Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort zu diesem Buch
Inhalt des Buchs
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was überhaupt ist .NET?
6 Installation
7 Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint (Windows SharePoint Services, WSS)
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
24 Windows 7 und Windows Server 2008 R2
Stichwort

Download:
- ZIP, ca. 104 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Windows Server 2008 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2008 R2

Windows Server 2008 R2
geb., 1.410 S., 59,90 Euro
Galileo Computing
ISBN 978-3-8362-1528-2
Pfeil 19 Remotedesktopdienste (Terminaldienste)
Pfeil 19.1 Die Funktionen aus 10.000 m Höhe
Pfeil 19.2 Installation
Pfeil 19.3 Feature »Desktopdarstellung« installieren
Pfeil 19.4 Benutzerzugriff
Pfeil 19.5 Installation von Anwendungen
Pfeil 19.6 Desktop bereitstellen
Pfeil 19.7 RemoteApp-Programme
Pfeil 19.8 Administration und Verwaltung
Pfeil 19.8.1 Konfiguration des Remotedesktop-Sitzungshosts
Pfeil 19.8.2 Benutzeradministration
Pfeil 19.8.3 Remotedesktopdienste-Manager
Pfeil 19.8.4 Loopback-Verarbeitung
Pfeil 19.8.5 Remotedesktopdienste-Lizenzierungung
Pfeil 19.9 Drucken, Easy Print
Pfeil 19.9.1 Installation von Easy Print
Pfeil 19.9.2 Kurze Überprüfung
Pfeil 19.9.3 Gruppenrichtlinien
Pfeil 19.10 Web Access für Remotedesktop
Pfeil 19.11 RemoteApp- und Desktopverbindungen mit Windows 7
Pfeil 19.12 Remotedesktopdienste-Farmen mit Netzwerklastenausgleich und Remotedesktopdienste-Verbindungsbroker
Pfeil 19.12.1 Installation
Pfeil 19.12.2 Überwachen
Pfeil 19.12.3 RemoteApp-Programme »umpaketieren«
Pfeil 19.13 Remotedesktopdienste-Farmen mit DNS Round Robin bzw. Verbindungsbroker
Pfeil 19.14 Remotedesktopgateway
Pfeil 19.14.1 Anwendung und Architektur
Pfeil 19.14.2 Installation
Pfeil 19.14.3 Konfiguration
Pfeil 19.14.4 Clientkonfiguration und Verbindungsaufbau
Pfeil 19.14.5 Überwachung
Pfeil 19.14.6 NAP und das Remotedesktopgateway
Pfeil 19.15 Host für Remotedesktopvirtualisierung
Pfeil 19.15.1 Funktionsweise
Pfeil 19.15.2 Installation
Pfeil 19.15.3 Virtuelle Maschinen konfigurieren
Pfeil 19.15.4 Benutzer administrieren
Pfeil 19.15.5 Testen und verwenden
Pfeil 19.16 Schlussbemerkung


Galileo Computing - Zum Seitenanfang

19.4 Benutzerzugriff topZur vorigen Überschrift

Nach Abschluss der Installationsarbeiten sollten die Remotedesktopdienste nutzbar sein. Obgleich nun zwar noch keine Anwendungen installiert sind, macht eine erste Überprüfung Sinn. Zum Zugriff wird ein Client benötigt, der mithilfe des RDP-Protokolls (RDP – Remote Desktop) auf den Remotedesktop-Sitzungshost zugreift. Wie kommt der Client auf den PC?

  • Ab Windows Vista und Windows Server 2008 ist bereits die Version 6 bzw. 6.1 des Clients enthalten. Sie finden ihn unter dem Namen Remotedesktopverbindung (Abbildung 19.17). Der Name der ausführbaren Datei ist übrigens mstsc.exe.
  • Windows XP und Windows Server 2003 enthalten die Version 5 der Remotedesktopverbindung. Version 6.1 ist als Download im Internet (www.microsoft.com/downloads) erhältlich. Es gibt verschiedene Installationspakete für Windows XP oder Windows Server 2003, und zwar jeweils als 32- und 64-Bit–Version.
  • Für ältere Windows-Betriebssysteme stehen im Microsoft Download Center ebenfalls Clients zur Verfügung, allerdings nicht in der aktuellen Version 6 (d. h., eine Netzwerkauthentifizierung ist nicht möglich).
  • Thin Clients (wie beispielsweise die Geräte von Wyse oder Neoware) werden bereits mit »eingebautem« RDP-Client geliefert. Sie müssen allerdings darauf achten, dass es ThinClients gibt, die nicht Microsofts RDP-Protokoll, sondern nur Citrix’ ICA-Protokoll unterstützen.
  • Pocket-PC-Geräte mit Windows Mobile 5 werden im Allgemeinen mit einem Client für Remotedesktopverbindungen geliefert.
  • Es gibt mittlerweile übrigens auch für Geräte wie das iPhone einen RDP-Client – einfach im AppStore suchen …

Abbildung 19.17 Die Windows-Versionen ab XP enthalten den Remotedesktopclient; bei den älteren Versionen muss er nachinstalliert werden.

