Terminaldienste für Remote-Desktop konfigurieren

Windows Server 2003 bietet an den Rechner als Terminalserver zu betreiben. Auf dem Client ist dafür eine Remotedesktopverbindung erforderlich, der z.B. auch auf Windows XP und sogar ganze anderen Plattformen wie Linux verfügbar ist.

Das Remote Desktop Protocol (RDP) ist ein Protokoll von Microsoft. Es stellt die technische Basis für die Implementation von Terminaldiensten zwischen zwei Computersystemen bereit (siehe auch Terminalserver). Dabei fungiert das eine der beiden Systeme als Terminalserver und erzeugt Bildschirmausgaben auf dem anderen System (dem Terminal-Client). Außerdem können Maus und Tastatureingaben vom Terminal-Client entgegengenommen werden.
Quelle: http://de.wikipedia.org/wiki/Remote_Desktop_Protocol

Der Timeout für aktive und inaktive Verbindungen kann genau eingestellt werden:

Um Terminalserver so zu konfigurieren, dass getrennte Sitzungen nach einer Inaktivität von 15 Minuten beendet werden, muss man das mit der OU verknüpfte GPO öffnen und die Richtlinie Zeitlimit für getrennte Sitzungen mit dem Wert 15 Minuten festlegen.

Außerdem ist konfigurierbar, welche Farbtiefen und Peripheriegeräte über die Remote-Desktop-Verbindung bereit gestellt werden sollen.

Um sicher zu stellen, dass die Laufwerke der Clientcomputer bei der Verbindung mit einem der Terminalserver immer zur Verfügung stehen, muss die Option "Beim Anmelden Verbindung zu Clientlaufwerken herstellen" gewählt werden und bei Windows NT 4.0 auch die "Remote Desktop Verbindungs-Clientsoftware" installiert werden.

Für die Verwendung von Remote Desktop muss ein Passwort verwendet werden. Die Security Policy verbietet ein leeres Passwort zu verwenden.

Schattenkopien freigegebener Ordner konfigurieren

Schattenkopien auf gemeinsam genutzten Ordnern stellen alte Versionen von Dateien bereit, die sich auf freigegebenen Ordnern eines Dateiservers befinden. Im Kontextmenü eines Laufwerks können Schattenkopien aktiviert werden.
shadow copy activate

Bei der Volumeschattenkopie bleiben Dateien geöffnet. Im NTBackup oder anderen Sicherungsprogrammen muss daher die Option "Volumeschattenkopie deaktivieren" gewählt werden um auch geöffnete Dateien zu sichern.

Schattenkopien kann man immer nur für ein ganzes Laufwerk aktivieren!

Schattenkopien kann man verwenden, um Dateien wiederherzustellen, die versehentlich gelöscht oder überschrieben wurden, und um verschiedene Versionen von Dateien zu vergleichen. Der Speicherort für die Schattenkopien kann hier gewählt werden:


Die alten Versionen lassen sich dann in den Eigenschaften einer Netzwerk-Freigabe (Zugriff über das Netzwerk erforderlich!) abrufen. Dazu muss der "twclient.msi" installiert sein.
schatten kopie client
Der Schattenkopieclient ermöglicht den Zugriff auf Schattenkopien auf Windows Server 2003 von Clientcomputern aus, die andere Betriebssysteme als Windows Server 2003 ausführen.

Wenn die Kapazitäten eines Laufwerks erschöpft sind kann man alle bestehenden Schattenkopien löschen.

Leistung überwachen am Server

Die Leistung des Servers kann überwacht werden, indem Warnungen definiert werden die beim Erreichen gewünschter Schwellwerte einen Eintrag im Sicherheitsprotokoll vornehmen.


Man kann als Warnung eine Meldung über den Windows-Nachrichtendienst schicken lassen (auch bekannt als "net send") oder ein Programm starten. Der Versand einer E-Mail oder SMS ist direkt nicht vorgesehen und kann nur über Fremdprogramme realisiert werden.

Überwachung für Dateien und Ordner aktivieren

In der Gruppenrichtlinienverwaltung des MMC können Überwachungsrichtlinien aktiviert werden. Damit kann der Zugriff auf Objekte durch bestimmte Benutzergruppen überwacht werden.


Der Zugriff kann sowohl dann protokolliert werden, wenn er erfolgreich war als auch wenn er fehlschlug.


Für das Freigabe-Objekt muss nun in den erweiterten Einstellungen die Überwachung konfiguriert werden:

Sicherheitsvorlage importieren und anwenden

Die Sicherheitsvorlagen können aus der Sicherheitskonfiguration und -analyse einfach angewendet werden. Dazu muss zunächst eine neue Sicherheitsdatenbank erstellt und die Sicherheitsvorlage importiert werden.


Die neue Sicherheitsdatenbank kann dann angewendet werden. Dabei wird die Registry des lokalen Computers konfiguriert. Das Ergebnis für die zuvor erstellte Vorlage wurde dann hier überprüft.


Um die Sicherheitsvorlagen so zu implementieren, dass die Einstellungen periodisch neu durchgesetzt werden, sollte man auf jedem Mitgliedserver einen geplanten Task für die wöchentliche Ausführung vorsehen. Damit kann die Sicherheitsvorlage mit Hilfe des Befehlszeilenprogramms "secedit.exe" angewendet werden.
tweetbackcheck