Toon posts:

Terminal Service probleem

Pagina: 1
Acties:

Verwijderd

Topicstarter
netwerk:
Een netwerk van 40 pc's. OS Windows 2000 server, werkstations.

Situatie:
Binnen net netwerk maken wij gebruik van Terminal Service. De programmatuur vereist dat de gebruiker lokaal administrator rechten heeft. Er kan dus een sessie worden gemaakt vanaf een werkstation op de server zonder problemen. Per software pakket hebben wij een account aangemaakt binnen 2000 met dezelfde naam, waarmee weer wordt ingelofd vanaf een werkstation op TS.

Probleem:

Nu kan er wel leuk worden ingelogd onder bepaalde accounts om software op te starten, alleen wanneer er nu op een werkstation wordt ingelogd op het netwerk met het account van een sofwarepakket hebben ze op het netwerk volledige rechten op de server, en dat lijkt mij niet verstandig ;). Wat kan ik hier aan doen? ik heb het liefst dat het helemaal niet mogelijk is om met die TS accounts lokaal te kunnen inloggen. Hoe kan ik dit realiseren?

Alvast bedankt,

  • paulhekje
  • Registratie: Maart 2001
  • Laatst online: 18:34
1. zorgen dat de gebruiker geen administrator is
2. uitzoeken waar de gebruiker exact schrijfrechten nodig heeft op filesystem en registry (gebruik tools als filemon en regmon)
3. pas applicatie zoveel mogelijk aan door paden te wijzigen waar geschreven moet worden, bijvoorbeeld door aanpassing environment variabelen van de applicatie
4. zet exact de rechten die nodig zijn, ook in de registry met regedt32.

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|


Verwijderd

Topicstarter
ok maar als ik dit moet doen voor op zn minst 10 pakketten ben ik nogal veel tijd kwijt. Is er niet een mogelijkheid dat ik een bepaalde instelling kan doen dat er alleen via TS kan worden ingelogd en niet meer via het TS account op een werkstation?

  • SPee
  • Registratie: Oktober 2001
  • Laatst online: 15:46
Kun je bij je user manager niet instellen op welke netwerkstations hij maar mag inloggen :?
Onder NT4 kon dat in ieder geval wel.

let the past be the past.


  • [ash]
  • Registratie: Februari 2002
  • Laatst online: 05-04-2025

[ash]

Cookies :9

Volgens mij heeft een user _geen_ admin rechten nodig op de terminal server, maar 'logon locally' rechten.

En waarom per software, één account, de gebruikers kunnen toch gewoon met hun standaard account aanloggen op de TS. Geef de gebruikers een aparte TS-profiel waarbij er shotcut's op de desktop staan naar die applicaties die ze nodig hebben.

Verwijderd

Je kan via Group Policy het bureaublad helemaal afschermen.

http://support.microsoft....8/2/95.ASP&NoWebContent=1

Op deze manier kunnen de gebruikers niets meer, ondanks de Admin rechten.

  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 17:25
[ash] schreef op 12 november 2003 @ 10:31:
Volgens mij heeft een user _geen_ admin rechten nodig op de terminal server, maar 'logon locally' rechten.

En waarom per software, één account, de gebruikers kunnen toch gewoon met hun standaard account aanloggen op de TS. Geef de gebruikers een aparte TS-profiel waarbij er shotcut's op de desktop staan naar die applicaties die ze nodig hebben.
ash heeft gelijk.

Gebruikers NOOIT administrators maken, en al helemaal niet op een Terminal Server.

Je moet ze het recht logon localy geven

dat doe je als volgt,

login op de TS ga naar start>programs>administrative tools>domain conroller security policy

daar ga je naar security settings, local settings, daar staat bij het logon localy recht


hier voeg je de group "TS gebruikers" toe.

Iedereen die in moet loggen op de TS zet je in die group

voor de rest alles dicht timmeren met policy's zoals hierboven beschreven.

Als bepaalde pakketten niet werken als normale user zijn is het een k*t pakket, vrijwel alles werkt als normale user zijnde

PVOUPUT - 13.400WP - Twente


Verwijderd

Grolsch schreef op 12 november 2003 @ 13:16:
[...]

Als bepaalde pakketten niet werken als normale user zijn is het een k*t pakket, vrijwel alles werkt als normale user zijnde
Ik kan alleen maar achter de eerder gegven tips staan.

Mbt de opmerking van Grosch; ooit moest de ABN telebanking software door de user zelf (dus met adminrechten) geinstalleerd worden. Hierna kon je de rechten wel weer afnemen en het pakketje werkt dan normaal. Zulke *censuur* software bestaat dus.... (helaas)

  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 17:25
Verwijderd schreef op 12 november 2003 @ 13:23:
[...]


Ik kan alleen maar achter de eerder gegven tips staan.

Mbt de opmerking van Grosch; ooit moest de ABN telebanking software door de user zelf (dus met adminrechten) geinstalleerd worden. Hierna kon je de rechten wel weer afnemen en het pakketje werkt dan normaal. Zulke *censuur* software bestaat dus.... (helaas)
voor het installeren van software heb je altijd administrator rechten nodig.

JE gaat echt NIET willen dat users software op je terminal server bak gaan installeren. Phiew wat een rare gedachten, gebruikers die kazaa installeren op je terminal server :( de horror film van elke sysadmin)

PVOUPUT - 13.400WP - Twente


Verwijderd

Grolsch schreef op 12 november 2003 @ 13:42:
[...]


voor het installeren van software heb je altijd administrator rechten nodig.

JE gaat echt NIET willen dat users software op je terminal server bak gaan installeren. Phiew wat een rare gedachten, gebruikers die kazaa installeren op je terminal server :( de horror film van elke sysadmin)
Yep; je hebt helemaal gelijk !! het vervelende van de software die ik noemde was dat er tevens aanpassingen in de *user profile* werden gedaan tijdens de installatie....

En om ondubbelzinnigheden te voorkomen; Ik vind dat iedere beheerder die gebruikers Admin rechten geeft moet of heeeel erg sterk in de schoenen moet staan (...) of een ander vak moet kiezen.....

  • vso
  • Registratie: Augustus 2001
  • Niet online

vso

tja...

je kan doormiddel van net user of net use commando in de command prompt een user lokaal Power user maken. d.w. z dat hij wel de rechten heeft op hardware enzo maar niet op netwerk settings dus geen ADMIN rechten

misschien handige tip ? ze kunnen wel software installeren :(

trouwens als je software moet installeren als gebruiker zijnde kan je ook install rechten "tijdelijk" wijzigen door ze tijdens de installatie "elevated" rechten te geven en die zijn dus weer weg nadat de gebruiker de app geinstalleerd heeft .. kost script werk maar dan heb je ook wat :p

het mooiste is uni-forme bakken 1 image en ze power user rechten geven lokaal .. ze kunnen niks aan het netwerk of admin zaken doen ... ze kunnen wel software installeren ... verklooten ze de PC dan gooi je de de standaard image terug en mogen ze zelf weer van voor af aan beginnen ...

hoezo luie admin }) _/-\o_ o ja laat ze wel verplicht een virus scanner enzo meedraaien .. ;) en ze moeten zelf verantwoordelijk blijven voor de geinstalleerde software ... zeg dat ze niks lokaal op mogen slaan doen ze dat toch dan heb jij het recht om gewoon de bak te re-imagen :)
VSO zou de BOFH uithangen ... lekker scannen en ervoor zorgen dat met een druk op de knop die bak ge-re-imaged zou zijn :z :Y)

Tja vanalles


  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 17:25
vso schreef op 12 november 2003 @ 14:25:
blahblah blah heel verhaal :)
[...]
volgens mij mis jij de topic titel, het gaat hier om een Terminal Server, en dan is het helemaal niet grappig dat ze ghost image's terug gaan schieten.

