Terminal Service probleem

1. zorgen dat de gebruiker geen administrator is
2. uitzoeken waar de gebruiker exact schrijfrechten nodig heeft op filesystem en registry (gebruik tools als filemon en regmon)
3. pas applicatie zoveel mogelijk aan door paden te wijzigen waar geschreven moet worden, bijvoorbeeld door aanpassing environment variabelen van de applicatie
4. zet exact de rechten die nodig zijn, ook in de registry met regedt32.

Kun je bij je user manager niet instellen op welke netwerkstations hij maar mag inloggen
Onder NT4 kon dat in ieder geval wel.

Volgens mij heeft een user _geen_ admin rechten nodig op de terminal server, maar 'logon locally' rechten.

En waarom per software, één account, de gebruikers kunnen toch gewoon met hun standaard account aanloggen op de TS. Geef de gebruikers een aparte TS-profiel waarbij er shotcut's op de desktop staan naar die applicaties die ze nodig hebben.

Je kan via Group Policy het bureaublad helemaal afschermen.

http://support.microsoft....8/2/95.ASP&NoWebContent=1

Op deze manier kunnen de gebruikers niets meer, ondanks de Admin rechten.

[ash] schreef op 12 november 2003 @ 10:31:
Volgens mij heeft een user _geen_ admin rechten nodig op de terminal server, maar 'logon locally' rechten.

En waarom per software, één account, de gebruikers kunnen toch gewoon met hun standaard account aanloggen op de TS. Geef de gebruikers een aparte TS-profiel waarbij er shotcut's op de desktop staan naar die applicaties die ze nodig hebben.

ash heeft gelijk.

Gebruikers NOOIT administrators maken, en al helemaal niet op een Terminal Server.

Je moet ze het recht logon localy geven

dat doe je als volgt,

login op de TS ga naar start>programs>administrative tools>domain conroller security policy

daar ga je naar security settings, local settings, daar staat bij het logon localy recht


hier voeg je de group "TS gebruikers" toe.

Iedereen die in moet loggen op de TS zet je in die group

voor de rest alles dicht timmeren met policy's zoals hierboven beschreven.

Als bepaalde pakketten niet werken als normale user zijn is het een k*t pakket, vrijwel alles werkt als normale user zijnde

Grolsch schreef op 12 november 2003 @ 13:16:
[...]

Als bepaalde pakketten niet werken als normale user zijn is het een k*t pakket, vrijwel alles werkt als normale user zijnde

Ik kan alleen maar achter de eerder gegven tips staan.

Mbt de opmerking van Grosch; ooit moest de ABN telebanking software door de user zelf (dus met adminrechten) geinstalleerd worden. Hierna kon je de rechten wel weer afnemen en het pakketje werkt dan normaal. Zulke *censuur* software bestaat dus.... (helaas)

Verwijderd schreef op 12 november 2003 @ 13:23:
[...]


Ik kan alleen maar achter de eerder gegven tips staan.

Mbt de opmerking van Grosch; ooit moest de ABN telebanking software door de user zelf (dus met adminrechten) geinstalleerd worden. Hierna kon je de rechten wel weer afnemen en het pakketje werkt dan normaal. Zulke *censuur* software bestaat dus.... (helaas)

voor het installeren van software heb je altijd administrator rechten nodig.

JE gaat echt NIET willen dat users software op je terminal server bak gaan installeren. Phiew wat een rare gedachten, gebruikers die kazaa installeren op je terminal server de horror film van elke sysadmin)

Grolsch schreef op 12 november 2003 @ 13:42:
[...]


voor het installeren van software heb je altijd administrator rechten nodig.

JE gaat echt NIET willen dat users software op je terminal server bak gaan installeren. Phiew wat een rare gedachten, gebruikers die kazaa installeren op je terminal server de horror film van elke sysadmin)

Yep; je hebt helemaal gelijk !! het vervelende van de software die ik noemde was dat er tevens aanpassingen in de *user profile* werden gedaan tijdens de installatie....

En om ondubbelzinnigheden te voorkomen; Ik vind dat iedere beheerder die gebruikers Admin rechten geeft moet of heeeel erg sterk in de schoenen moet staan (...) of een ander vak moet kiezen.....

je kan doormiddel van net user of net use commando in de command prompt een user lokaal Power user maken. d.w. z dat hij wel de rechten heeft op hardware enzo maar niet op netwerk settings dus geen ADMIN rechten

misschien handige tip ? ze kunnen wel software installeren

trouwens als je software moet installeren als gebruiker zijnde kan je ook install rechten "tijdelijk" wijzigen door ze tijdens de installatie "elevated" rechten te geven en die zijn dus weer weg nadat de gebruiker de app geinstalleerd heeft .. kost script werk maar dan heb je ook wat

het mooiste is uni-forme bakken 1 image en ze power user rechten geven lokaal .. ze kunnen niks aan het netwerk of admin zaken doen ... ze kunnen wel software installeren ... verklooten ze de PC dan gooi je de de standaard image terug en mogen ze zelf weer van voor af aan beginnen ...