Der Installationsassistent erkundigt sich zwar bereits nach den Benutzern und Benutzergruppen, die Zugriff erhalten sollen (siehe Abbildung 19.7; wenn Sie dort aber keine Eingaben machen, gilt Folgendes: Verbindet sich ein Benutzer, der kein Administrator und kein Mitglied der lokalen Gruppe Remotedesktopbenutzer ist, mit dem Remotedesktop-Sitzungshost, wird die Fehlermeldung aus Abbildung 19.18 erscheinen. Der Grund ist leicht zu erkennen: Ein Nicht-Administrator darf sich grundsätzlich nicht interaktiv am Server anmelden – und auch ein Remotedesktop-Sitzungshost ist in letzter Konsequenz ein Server … Es muss also zunächst ein wenig Konfigurationsarbeit geleistet werden.

Abbildung 19.18 Damit ein Benutzer auf den Remotedesktop-Sitzungshost zugreifen kann, muss er direkt oder indirekt Mitglied der Gruppe »Remotedesktopbenutzer« sein.

Damit sich ein Anwender an einem Remotedesktop-Sitzungshost anmelden kann, brauchen Sie ihm zum Glück nicht das Recht zur interaktiven Anmeldung zu geben. Es genügt, wenn er mittelbar oder unmittelbar Mitglied der lokalen Gruppe Remotedesktopbenutzer des Remotedesktop-Sitzungshost ist. »Mittelbar« bedeutet in diesem Zusammenhang, dass es nicht notwendig ist, dass Sie jedes einzelne Benutzerkonto in dieser Gruppe eintragen. Bei vielen Benutzern und mehreren Remotedesktop-Sitzungshosts wäre das mehr als lästig. Stattdessen wählen Sie die übliche Vorgehensweise (Abbildung 19.19):

  • In der Domäne richten Sie eine Sicherheitsgruppe ein, beispielsweise mit dem Namen RD-Benutzer. (Der Name ist beliebig, könnte also auch aldf90428soed lauten, was aber lästig beim Wiederfinden ist.)
  • In dieser Sicherheitsgruppe tragen Sie alle Benutzer oder Gruppen, die auf Remotedesktopdienste zugreifen möchten, als Mitglied ein.
  • Diese Gruppe wird Mitglied der lokalen Gruppe Remotedesktopbenutzer auf allen Remotedesktop-Sitzungshosts.
  • Alternativ könnten auch alle Authentifizierten Benutzer, alle Domänen-Benutzer oder eine sonstige vordefinierte Gruppe Mitglied der lokalen Gruppe Remotedesktopbenutzer werden.

Wenn Sie nun nochmals testen, sollte der Benutzer Zugriff auf den Remotedesktop-Sitzungshost erhalten. Falls er eine zusätzliche Gruppenmitgliedschaft erhalten hat, muss er sich einmal ab- und wieder anmelden.

Abbildung 19.19 Es empfiehlt sich, eine Domänengruppe anzulegen, die dann Mitglied der lokalen Gruppe »Remotedesktopbenutzer« wird.

In Abbildung 19.20 sehen Sie, wie das Startmenü des über den Remotedesktop-Sitzungshost bereitgestellten Desktops aussieht. Sie erkennen, dass für einen »normalen« Benutzer (Nicht-Administrator) die Optionen zum Neustarten und Herunterfahren ausgeblendet sind. Es wäre ja auch eine ziemliche Katastrophe, wenn ein Benutzer versehentlich oder absichtlich den kompletten Remotedesktop-Sitzungshost herunterfahren könnte.

Abbildung 19.20 Startet der Benutzer eine Verbindung, erhält er den vollen Desktop. Ein »normaler« Anwender kann aber den Server nicht herunterfahren.