PVOUPUT - 13.400WP - Twente


Verwijderd

Topicstarter
voor de duidelijkheid:

Een domain user logt zich in. Vervolgens staan er aantal snelkoppelingen van terminal server. Wanneer er op een snelkoppeling wordt gedrukt, wordt er verbinding gemaakt met Ts en wordt programma onder admin rechten gestart(kan neit anders, oude software). Ik heb in de environment aangegeven onder 2000 dat automatisch programma wordt gestart wanneer er ingelogd wordt. Dus snelkoppeling wordt aangeklikt programma start, vervolgens als ze klaar zijn met gebruik wordt er afgesloten, terminal server sessie stopt automatisch. En de gebruiker zit weer in de oude omgeving, dus ze kunnen nix op de server instellingen of aanpassen.

  • Bierkameel
  • Registratie: December 2000
  • Niet online

Bierkameel

I use Debian btw

Hmm is dit nou proffesional?

Zet op de policy op de server dat ze via TS in mogen loggen als admin en ff bij Deny Logon Locally de gebruikers neerzetten die het niet mogen.

Alle proemn in n drek


  • SED
  • Registratie: Januari 2000
  • Laatst online: 23-12-2025

SED

Verwijderd schreef op 13 november 2003 @ 10:03:
voor de duidelijkheid:

Een domain user logt zich in. Vervolgens staan er aantal snelkoppelingen van terminal server. Wanneer er op een snelkoppeling wordt gedrukt, wordt er verbinding gemaakt met Ts en wordt programma onder admin rechten gestart(kan neit anders, oude software). Ik heb in de environment aangegeven onder 2000 dat automatisch programma wordt gestart wanneer er ingelogd wordt. Dus snelkoppeling wordt aangeklikt programma start, vervolgens als ze klaar zijn met gebruik wordt er afgesloten, terminal server sessie stopt automatisch. En de gebruiker zit weer in de oude omgeving, dus ze kunnen nix op de server instellingen of aanpassen.
Ik ben eigenlij wel benieuwd wel pakket vereist dat ze admin rechten hebben. Meesatal werkt het door de gebruiker admin te maken. Alle ini files en dergleijke aan te laten maken en ze dan weer gebruiker maken. Daarnaast zijn er diverse tools om vast te stellen wat ze allemaal moeten kunnen inclusief stukken registry beschrijven. Dit lijkt me iets om eens een dagje voor uit te trekken.

In je verhaal lijkt het erop alsof je doelt op het feit dat de gebruiker Fysiek achter de server kunnen gaan zitten. Dus niet zozeer via een TS sessie, waarbij ze feitelijk ook lokaal werken maar echt achter de server. Klopt dat beeld?

Copyright and left by SED...


  • Maarten @klet.st
  • Registratie: Oktober 2001
  • Laatst online: 13-02 23:00
Verwijderd schreef op 13 november 2003 @ 10:03:
voor de duidelijkheid:

Een domain user logt zich in. Vervolgens staan er aantal snelkoppelingen van terminal server. Wanneer er op een snelkoppeling wordt gedrukt, wordt er verbinding gemaakt met Ts en wordt programma onder admin rechten gestart(kan neit anders, oude software). Ik heb in de environment aangegeven onder 2000 dat automatisch programma wordt gestart wanneer er ingelogd wordt. Dus snelkoppeling wordt aangeklikt programma start, vervolgens als ze klaar zijn met gebruik wordt er afgesloten, terminal server sessie stopt automatisch. En de gebruiker zit weer in de oude omgeving, dus ze kunnen nix op de server instellingen of aanpassen.
FF lost van de vraag of je die gebruikers Admin rechten wilt geven, waarom maak e die beruchte accounts niet lokaal aan op de terminalserver?

  • luckyme_
  • Registratie: Mei 2000
  • Niet online
Maarten.O schreef op 16 november 2003 @ 00:10:
[...]