hoezo luie admin o ja laat ze wel verplicht een virus scanner enzo meedraaien .. en ze moeten zelf verantwoordelijk blijven voor de geinstalleerde software ... zeg dat ze niks lokaal op mogen slaan doen ze dat toch dan heb jij het recht om gewoon de bak te re-imagen

VSO zou de BOFH uithangen ... lekker scannen en ervoor zorgen dat met een druk op de knop die bak ge-re-imaged zou zijn

vso schreef op 12 november 2003 @ 14:25:
blahblah blah heel verhaal
[...]

volgens mij mis jij de topic titel, het gaat hier om een Terminal Server, en dan is het helemaal niet grappig dat ze ghost image's terug gaan schieten.

Hmm is dit nou proffesional?

Zet op de policy op de server dat ze via TS in mogen loggen als admin en ff bij Deny Logon Locally de gebruikers neerzetten die het niet mogen.

Verwijderd schreef op 13 november 2003 @ 10:03:
voor de duidelijkheid:

Een domain user logt zich in. Vervolgens staan er aantal snelkoppelingen van terminal server. Wanneer er op een snelkoppeling wordt gedrukt, wordt er verbinding gemaakt met Ts en wordt programma onder admin rechten gestart(kan neit anders, oude software). Ik heb in de environment aangegeven onder 2000 dat automatisch programma wordt gestart wanneer er ingelogd wordt. Dus snelkoppeling wordt aangeklikt programma start, vervolgens als ze klaar zijn met gebruik wordt er afgesloten, terminal server sessie stopt automatisch. En de gebruiker zit weer in de oude omgeving, dus ze kunnen nix op de server instellingen of aanpassen.

Ik ben eigenlij wel benieuwd wel pakket vereist dat ze admin rechten hebben. Meesatal werkt het door de gebruiker admin te maken. Alle ini files en dergleijke aan te laten maken en ze dan weer gebruiker maken. Daarnaast zijn er diverse tools om vast te stellen wat ze allemaal moeten kunnen inclusief stukken registry beschrijven. Dit lijkt me iets om eens een dagje voor uit te trekken.

In je verhaal lijkt het erop alsof je doelt op het feit dat de gebruiker Fysiek achter de server kunnen gaan zitten. Dus niet zozeer via een TS sessie, waarbij ze feitelijk ook lokaal werken maar echt achter de server. Klopt dat beeld?

Verwijderd schreef op 13 november 2003 @ 10:03:
voor de duidelijkheid:

Een domain user logt zich in. Vervolgens staan er aantal snelkoppelingen van terminal server. Wanneer er op een snelkoppeling wordt gedrukt, wordt er verbinding gemaakt met Ts en wordt programma onder admin rechten gestart(kan neit anders, oude software). Ik heb in de environment aangegeven onder 2000 dat automatisch programma wordt gestart wanneer er ingelogd wordt. Dus snelkoppeling wordt aangeklikt programma start, vervolgens als ze klaar zijn met gebruik wordt er afgesloten, terminal server sessie stopt automatisch. En de gebruiker zit weer in de oude omgeving, dus ze kunnen nix op de server instellingen of aanpassen.

FF lost van de vraag of je die gebruikers Admin rechten wilt geven, waarom maak e die beruchte accounts niet lokaal aan op de terminalserver?

Maarten.O schreef op 16 november 2003 @ 00:10:
[...]


FF lost van de vraag of je die gebruikers Admin rechten wilt geven, waarom maak e die beruchte accounts niet lokaal aan op de terminalserver?

Ja, want daarom hadden we domeinen, centrale user accounts etc. Dus laten we even lokaal iets aan gaan maken

luckyme_ schreef op 16 november 2003 @ 02:07:
[...]

Ja, want daarom hadden we domeinen, centrale user accounts etc. Dus laten we even lokaal iets aan gaan maken

Hey, hij gaat zover dat ie users voor een bepaalde applicatie Administrator rechten wil geven. Als je conventies aan je laars lapt, dan moet je het ook meteen goed doen .

Persoonlijk lijkt me dat nog steeds een betere optie dan ergens in je domein users aanmaken met Admin rechten. Kun je weer leuk dichtzetten met group policies, maar het risico dat je die een keer ergens vergeet is niet ondenkbaar. Als je die gevaarlijke users alleen maar op een lokale server hebt (of desnoods van die TS een apart domein maken met een enkelvoudige trust dat mensen van het andere domein op de TS mogen) dan beperkt je de potentiele schade die die accounts aan kunnen richten.

Zoek eerst eens uit waarom het pakket wel werkt onder administrators en niet onder users.

sysinternals heeft hier handige tools voor zoals: filemon en regmon.

