Bei Windows 2003 kann generell nicht ein Terminal Server auf einem Domain Controller installiert werden. Wer dies dennoch will, nachfolgend die Anleitung.

Szenario

In einem KMU wird ein Windows Server 2003 angeschafft, der sowohl als Domänencontroller sowie auch als Terminalserver fungieren soll, da nur ein Computer für den Einsatz als Server zu Verfügung steht.

Vorteil: Es wird nur eine Hardware benötigt.
Nachteil: Domänenkontroller muss sich die Performance mit dem Terminalserver teilen.

Vorgaben

  • Eine ausgewählte Gruppe von Benutzern soll auf den Terminalserver zugreifen können, jedoch mit starken Restriktionen. Auf den Arbeitsstationen aber soll sie normale Benutzerberechtigungen zugeteilt bekommen.
  • Die Restriktionen sollen nur auf dem Terminalserver angewendet werden, damit andere Computer nicht davon betroffen sind.
  • Den Domänenadministratoren ist es gestattet, mit voller Zugriffsberechtigungen auf dem Terminalserver zu arbeiten.

Benennung

In der hier gezeigten Lösung wurden folgende Namen definiert:

  • Domäne: experiment.ch
  • Domänencontroller: EXPERIMENT

Mögliche Konfiguration

Es wird eine globale Gruppe „Terminal Server Users“ erstellt, der alle Benutzer angehören, welche auf den Terminalserver zugreifen müssen. Wo in der Domäne sich diese Gruppe befindet kann nach belieben festgelegt werden.

In den lokalen Richtlinien des Terminalserver Computers wird der Gruppe die Berechtigung für das „Anmelden über Terminaldienste zulassen“ erteilt.

Pfad: Richtlinien für Lokaler Computer/Computerkonfiguration/Windows-Einstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten

Ebenfalls bekommt die Gruppe Benutzerzugriff auf die Terminalserververbindung in der Terminalserverkonfiguration.

Die Benutzer der Gruppe „Terminal Server Users“ sollten nun bereits auf den Terminalserver zugreifen können, noch aber ohne Restriktionen.

Auf die Organisationseinheit „Domain Controllers“, in der sich das Computerobjekt des Domänenkontroller befindet, wird eine neue Gruppenrichtlinie angewendet.

policies

Zentral bei dieser Gruppenrichtlinie ist der Loopbackverarbeitungsmodus. Dieser bewirkt, dass nicht die Benutzereinstellungen des Benutzers, sondern diejenigen dieser Gruppenrichtlinie angewendet werden, wenn sich ein Benutzer an einem Computer dieser Organisationseinheit anmeldet.

Pfad: Terminal Server Users Policy/Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien

Weiter können anschliessend die Restriktionen unter der Benutzerkonfiguration eingestellt werden.

Achtung: Wird die Gruppenrichtlinie nun so eingesetzt, würden auch die Domänenadministratoren eingeschränkt werden, was meist nicht erwünscht ist. Deswegen müssen noch Berechtigungen auf die Gruppenrichtlinien vergeben werden.

In den Sicherheitseigenschaften sollten folgende Anpassungen vorgenommen werden:

  • Gruppe „Authentifizierte Benutzer“ entfernen
  • Der Gruppe „Domänen-Admins“ explizit die Gruppenrichtlinienübernahme verweigern
  • Die Gruppe „Terminal Server Users“ hinzufügen mit Lese- und Gruppenrichtlinienübernahme Berechtigung
  • Computerobjekt des Terminalservers hinzufügen mit Lese- und Gruppenrichtlinienübernahme Berechtigung

Die Gruppe „Authentifizierte Benutzer“ ist eigentlich ein Sicherheitsprinzipal, wird somit vom System verwaltet und kann nicht ohne Weiteres verändert werden. Auch können die dazugehörigen Benutzer nicht direkt aufgelistet oder beeinflusst werden.

seq_tsusers

Begründung für die Sicherheitseinstellung

Würde die Gruppe „Authentifizierte Benutzer“ nicht entfernt werden, gälte die Gruppenrichtlinie für alle Objekte, die sich an der Domäne erfolgreich angemeldet haben. Das heisst nicht nur für sämtliche Benutzer, sondern auch für alle Computer in dieser Organisationseinheit (Domain Controllers). Ist dies gewünscht, muss man bei der Gruppe „Domänen-Admins“ die Gruppenrichtlinienübernahme verweigern, damit der Administrator sich nicht selbst einschränkt. Will man aber die Gruppenrichtlinie nur explizit auf die „Terminal Server Users“ anwenden, muss die Gruppe „Authentifizierte Benutzer“ entfernt werden. Implizit entfernt man so auch das Computerobjekt des Domänenkontrollers. Darum muss der Computer „EXPERIMENT“ wieder für das Lesen und die Gruppenrichtlinienübernahme berechtig werden, da sonst die Richtlinie mangels Zugriffsberechtigung herausgefiltert wird, obwohl die Benutzergruppe „Terminal Server Users“ die benötigten Berechtigungen hätte. So kann man auch klar steuern auf welchem Computern die Gruppenrichtlinie gilt.

Nützliche Tools

Damit Änderungen an den Richtlinien sofort wirken, kann man den Befehl gpupdate /force in der Shell ausführen.

Bei komplexeren Domänenstrukturen oder Richtlinienhierarchien ist das Tool gpresult nicht weg zu denken. Dort kann man anzeigen lassen welche Gruppenrichtlinien bei einem Benutzer auf einem bestimmten Computer angewandt und welche gefiltert werden.

Syntax:

gpresult /u Benutzername /s Computername

Copyright

C. Jud. (2007, Nov.) Terminal Server auf einem Domain Controller.
Available: http://aboutinformationtechnologies.blogspot.com

 

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert