Damit sich ein Anwender an einem Remotedesktop-Sitzungshost anmelden kann, brauchen Sie ihm zum Glück nicht das Recht zur interaktiven Anmeldung zu geben. Es genügt, wenn er mittelbar oder unmittelbar Mitglied der lokalen Gruppe Remotedesktopbenutzer des Remotedesktop-Sitzungshosts ist. »Mittelbar« bedeutet in diesem Zusammenhang, dass es nicht notwendig ist, dass Sie jedes einzelne Benutzerkonto in dieser Gruppe eintragen. Bei vielen Benutzern und mehreren Remotedesktop-Sitzungshosts wäre das mehr als lästig. Stattdessen wählen Sie die übliche Vorgehensweise:
- In der Domäne richten Sie eine Sicherheitsgruppe ein, beispielsweise mit dem Namen RD-Benutzer . (Der Name ist beliebig, er könnte also auch aldf90428soed lauten, was aber lästig beim Wiederfinden ist.)
- In diese Sicherheitsgruppe tragen Sie alle Benutzer oder Gruppen, die auf Remotedesktopdienste zugreifen möchten, als Mitglied ein.
- Diese Gruppe wird Mitglied der lokalen Gruppe Remotedesktopbenutzer auf allen Remotedesktop-Sitzungshosts.
- Alternativ könnten auch alle Authentifizierten Benutzer, alle Domänen-Benutzer oder eine sonstige vordefinierte Gruppe Mitglied der lokalen Gruppe der Remotedesktopbenutzer werden.
Wenn Sie nun nochmals testen, sollte der Benutzer Zugriff auf den Remotedesktop-Sitzungshost erhalten. Falls er eine zusätzliche Gruppenmitgliedschaft erhalten hat, muss er sich einmal ab- und wieder anmelden.
Es empfiehlt sich, eine Domänengruppe anzulegen, die dann Mitglied der lokalen Gruppe »Remotedesktopbenutzer« wird.
Hier sehen Sie, wie das Charms-Menü des über den Remotedesktop-Sitzungshost bereitgestellten Desktops aussieht. Sie erkennen, dass für einen »normalen« Benutzer (Nicht-Administrator) die Optionen zum Neustarten und Herunterfahren ausgeblendet sind. Es wäre ja auch eine ziemliche Katastrophe, wenn ein Benutzer versehentlich oder absichtlich den kompletten Remotedesktop-Sitzungshost herunterfahren könnte.
Abbildung 19.34 Startet der Benutzer eine Verbindung, erhält er den vollen Desktop. Ein »normaler« Anwender kann aber den Server nicht herunterfahren.
Hier noch ein wenig Hintergrundwissen:
Wer sich an dem Remotedesktop-Sitzungshost anmelden kann, wird vordergründig über die Mitgliedschaft in der Gruppe Remotedesktopverbindungen gesteuert – das hatten Sie ein wenig weiter oben bereits kennengelernt. Die Mitglieder der Gruppe sind aber nur deshalb berechtigt, weil in der lokalen Sicherheitsrichtlinie (die Sie über die Verwaltung finden) definiert ist, dass sich Mitglieder der Gruppen Administratoren und Remotedesktopbenutzer an den Remotedesktopdiensten anmelden können (Abbildung 19.35).
Abbildung 19.35 Die Mitglieder der Gruppe »Remotedesktopbenutzer« können deshalb auf die Remotedesktopdienste zugreifen, weil sie in der lokalen Sicherheitsrichtlinie dazu berechtigt werden (das ist eine Standardeinstellung).