FF lost van de vraag of je die gebruikers Admin rechten wilt geven, waarom maak e die beruchte accounts niet lokaal aan op de terminalserver?
Ja, want daarom hadden we domeinen, centrale user accounts etc. Dus laten we even lokaal iets aan gaan maken 8)7

  • Maarten @klet.st
  • Registratie: Oktober 2001
  • Laatst online: 13-02 23:00
luckyme_ schreef op 16 november 2003 @ 02:07:
[...]

Ja, want daarom hadden we domeinen, centrale user accounts etc. Dus laten we even lokaal iets aan gaan maken 8)7
Hey, hij gaat zover dat ie users voor een bepaalde applicatie Administrator rechten wil geven. Als je conventies aan je laars lapt, dan moet je het ook meteen goed doen >:) .

Persoonlijk lijkt me dat nog steeds een betere optie dan ergens in je domein users aanmaken met Admin rechten. Kun je weer leuk dichtzetten met group policies, maar het risico dat je die een keer ergens vergeet is niet ondenkbaar. Als je die gevaarlijke users alleen maar op een lokale server hebt (of desnoods van die TS een apart domein maken met een enkelvoudige trust dat mensen van het andere domein op de TS mogen) dan beperkt je de potentiele schade die die accounts aan kunnen richten.

  • Tylen
  • Registratie: September 2000
  • Laatst online: 19:02

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Zoek eerst eens uit waarom het pakket wel werkt onder administrators en niet onder users.

sysinternals heeft hier handige tools voor zoals: filemon en regmon.

Ik heb nog nooit een pakket gehad wat niet werkte als een user geen admin was.

“Choose a job you love, and you will never have to work a day in your life.”


  • zomertje
  • Registratie: Januari 2000
  • Laatst online: 17-02 12:22

zomertje

Barisax knorretje

er zit vast iets in de registry waarvoor je admin rechten nodig hebt, je zou eens de groep gebruikers change-rechten kunnen geven op de key h_key_local_machine\software. Dit loste bij ons een paar problemen op. De subkeys hierin kun je eventueel ook nog apart voorzien van rechten, dan is alles iets meer beveiligd

en het is heel gebruikelijk om lokaal gebruikers aan te maken op een terminal server

het ultieme jaargetijde.... | #!/usr/bin/girl | Art prints and fun


  • Tylen
  • Registratie: September 2000
  • Laatst online: 19:02

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

zomertje schreef op 18 november 2003 @ 12:30:
er zit vast iets in de registry waarvoor je admin rechten nodig hebt, je zou eens de groep gebruikers change-rechten kunnen geven op de key h_key_local_machine\software. Dit loste bij ons een paar problemen op. De subkeys hierin kun je eventueel ook nog apart voorzien van rechten, dan is alles iets meer beveiligd

en het is heel gebruikelijk om lokaal gebruikers aan te maken op een terminal server
Misschien in jou wereldje. Maar normaal gesproken worden er geen gebruikers lokaal aangemaakt. Tenminste hier in de rest van de wereld.

“Choose a job you love, and you will never have to work a day in your life.”


Verwijderd

Maarten.O schreef op 16 november 2003 @ 10:41:
[...]


Hey, hij gaat zover dat ie users voor een bepaalde applicatie Administrator rechten wil geven. Als je conventies aan je laars lapt, dan moet je het ook meteen goed doen >:) .

Persoonlijk lijkt me dat nog steeds een betere optie dan ergens in je domein users aanmaken met Admin rechten. Kun je weer leuk dichtzetten met group policies, maar het risico dat je die een keer ergens vergeet is niet ondenkbaar. Als je die gevaarlijke users alleen maar op een lokale server hebt (of desnoods van die TS een apart domein maken met een enkelvoudige trust dat mensen van het andere domein op de TS mogen) dan beperkt je de potentiele schade die die accounts aan kunnen richten.
als je domain accounts in de admingroup gooit van een memberserver, is er verder geen impact hoor... alleen op die ts server dan. hetzelfde dus met lokale adminaccounts!!!

