[win2k3]TS op een Active Directory machine - Netwerken

vrijdag 3 december 2004 08:34

Acties:

Verwijderd

Topicstarter

Hoi, ik ben met een kleine test bezig,
ik heb hier een Windows2003 server (standard) met daarop Terminal Server geïnstalleerd.
Nou ben was ik aan het proberen er ook de Active Directory op te zetten, maar kreeg de melding, aangezien hij als Terminal Server dient, dat ik dan security settings moet gaan veranderen, om alsnog een user op de terminal server te kunnen inloggen.
Ik heb vanalles geprobeerd (bij Active Directory, Users and Computers) om de aangemaakte gebruiker in Terminal Server te kunnen laten inloggen.
Dit heb ik als volgt gedaan:
Ik heb de properties van de user aangevraagd, en bij "Terminal Services Profile" een vinkje gezet bij "allow logon to terminal server".
Dit werk helaas niet; want als ik wil inloggen (vanaf een andere pc, die wél met administrator erop kan inloggen) krijg ik de volgende melding: "You do not have acces to logon to this session"... En als ik met administrator inlog, kom ik er wèl in.

Toen heb ik ook nog dit geprobeerd:
Gegaan naar Group Policy Object Editor; Windows Settings (onder Computer Configuration); Security Settings; Local Policies; User Rights Assignment; en dan bij "Allow log on through Terminal Services" de map "Users" toegevoegd, waarin dus ook de user staat, die ik wil laten inloggen via Terminal Services.
En het lukt dus nog niet om in te loggen met die user.

Weet iemand misschien wat ik verkeerd doe

, of wat ik vergeet?

Alvast bedankt

vrijdag 3 december 2004 08:44

Acties:

Verwijderd

Hoi,

Een soortgelijk probleem heb ik hier ook gehad,
Bij mij was het opgelost met een reboot van de server.
Ik had het namelijk in de default domain policy aangepast.
Ook zou je een refresh van je policy kunnen proberen.
Daar dacht ik bij mij pas aan toen ik al een reboot in gang had gezet.

vrijdag 3 december 2004 08:49

Acties:

Verwijderd

Topicstarter

hoi, wat bedoel je precies met refresh van policy?

vrijdag 3 december 2004 08:55

Acties:

Duinkonijn

Huh?

Verwijderd schreef op vrijdag 03 december 2004 @ 08:49:
hoi, wat bedoel je precies met refresh van policy?

gpupdate /force

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

vrijdag 3 december 2004 08:56

Acties:

Verwijderd

Topicstarter

bij uitvoeren, neem ik aan?

vrijdag 3 december 2004 09:00

Acties:

Grolsch

Verwijderd schreef op vrijdag 03 december 2004 @ 08:56:
bij uitvoeren, neem ik aan?

inderdaad in een dos schermpje

je kunt dmv gpresult bekijken of ook daadwerkelijk de policy is doorgevoerd.

PVOUPUT - 13.400WP - Twente

vrijdag 3 december 2004 09:01

Acties:

Verwijderd

Topicstarter

ik ga het meteen ff proberen

edit:
helaas, refreshen heeft niet geholpen...

ik ga de server nu even rebooten... zal wel ff duren

edit:
2 ook reboot heeft niet geholpen..
Ik vraag me toch écht af welke settings ik nog meer moet toepassen

[ Voor 97% gewijzigd door Verwijderd op 03-12-2004 09:09 ]

vrijdag 3 december 2004 09:08

Acties:

Grolsch

Verwijderd schreef op vrijdag 03 december 2004 @ 09:01:
ik ga het meteen ff proberen

edit:
helaas, refreshen heeft niet geholpen...
ik ga de server nu even rebooten... zal wel ff duren

hoe zit het met je rdp permissions dan?

PVOUPUT - 13.400WP - Twente

vrijdag 3 december 2004 09:09

Acties:

Duinkonijn

Huh?

je had volgens mij ook nog een groep remote desktop users... als je hem daar nou lid van maakt

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

vrijdag 3 december 2004 09:09

Acties:

Verwijderd

Topicstarter

Grolsch schreef op vrijdag 03 december 2004 @ 09:08:
[...]

hoe zit het met je rdp permissions dan?

waar vind ik die precies?

vrijdag 3 december 2004 09:19

Acties:

Grolsch

Verwijderd schreef op vrijdag 03 december 2004 @ 09:09:
[...]

waar vind ik die precies?

als je een kerel was geweest had ik gezegd gebruik google maar

op je server, start>program>administrative tools>terminal services configuration

dan met de rechtermuisknop op de RDP connection,en dan properties>security

althans, bij win2k, win2k3 zal daar niet veel van afwijken.

