Können Windows-Benutzergruppen die Remotesteuerung über einen einzelnen Benutzer / Desktop / eine einzelne Umgebung durchführen?

0

Unter Ubuntu kann ich einen Server so einrichten, dass sich nur eine Gruppe von Benutzern anmelden und diese Gruppe suz. B. einen Webserver-Benutzer steuern kann. Kann ich diesen Datenfluss mit Windows, LDAP und Remotedesktop replizieren?

Mein Ziel ist es, dass meine Benutzergruppe beim RDP-Programmieren ihren eigenen Benutzernamen und ihr eigenes Kennwort verwendet, anstatt den Benutzernamen und das Kennwort dieses Computers zu kennen. Sie können jedoch nur einen Desktop anzeigen und verwalten. Ich denke, eine VNC-ähnliche Lösung mit LDAP-Authentifizierung würde funktionieren. Ich frage mich allerdings, ob Windows in Windows8 oder 2012 standardmäßig unterstützt wird.

Zur Verdeutlichung: Ich möchte nicht, dass die Benutzer, die sich anmelden, auf diesem Computer einen eigenen Desktop haben. Und ich möchte nicht, dass ein gemeinsamer Benutzer sein Passwort kennt. Das heißt, der gemeinsam genutzte Benutzer ist vorzugsweise passwortfrei, oder zumindest wird das gemeinsam genutzte Benutzerpasswort nicht zum Identitätswechsel benötigt.

ubershmekel
quelle
RDP funktioniert so nicht. Es ist nicht nur eine Bildschirmkopie der Konsole (oder einer Sitzung), wie es VNC tun würde. Warum müssen mehrere Benutzer denselben Desktop sehen? Welchen Vorteil empfindest du dadurch?
ƬᴇcƬᴇιᴇ007
"Einen Desktop gleichzeitig sehen und verwalten"? Oder möchten Sie grundsätzlich Aliase für einen Benutzer einrichten?
Jason
Der Vorteil ist, dass der gemeinsam genutzte Benutzer möglicherweise über einen lang andauernden Benutzeroberflächenprozess verfügt, mit dem viele Benutzer von Zeit zu Zeit (dh nicht gleichzeitig) interagieren können.
Ubershmekel
@ubershmekel Erstellen Sie einen neuen Benutzer für diesen lang andauernden Benutzeroberflächenprozess, melden Sie sich als neuer Benutzer an und starten Sie den Prozess, solange er nicht gleichzeitig aktiv sein muss. Von dort aus kann sich jeder mit dem Kennwort des neuen Benutzers anmelden und den Status anzeigen, solange es sich jeweils nur um eine Person handelt.
Darth Android
@DarthAndroid - Ich versuche, die Kenntnis eines Passworts zu vermeiden. Würden Sie beispielsweise die Passwörter für jeden freigegebenen Benutzer jedes Mal ändern, wenn eine Person das Team verlässt? Die Idee ist, stattdessen die Berechtigungen des nicht freigegebenen Benutzers zu widerrufen.
Ubershmekel

Antworten:

0

Ich denke, Sie könnten so etwas wie das bekommen, was Sie wollen, indem Sie Remote-Desktop auf einen Server. Möglich ist die Verwendung der in die Fernsteuerungsfunktion eingebauten Terminalserver. Wenn Sie es möglicherweise so umkonfigurieren, dass der zu steuernde Benutzer keine Frage bekommt, ob die Fernbedienung in Ordnung ist.

Es ist vielleicht nicht genau das, was Sie wollen, aber ich denke, es ist das Beste, was Sie bekommen können.

Als Administrator eines Terminalservers können Sie andere verbundene Benutzer fernsteuern. Bei der Standardeinstellung wird auf dem Bildschirm des Benutzers, der gesteuert wird, eine Frage angezeigt, ob der Benutzer möchte, dass der Administrator seine Sitzung fernsteuern kann. Wenn der Benutzer "Ja" sagt, können beide den gleichen Bildschirm sehen.

Sie können diese Frage deaktivieren, es ist Konfigurationsoption sowohl im RDP-Client als auch auf der RDP-Verbindung auf dem Server.

Das Problem ist, dass Sie nur verbundene Benutzer fernsteuern können. Wenn die Verbindung zur Sitzung getrennt ist, können Sie stattdessen nur die Option "Verbinden" verwenden, um die Sitzung zu übernehmen. Dazu müssen Sie jedoch das Kennwort des Benutzers kennen.

Ich gehe auch davon aus, dass Sie der Gruppe der "semi-admin" Benutzer keine lokale Administratorberechtigung auf dem Server erteilen möchten. Daher müssen Sie höchstwahrscheinlich die Sicherheitseinstellungen für die RDP-Verbindung ändern und zusätzlich zu der lokalen Standardgruppe eine weitere Gruppe als Vollzugriff hinzufügen Admin-Gruppe.

Informationen zum Festlegen von RDP-Berechtigungen finden Sie unter Konfigurieren von Berechtigungen für Remotedesktopdienste- Verbindungen

user3973227
quelle
Dies ist einer Lösung sehr nahe. Es würde mir eigentlich nichts ausmachen, wenn die "semi admins" voll mit Admins sind. Die Möglichkeit, Administratoren möglicherweise zu widerrufen, ohne die Kennwörter zu ändern, scheint jedoch noch zu fehlen.
Ubershmekel
Um die Fähigkeit eines "Semi-Administrators" zu entfernen, auf die gemeinsam genutzte Sitzung zuzugreifen, müssten Sie die erteilten Berechtigungen widerrufen, die ihre Fähigkeit zur Fernsteuerung anderer Sitzungen steuern. Aber diese ganze "Lösung" ist ein bisschen hacken und nicht etwas, das ich empfehlen würde
user3973227