Sie stellen fest, dass sich das Kontrollkästchen "Diese Benutzerberechtigung für die Anmeldung bei einem Remotedesktop-Sitzungshostserver verweigern" in Windows Server 2003 und Windows Server 2008 anders verhält.

Dieser Artikel enthält Hilfe zum Beheben eines Problems, bei dem sich die Benutzerberechtigungen für die Anmeldung bei einem Remotedesktop-Sitzungshostserver-Feature in verschiedenen Versionen von Windows Server unterschiedlich verhalten.

Ursprüngliche KB-Nummer: 2258492

Symptome

Möglicherweise stellen Sie fest, dass sich das Verhalten des Benutzerberechtigungen für die Anmeldung bei einem Remotedesktopsitzungshostserver zwischen Windows Server 2003 und Windows Server 2008 unterscheidet. In Windows Server 2003 wird diese Einstellung als "Benutzerberechtigung verweigern" bezeichnet , um sich bei jedem Terminalserver anmelden zu können.

Betrachten Sie folgendes Setup:

1. Windows 2008 Server-Mitgliedsserver.

2. Windows Server 2003-Mitgliedsserver.

3. Wählen Sie in Active Directory-Benutzer und -Computer Snap-In einen Benutzer aus, und greifen Sie auf die Registerkarte "Profil für Remotedesktopdienste" zu. Wenn der Domänencontroller Windows Server 2003 ausführt, wird dies als Terminaldiensteprofil bezeichnet. Legen Sie hier die Einstellung "Diese Benutzerberechtigung für die Anmeldung bei einem Remotedesktop-Sitzungshostserver verweigern" fest. In Windows Server 2003 heißt dies erneut "Diesen Benutzer die Berechtigung für die Anmeldung bei jedem Terminalserver verweigern".

4. Legen Sie diesen Benutzer als Mitglied der Gruppe "Remotedesktopbenutzer" oder der lokalen Gruppe "Administratoren" sowohl unter den Servern Windows Server 2003 als auch unter Windows Server 2008 fest.

Verwenden Sie nun die Anmeldeinformationen dieses Benutzers, um sich über RDP beim Windows 2003-Mitgliedsserver zu anmelden. Sie werden feststellen, dass dieser Benutzer blockiert wird. Dieser Benutzer kann sich jedoch beim Windows Server 2008-Server anmelden.

Ursache

Dieses Verhalten ist beabsichtigt. In Windows Server 2003 wird diese Einstellung unabhängig davon überprüft, ob sich der Server im Remoteadministrations-Terminalservermodus oder im Anwendungsterminalservermodus befindet. In Windows Server 2008 wird diese Einstellung jedoch nur auf einem Computer mit Remotedesktopdiensten im Anwendungsmodus überprüft. Der Remoteverwaltungsmodus überprüft diesen Parameter nicht. Wenn Sie den Windows Server 2008-Server in den Anwendungsmodus für Remotedesktopdienste ändern, indem Sie die Rolle installieren, wird der Benutzer die Anmeldung über RDP nicht verweigert.

Lösung

Um einen Benutzer oder eine Gruppenanmeldung über RDP zu verweigern, legen Sie explizit die Berechtigung "Anmeldung über Remotedesktopdienste verweigern" fest. Greifen Sie dazu auf einen Gruppenrichtlinien-Editor (entweder lokal auf dem Server oder von einer OU) zu, und legen Sie dieses Privileg fest:

1. Start | Ausführen | Gpedit.msc, wenn Sie die lokale Richtlinie bearbeiten oder die entsprechende Richtlinie ausgewählt und bearbeitet haben.

2. Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Benutzerrechtezuweisung.

3. Suchen und doppelklicken Sie auf "Anmeldung über Remotedesktopdienste verweigern".

4. Fügen Sie den Benutzer und/oder die Gruppe hinzu, die Sie verweigern möchten.

5. Wählen Sie "OK" aus.

6. Führen Sie entweder die Nächste gpupdate /force /target:computer Richtlinienaktualisierung aus, oder warten Sie, bis diese Einstellung wirksam wird.