PVOUPUT - 13.400WP - Twente

vrijdag 3 december 2004 09:21

Acties:

Verwijderd

Topicstarter

$_/-\o_$ mijn vrouwelijke charmes

haha, iig thnx, ik zal ff kijke..

offtopic:
jaja, zie je nie vaak he, vrouw in de IT

edit:
het werkt het werkt het werkt !!!! $_/-\o_$ $_/-\o_$ $_/-\o_$
ik moest idd daarzo ff de permissions die groep toevoegen met die users

Nou ga ik lekker verder kloten met de group policies.. wil namelijk niet dat mijn gebruikers (nee ik deal niet in iets ofzo

) de server kunnen uitschakelen, maar daar ga ik ff zelf lekker mee expirimenteren

Iedereen heel erg bedankt, heb weer wat bijgeleerd (dat refreshen van de gp's)
THNX

[ Voor 64% gewijzigd door Verwijderd op 03-12-2004 09:25 ]

vrijdag 3 december 2004 09:53

Acties:

Grolsch

Verwijderd schreef op vrijdag 03 december 2004 @ 09:21:
$_/-\o_$ mijn vrouwelijke charmes
haha, iig thnx, ik zal ff kijke..

offtopic:
jaja, zie je nie vaak he, vrouw in de IT

edit:
het werkt het werkt het werkt !!!! $_/-\o_$ $_/-\o_$ $_/-\o_$
ik moest idd daarzo ff de permissions die groep toevoegen met die users
Nou ga ik lekker verder kloten met de group policies.. wil namelijk niet dat mijn gebruikers (nee ik deal niet in iets ofzo ) de server kunnen uitschakelen, maar daar ga ik ff zelf lekker mee expirimenteren Iedereen heel erg bedankt, heb weer wat bijgeleerd (dat refreshen van de gp's)
THNX

mooi dat het werkt.

vrouwen in de IT zijn schaars en die moeten we dan ook maar goed behandelen

Je kunt onder administrative tools>domaincontroller security policy>local policy's>user rights assignment het één en ander instellen, oa. het uitschakelen van je DC.

succes!

PVOUPUT - 13.400WP - Twente

vrijdag 3 december 2004 11:24

Acties:

Verwijderd

Topicstarter

help

via http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
heb ik een mooi tooltje gedownload; en heb ik volgens de howto uit de help een nieuwe gpo aangemaakt, en deze heb ik met de groep policy editor bewerkt (en ja, bij deze was het idd de groep die ik moest hebben)
maar als ik inlog (ná refresh van die policies) is alles nog normaal, oftewel die group policies lijken niet te zijn toegepast.

toch heb ik helemaal de howto gevolgd, maar het schijnt niet te werken.. wat doe ik nu weer fout

offtopic:
neeee, plz nie komen met "vrouwen en techniek";)
zie hier mijn pc maar eens: http://tweakzone.nl/specs/579

iig alweer bedankt

edit:
het eerste was al dat ik van de administrator (local computer ofzo) had veranderd, maar nu had ik een nieuwe aangemaakt, en de users toegevoegd..maar krijg het gevoel alsof ik voor jan *** zit te veranderen, omdat, als ik met een user inlog, er NIKS is

[ Voor 19% gewijzigd door Verwijderd op 03-12-2004 11:49 ]

vrijdag 3 december 2004 11:58

Acties:

Grolsch

Verwijderd schreef op vrijdag 03 december 2004 @ 11:24:
help
via http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
heb ik een mooi tooltje gedownload; en heb ik volgens de howto uit de help een nieuwe gpo aangemaakt, en deze heb ik met de groep policy editor bewerkt (en ja, bij deze was het idd de groep die ik moest hebben)
maar als ik inlog (ná refresh van die policies) is alles nog normaal, oftewel die group policies lijken niet te zijn toegepast.

toch heb ik helemaal de howto gevolgd, maar het schijnt niet te werken.. wat doe ik nu weer fout

offtopic:
neeee, plz nie komen met "vrouwen en techniek";)
zie hier mijn pc maar eens: http://tweakzone.nl/specs/579

iig alweer bedankt

edit:
het eerste was al dat ik van de administrator (local computer ofzo) had veranderd, maar nu had ik een nieuwe aangemaakt, en de users toegevoegd..maar krijg het gevoel alsof ik voor jan *** zit te veranderen, omdat, als ik met een user inlog, er NIKS is

dat kan van alles zijn, ik snap nog niet echt wat je nou precies geconfigureert hebt.
Kheb je net ff toegevoegd op MSN, maar die staat uit

PVOUPUT - 13.400WP - Twente

vrijdag 3 december 2004 12:03

Acties:

DaMoUsYs

ik heb het zelfde probleem gehad op een w2k3 machine

ik heb eerst TS er af gemikt en toen AD er weer opgezet, daarna TS weer geinstalleerd en alles werkte weer naar behoren.