Ik heb nog nooit een pakket gehad wat niet werkte als een user geen admin was.

er zit vast iets in de registry waarvoor je admin rechten nodig hebt, je zou eens de groep gebruikers change-rechten kunnen geven op de key h_key_local_machine\software. Dit loste bij ons een paar problemen op. De subkeys hierin kun je eventueel ook nog apart voorzien van rechten, dan is alles iets meer beveiligd

en het is heel gebruikelijk om lokaal gebruikers aan te maken op een terminal server

zomertje schreef op 18 november 2003 @ 12:30:
er zit vast iets in de registry waarvoor je admin rechten nodig hebt, je zou eens de groep gebruikers change-rechten kunnen geven op de key h_key_local_machine\software. Dit loste bij ons een paar problemen op. De subkeys hierin kun je eventueel ook nog apart voorzien van rechten, dan is alles iets meer beveiligd

en het is heel gebruikelijk om lokaal gebruikers aan te maken op een terminal server

Misschien in jou wereldje. Maar normaal gesproken worden er geen gebruikers lokaal aangemaakt. Tenminste hier in de rest van de wereld.

Maarten.O schreef op 16 november 2003 @ 10:41:
[...]


Hey, hij gaat zover dat ie users voor een bepaalde applicatie Administrator rechten wil geven. Als je conventies aan je laars lapt, dan moet je het ook meteen goed doen .

Persoonlijk lijkt me dat nog steeds een betere optie dan ergens in je domein users aanmaken met Admin rechten. Kun je weer leuk dichtzetten met group policies, maar het risico dat je die een keer ergens vergeet is niet ondenkbaar. Als je die gevaarlijke users alleen maar op een lokale server hebt (of desnoods van die TS een apart domein maken met een enkelvoudige trust dat mensen van het andere domein op de TS mogen) dan beperkt je de potentiele schade die die accounts aan kunnen richten.

als je domain accounts in de admingroup gooit van een memberserver, is er verder geen impact hoor... alleen op die ts server dan. hetzelfde dus met lokale adminaccounts!!!

Same probleem hier...

Memo
Gebruiker kan geen terminal service client
connectie maken zonder dat deze is toegevoegd
aan de lokale administrator groep.
Wijzig

AvOn schreef op 18 november 2003 @ 14:11:
Same probleem hier...


[...]

Is kwestie van log on locally goed zetten....

AvOn schreef op 18 november 2003 @ 14:11:
Same probleem hier...

[...]

Ik neem aan dat je Terminal server draait in Applicatie mode?

- Windows 2000 Terminal Server

- Windows 2000 client; Remote desktop client (versie 6.0.22 als ik me niet vergist).

Aanmelden op de meeste server werkt perfect, maar op de terminal server
gooit die de gebruiker gewoon weer terug... Verder nooit echt aandacht
aan besteed (volgens mij is het namelijk erg incidenteel). Maar het komt
er op neer dat een gebruiker lokaal admin moet zijn anders komt hij er niet in.

[ Voor 79% gewijzigd door avon op 21-11-2003 09:28 ]

AvOn schreef op 18 november 2003 @ 19:51:
Zal morgen even het complete verhaal posten, inclusief settings van zowel server als client kant.

Laten we het zo zeggen: Als andere gebruikers (met identieke rechten) wel kunnen inloggen op deze server dan hoef je het probleem niet te zoeken in de Application mode / Local logon settings

Jeroen_Tielen schreef op 18 november 2003 @ 13:00:
[...]


Misschien in jou wereldje. Maar normaal gesproken worden er geen gebruikers lokaal aangemaakt. Tenminste hier in de rest van de wereld.

Hoe werkt dat dan op n goede manier?

[ Voor 12% gewijzigd door zomertje op 21-11-2003 09:21 ]

Hoe bedoel je? Het is eigenlijk verre van standaard dat je op een TS lokaal users aanmaakt

Nu snap ik wel waarom jullie dat doen - maar ik denk dat dat bij jullie toch een uitzonderings situatie is.

Om dit soort problemen tegen te gaan is er de multiwin technology. (Van Citrix)
Deze wordt actief, op het moment dat je TS in application mode draait.

Deze zorgt er tevens voor dat netjes geinstalleerde apps (Via add remove programs) "multiuser" worden gemaakt..

Draait de Topicstarter de Terminal Server in app mode, en is de applicatie netjes via add remove programs geinstalleerd..?? (Kon ik evne niet vinden in het topic)

AvOn schreef op 18 november 2003 @ 19:51:
- Windows 2000 Terminal Server

- Windows 2000 client; Remote desktop client (versie 6.0.22 als ik me niet vergist).

Aanmelden op de meeste server werkt perfect, maar op de terminal server
gooit die de gebruiker gewoon weer terug... Verder nooit echt aandacht
aan besteed (volgens mij is het namelijk erg incidenteel). Maar het komt
er op neer dat een gebruiker lokaal admin moet zijn anders komt hij er niet in.

Wat bedoel je met 'gooit terug' ? Krijg je een 'local logon' ofzo foutmelding ?

Draait je server in applicatiemode ?

Zo niet, wat gebeurt er als je een gewone gebruiker toevoegt aan de 'permissions' tab van je RDP-protocol in Terminal Services Configuration ?