  • avon
  • Registratie: November 2002
  • Laatst online: 27-06-2025
Same probleem hier...
Memo
Gebruiker kan geen terminal service client
connectie maken zonder dat deze is toegevoegd
aan de lokale administrator groep.
Wijzig

Gratis webwinkel beginnen? Met Onetoshop.com kunt u direct beginnen!


  • Tylen
  • Registratie: September 2000
  • Laatst online: 19:02

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

AvOn schreef op 18 november 2003 @ 14:11:
Same probleem hier...


[...]
Is kwestie van log on locally goed zetten....

“Choose a job you love, and you will never have to work a day in your life.”


Verwijderd

AvOn schreef op 18 november 2003 @ 14:11:
Same probleem hier...

[...]
Ik neem aan dat je Terminal server draait in Applicatie mode?

  • avon
  • Registratie: November 2002
  • Laatst online: 27-06-2025
- Windows 2000 Terminal Server

- Windows 2000 client; Remote desktop client (versie 6.0.22 als ik me niet vergist).

Aanmelden op de meeste server werkt perfect, maar op de terminal server
gooit die de gebruiker gewoon weer terug... Verder nooit echt aandacht
aan besteed (volgens mij is het namelijk erg incidenteel). Maar het komt
er op neer dat een gebruiker lokaal admin moet zijn anders komt hij er niet in.

[ Voor 79% gewijzigd door avon op 21-11-2003 09:28 ]

Gratis webwinkel beginnen? Met Onetoshop.com kunt u direct beginnen!


Verwijderd

AvOn schreef op 18 november 2003 @ 19:51:
Zal morgen even het complete verhaal posten, inclusief settings van zowel server als client kant.
Laten we het zo zeggen: Als andere gebruikers (met identieke rechten) wel kunnen inloggen op deze server dan hoef je het probleem niet te zoeken in de Application mode / Local logon settings :)

  • zomertje
  • Registratie: Januari 2000
  • Laatst online: 17-02 12:22

zomertje

Barisax knorretje

Jeroen_Tielen schreef op 18 november 2003 @ 13:00:
[...]


Misschien in jou wereldje. Maar normaal gesproken worden er geen gebruikers lokaal aangemaakt. Tenminste hier in de rest van de wereld.
Hoe werkt dat dan op n goede manier?

[ Voor 12% gewijzigd door zomertje op 21-11-2003 09:21 ]

het ultieme jaargetijde.... | #!/usr/bin/girl | Art prints and fun


  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Hoe bedoel je? Het is eigenlijk verre van standaard dat je op een TS lokaal users aanmaakt :)

Nu snap ik wel waarom jullie dat doen - maar ik denk dat dat bij jullie toch een uitzonderings situatie is.

  • Equator
  • Registratie: April 2001
  • Laatst online: 16:25

Equator

Crew Council

#whisky #barista

Om dit soort problemen tegen te gaan is er de multiwin technology. (Van Citrix)
Deze wordt actief, op het moment dat je TS in application mode draait.

Deze zorgt er tevens voor dat netjes geinstalleerde apps (Via add remove programs) "multiuser" worden gemaakt..

Draait de Topicstarter de Terminal Server in app mode, en is de applicatie netjes via add remove programs geinstalleerd..?? (Kon ik evne niet vinden in het topic)

  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 11:06
AvOn schreef op 18 november 2003 @ 19:51:
- Windows 2000 Terminal Server

- Windows 2000 client; Remote desktop client (versie 6.0.22 als ik me niet vergist).

Aanmelden op de meeste server werkt perfect, maar op de terminal server
gooit die de gebruiker gewoon weer terug... Verder nooit echt aandacht
aan besteed (volgens mij is het namelijk erg incidenteel). Maar het komt
er op neer dat een gebruiker lokaal admin moet zijn anders komt hij er niet in.
Wat bedoel je met 'gooit terug' ? Krijg je een 'local logon' ofzo foutmelding ?

Draait je server in applicatiemode ?

Zo niet, wat gebeurt er als je een gewone gebruiker toevoegt aan de 'permissions' tab van je RDP-protocol in Terminal Services Configuration ?

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

Pagina: 1