Hier noch ein wenig Hintergrundwissen:

Wer sich an dem Remotedesktop-Sitzungshost anmelden kann, wird vordergründig über die Mitgliedschaft in der Gruppe Remotedesktopverbindungen gesteuert – das hatten Sie ein wenig weiter vorn kennengelernt. Die Mitglieder der Gruppe sind aber nur deshalb berechtigt, weil in der Lokalen Sicherheitsrichtlinie (die Sie über die Verwaltung finden) definiert ist, dass sich Mitglieder der Gruppen Administratoren und Remotedesktopbenutzer an den Remotedesktopdiensten anmelden können (Abbildung 19.21).

Sie könnten also auch an dieser Stelle Benutzer und Gruppen hinzufügen. Wie immer gibt es Pro und Contra:

  • Die lokale Sicherheitsrichtlinie können Sie mittels Gruppenrichtlinien überschreiben. Wenn Sie zwanzig Remotedesktop-Sitzungshosts haben und bei allen eine Domänengruppe hinzufügen möchten, geht das mit einigen wenigen Mausklicks – sofern Ihre Remotedesktop-Sitzungshosts sich in einer OU befinden.
  • Die Gruppe Remotedesktopbenutzer muss trotzdem gepflegt werden, da über die dort vorhandenen Benutzer bzw. Gruppen die Zugriffsberechtigung für die Netzwerkverbindung zum Remotedesktop-Sitzungshost gesteuert wird.

Abbildung 19.21 Die Mitglieder der Gruppe »Remotedesktopbenutzer« können deshalb auf die Remotedesktopdienste zugreifen, weil sie in der lokalen Sicherheitsrichtlinie dazu berechtigt werden (das ist eine Standardeinstellung).

Ob der Benutzer auf die Menüeinträge zum Herunterfahren und Neustarten des Systems zugreifen kann oder ob diese (wie in Abbildung 19.20) deaktiviert sind, steuern Sie ebenfalls über eine Einstellung in der lokalen Sicherheitsrichtlinie. Es existiert eine Richtlinie namens Herunterfahren des Systems, in der standardmäßig die Gruppen Administratoren und Sicherungs-Operatoren eingetragen sind. Falls Sie in diese Gruppeneinen Benutzer (oder eine Gruppe) aufnehmen, werden dem Benutzer die Menüpunkte wieder zur Verfügung stehen.

Wenn man Remotedesktopdienste produktiv einsetzt, wird man den Benutzern über Gruppenrichtlinien drastisch mehr Rechte entziehen, als dies bei einer Standardinstallation der Fall ist. Dass Herunterfahren und Neustarten ausgeschlossen sind, verhindert »das Schlimmste«. In der Praxis wird man den Benutzern alle Optionen wegnehmen – vom Zugriff auf die Systemsteuerung über die Möglichkeit, die Kommandozeile zu starten, bis hin zum Einstelldialog für den Bildschirmschoner.

Die Gründe für das Sperren von Systemsteuerung und Kommandozeile leuchten sicherlich jedem ein, aber warum sollten Sie die Einstellung für den Bildschirmschoner sperren? Ganz einfach: Ein Bildschirmschoner konsumiert Prozessorzeit. Bei den hübschen OpenGL-Bildschirmschonern ist diese schon recht signifikant – denken Sie immer daran, dass auf dem Remotedesktop-Sitzungshost eventuell 40 Sitzungen laufen: Wenn 30 davon sich mit dem Bildschirmschoner beschäftigen, ist das mehr als nur spürbar.

Auch vor dem Hintergrund der Prozessorbelastung unkritisch erscheinende Bildschirmschoner wie Fotos (zeigt alle Grafikdateien eines Verzeichnisses) sind unbedingt zu vermeiden. Wenn der Remotedesktop-Sitzungshost sich damit beschäftigt, zig Megabyte große BMPs oder JPGs über das Netz zu transportieren und darzustellen, ist das eine unnötige Belastung.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Windows Server 2008 R2

Windows Server 2008 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Windows 7 für Administratoren






 Windows 7 für
 Administratoren


Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und
 Lösungen für
 Microsoft-Netzwerke


Zum Katalog: Office SharePoint Server 2007 und Windows SharePoint Services 3.0






 Office SharePoint
 Server 2007 und
 Windows SharePoint
 Services 3.0


Zum Katalog: Exchange Server 2007 und Office Communications Server 2007






 Exchange Server 2007
 und Office
 Communications
 Server 2007


Zum Katalog: Citrix XenApp 5






 Citrix XenApp 5


Zum Katalog: PC-Netzwerke






 PC-Netzwerke


Zum Katalog: VMware vSphere 4






 VMware vSphere 4


Zum Katalog: VMware vSphere 4 - Videotraining






 VMware vSphere 4
 - Videotraining


Zum Katalog: VirtualBox






 VirtualBox


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de