31 januari 2014 11:34

Acties:

0 Henk 'm!

Benne

Topicstarter

Heb een oplossing gevonden. via Gpo maak ik de gebruiker local admin op die machine waardoor hij deze kan overnemen. Wanneer deze uitlogt op de machine worden zijn local admin rechten verwijderd. Dus op deze manier kan enkel degene die is ingelogt die pc overnemen.

Onderwerpen