Check dit en help mee!

vrijdag 3 december 2004 12:12

Acties:

Verwijderd

niet om het even, maar zou je de AD niet op een andere server wegzetten? (indien mogelijk)

zeker als het je intentie is om session directory te activeren. (die per se in een load balanced 'cluster' moet staan )

vrijdag 3 december 2004 12:48

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op vrijdag 03 december 2004 @ 12:12:
niet om het even, maar zou je de AD niet op een andere server wegzetten? (indien mogelijk)

nee, ik werk hier met maar 1 server momenteel, (anders moet ik continu van server naar server lopen, en ik mag niet aan de originele servers kloten

) het is ook een testsysteem, maar het moet mogelijk zijn.
ik kom via webmessenger wel ff online

edit:
ik probeer ff via deze online cursus ofzo: http://www.microsoft.com/...emos/sims/gpmc/viewer.htm

ik laat wel horen als lukt of niet lukt

edit:
2 nu werkt het wel, ik had de GPO op de verkeerde plaats aangemaakt

iedereen bedankt enzo

Wendy is weer blij

[ Voor 27% gewijzigd door Verwijderd op 03-12-2004 13:13 ]

vrijdag 3 december 2004 13:15

Acties:

zomertje

Barisax knorretje

Het is trouwens niet aan te bevelen om AD en TS op 1 systeem te zetten tenzij je TS alleen nodig hebt voor administratieve redenen (remote beheren is fijn). Is boven ook al genoemd, maar voor n test zou ik niet moeilijk doen inderdaad

PS. de groeten van n andere vrouw in de IT, en zorg dat je straks ook aan de echte servers mag zitten, das leuker

het ultieme jaargetijde.... | #!/usr/bin/girl | Art prints and fun

vrijdag 3 december 2004 13:18

Acties:

Verwijderd

Als het een server met dikke hardware is dan zou VMWARE wel een oplossing kunnen zijn

Voor de rest leuk dat er meer vrouwen in de IT te vinden zijn de laatste jaren. Merk het zeker wel aan het aantal vrouwelijke studentes op de opleidingen. Het wordt anders ook zo eentonig

vrijdag 3 december 2004 13:22

Acties:

Verwijderd

Topicstarter

zomertje schreef op vrijdag 03 december 2004 @ 13:15:
Het is trouwens niet aan te bevelen om AD en TS op 1 systeem te zetten tenzij je TS alleen nodig hebt voor administratieve redenen (remote beheren is fijn). Is boven ook al genoemd, maar voor n test zou ik niet moeilijk doen inderdaad

PS. de groeten van n andere vrouw in de IT, en zorg dat je straks ook aan de echte servers mag zitten, das leuker

na nee, dit is eerst me test server, die mag ik dalijk officieel gaan inrichten

offtopic:
over vrouwen schaarste in IT --> idd, 2x naar HCC beurs geweest, en beide keren keek iedereen me vreemd aan... vooral omdat ik ook om hardware kwam vrfagen waar ze zelf niks vanaf wisten

[ Voor 16% gewijzigd door Verwijderd op 03-12-2004 13:23 ]

vrijdag 3 december 2004 13:32

Acties:

DaRealRenzel

Overtuigd Dipsomaan

Op een AD Domain COntroller moet je een paar User Rights goed zetten om als user inetractief aan te kunnen loggen, Dit is t.o.v. NT4 en W2K aangepast om te voorkomen dat gewone gebruikers via een TS sessie op de DC kunnen komen.

Allereerst zou je het beste je TS op een separate Member Server kunnen inrichten, dit omdat je naast TS meestal ook apps op de TS gaat zetten, en dan kun je wat issues krijgen met rechten (bijv. een app die Admin Rechten van de gebruiker verlangt om te draaien - Gaat prima op een Member Server, maar dat wil je niet op een DC).

Om het toch werkend te krijgen kijk je op de DC in de Domain Controller Security Policy. Daar moeten je Terminal Server users de rechten hebben om lokaal aan te loggen, interactief aan te loggen e.d. Standaard staat op een DC de optie Allow Logon through Terminal Services op Not Defined, dus kunnen users niet via Terminal Services er bij.

Nothing is a problem once you've debugged the code

maandag 6 december 2004 08:21

Acties:

Verwijderd

Topicstarter

het beestje draait, en de ts + client werkt nu ook.
Nu ben ik lekker gaan "spelen" met de group policies, alleen ik kom aan 1 ding niet uit,
hoe hide ik de drives van de server, maar dan op de manier dat de administrator deze nog wèl ziet, en de users van de tc's niet?
ik was al gekomen bij "Devices: restric CD-ROM acces to locally logged-on users only" maar dat schijnt niet te werken

is er misschien een progje/tooltje/manier waarop ik dat kan hiden voor de users?

Alvast bedankt weer

maandag 6 december 2004 08:30

Acties:

Duinkonijn

Huh?

Verwijderd schreef op maandag 06 december 2004 @ 08:21:
het beestje draait, en de ts + client werkt nu ook.
Nu ben ik lekker gaan "spelen" met de group policies, alleen ik kom aan 1 ding niet uit,
hoe hide ik de drives van de server, maar dan op de manier dat de administrator deze nog wèl ziet, en de users van de tc's niet?
ik was al gekomen bij "Devices: restric CD-ROM acces to locally logged-on users only" maar dat schijnt niet te werken

is er misschien een progje/tooltje/manier waarop ik dat kan hiden voor de users?

Alvast bedankt weer

beste kan je je users van je administrator scheiden dmv OU`s,

voor de ou van gebruikers kan je dan een apparte policy maken b.v.

code:

Domainnaam
+computers
+users
+DC
-Bedrijfnaam
 -gebruikers
  -administratie
  -congierge
 -computers
  -Administratie
   -Kamer133
   -Kamer143

Zo kan je alles overzichtelijk opbouwen.

mooiste zou zijn als je je organigram van je bedrijf der in zou kunnen verwerken,

zo kan je stuk voor stuk rechten zetten

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

maandag 6 december 2004 08:32

Acties:

Verwijderd

Topicstarter

Duinkonijn schreef op maandag 06 december 2004 @ 08:30:
[...]

beste kan je je users van je administrator scheiden dmv OU`s,

voor de ou van gebruikers kan je dan een apparte policy maken b.v.
code:
1
...
Zo kan je alles overzichtelijk opbouwen.

mooiste zou zijn als je je organigram van je bedrijf der in zou kunnen verwerken,

o kan je stuk voor stuk rechten zetten

uuuu... heeft dit iets met mijn vraag te maken??

btw: users en administrator hebben al een aparte groep

edit:
ik ben iig al zo ver: users hebben geen toegang tot het diskettestation en cdrom speler van de server, maar het allerbelangrijkste is dat ze de partities/hdd's van de server niet kunnen zien.
Dit kan ik, helaas, nerges tusse de policies vinden ... en dit is toch wel het belangrijkste, ik wil namleijk niet dat iedere willekeurige user zooi op de server kan gaan zetten...

wat ook niet werkt: "Recovery console: allow floppy copy and acces to all drives and all folders" die had ik gedisabeld, maar die schijnt het dus ook niet te zijn

(en ja, heb netjes gpupdate /force gebruikt... ) weeeeeh

[ Voor 45% gewijzigd door Verwijderd op 06-12-2004 08:48 ]

maandag 6 december 2004 08:55

Acties:

Grolsch

Verwijderd schreef op maandag 06 december 2004 @ 08:32:
[...]

uuuu... heeft dit iets met mijn vraag te maken??

btw: users en administrator hebben al een aparte groep

edit:
ik ben iig al zo ver: users hebben geen toegang tot het diskettestation en cdrom speler van de server, maar het allerbelangrijkste is dat ze de partities/hdd's van de server niet kunnen zien.
Dit kan ik, helaas, nerges tusse de policies vinden ... en dit is toch wel het belangrijkste, ik wil namleijk niet dat iedere willekeurige user zooi op de server kan gaan zetten...

wat ook niet werkt: "Recovery console: allow floppy copy and acces to all drives and all folders" die had ik gedisabeld, maar die schijnt het dus ook niet te zijn (en ja, heb netjes gpupdate /force gebruikt... ) weeeeeh

wendy, heb je dit al eens doorgelezen:

[rml][ Windows 2003] Howto: Hide drives voor TS gebruikers[/rml]

PVOUPUT - 13.400WP - Twente

maandag 6 december 2004 09:07

Acties:

Verwijderd

Ik vind dit om heel eerlijk te zijn wel mooi geweest. Dit draadje is niet een soort personal helpdeskdraadje waarin je alle problemen die je tegenkomt maar lukraak kan posten.

Ga nou eerst zélf aan de slag met je probleem. Denk eerst zélf logisch na - Duinkonijns suggestie bijv. kan je in de toekomst een hoop werk schelen, dus wees wat meer open-minded voor dergelijke dingen en benader je problemen groots.

En of je nou vrouw bent of niet, het is de bedoeling dat je zelf ook van dergelijke opdrachten leert en dat doe je niet als anderen je constant blijven helpen. Dat heb je in dit topic en al een aantal keer hiervoor gedaan, ik raad je nu sterk aan eens te wachten met je volgende topic en het eens zonder te proberen.