Zum Inhalt wechseln


Foto

Die verwendete Anmeldemethode ist nicht zugelassen.


  • Bitte melde dich an um zu Antworten
9 Antworten in diesem Thema

#1 martin.thomann

martin.thomann

    Newbie

  • 22 Beiträge

 

Geschrieben 04. März 2010 - 13:37

Hallo

Ich habe neue Windows 7 Clients in ein Windows 2008 SBS Netzwerk mit AD integriert.

Nun versuche ich auf dem Client mit einem Standard User mit seinem Domänenaccount anzumelden. Dann erfolgt die Fehlermeldung:
"Sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem Computer nicht zugelassen ist."

  • Bei der Integration des PCs in die Domäne habe ich in der lokalen Richtlinie den Domänen-Usern den lokalen Zugriff erlaubt.
  • Jetzt sehe ich aber nur noch die IDs der Domänen Accounts oder Gruppen.

Gebe ich dem Benutzer PC lokale Administratoren Rechte, dann kann er ohne Probleme einloggen.

In der Domäne habe ich die entsprechende Richtlinie nicht gefunden. Da liegt do der Hund begraben oder ist dies ein Bug?

Könnt ihr mir einen Tipp geben?

Gruss
Martin

#2 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 04. März 2010 - 20:26

Hi Martin und willkommen an Board, :)

nicht immer gleich mit der Vermutung "Bug" um sich werfen - in wahrsheinlich 99% der Fälle sitzt der Bug vor dem Rechner. :p

Scherz beiseite: Du kannst einschränken, wer sich an einem System anmelden darf und auf welche Art und Weise. Prüfe doch einmal mittels GPMC RSOP Group Policy Resulsts Report auf dem SBS mit Ziel Windows 7 Client, welche Security Options festgelegt wurden. Unter Umständen wurde etwas an einer Policy wie "Interaktive Anmeldung verweigern" (muß nicht genau so heißen) gedreht o.ä.

Siehe dazu auch: http://technet.micro...809(WS.10).aspx

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#3 martin.thomann

martin.thomann

    Newbie

  • 22 Beiträge

 

Geschrieben 05. März 2010 - 11:06

Hallo olc

Vielen Dank für den Input und die Willkommensglückwünsche.

Ist denn nicht alles ein Bug das nicht funktioniert wie es sollte? :) und glücklicherweise liegt mein PC nicht vor sondern neben mir. D.h.
ich bin nicht vor dem Rechner. :) Aber du hast ja völlig Recht.

Dies hatte ich schon vorher gesichtet.
http://technet.micro......8WS.10).aspx

Und leider hat mein Vorgänger den Server in Deutsch aufgesetzt. Würde ich ja auch in der heutigen Zeit nie machen! Somit muss man immer mehrere Begriffe kennen. (GPMC RSOP Group Policy Resulsts)

Bis jetzt habe ich erst gesehen, dass nichts verweigert wird. Den Hund aber noch nicht gefunden.

Gruss
Martin

#4 martin.thomann

martin.thomann

    Newbie

  • 22 Beiträge

 

Geschrieben 05. März 2010 - 12:28

Jetzt habe ich noch einen Test mit XP gemacht. Hier habe ich das selbe Problem. Die Fehlermeldung ist jedoch etwas präziser. "Die lokale Richtlinie erlaubt es nicht sich interaktiv anzumelden."

Ich habe auch eine Policy Richtlinie für lokalen Computer "Lokal anmelden zulassen" gefunden, da sind diverse Admins/Operatoren aber keine normale Benutzer.
(Computerconfig/Windows-Einst./Lokale Richtli./Zuweisen von Benutzerrechten/..)
Diese kann ich aber nicht ändern obwohl ich DomänenAdmin bin.

Gruss
Martin

#5 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 05. März 2010 - 18:25

Hi Martin,

die Richtlinie "Lokal anmelden zulassen" nur für Admins/Operatoren ist in Ordnung, solange es dabei um den SBS geht. Der Client hat da natürlich Probleme mit... In welcher Gruppenrichtlinie hast Du diese EInstellung denn genau gefunden - in der Default Domain Policy oder direkt im RSOP des Clients?

Was heißt, Du kannst es nicht ändern? Wie genau bist Du vorgegangen?

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#6 martin.thomann

martin.thomann

    Newbie

  • 22 Beiträge

 

Geschrieben 12. März 2010 - 09:18

Hallo Olc

Ich setzte die Policy in den Gruppenrichtlinien auf dem Server.
(Auf dem PC lässt sich nichts verändern).

Die Richtlinie: Computerconfig/Windows-Einst./Lokale Richtli./Zuweisen von Benutzerrechten/Lokal Anmelden zulassen gibt es ja zwei Male:

die Richtlinie unter: _Benutzerkonfiguration\Computerconfiguration\... greift nicht, (bzw. hat eine tiefere Prio)
diejenige unter: Update Services Client Computer Policy [s01.kklba.local]Richtlinie\Computerconfiguration\...
jedoch schon.

D.h. Wenn ich diese Setze, dann kann sich auch ein Domänen Benutzer einloggen. Danach beginnt aber das nächste Problem. Der Benutzer kann den PC nicht herunterfahren. Dazu musste ich auch die Richtlinie
Herunterfahren des Systems setzen.

Ob nun noch weitere Probleme bestehen muss ich erst noch überprüfen.

Martin

#7 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 12. März 2010 - 09:33

Hast Du auf einem Client mal RSOP.MSC ausgeführt und dann die relevanten Einträge in den Benutzerrechten überprüft ? Dort kannst Du auch sehen, von welcher AD-Richtlinie eine Einstellung kommt. Wenn Benutzerrechtseinstellungen bezüglich der interaktiven Anmeldung tatsächlich aus der Domäne kommen, dann frage ich mich, aus welchem Grund das passiert ...
Ich bin S-1-5-XXX-500, ich darf das ...

#8 martin.thomann

martin.thomann

    Newbie

  • 22 Beiträge

 

Geschrieben 12. März 2010 - 10:20

Hallo Olc

Super, vielen Dank für den Input.
Die Rangfolge der Policies ist:
- Update Services Client Computer Policy
- Default Domain Controller Policy

Genau dort liegt der Hund begraben.
Default Domain Controller Policy/Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Lokal anmelden zulassen.

Hier sind die Werte gesetzt welche auf dem Client erscheinen und dabei
sind keine Benutzer. (Und sind als VORDEFINIERT gekennzeichnet).

Die Default Domain Controller Policy ist mit der Domäne verknüpft und greift so. Dies ist doch falsch, oder?

Gruss
Martin

#9 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 12. März 2010 - 10:22

Naja, falsch ... Es ist jedenfalls kein Standard und würde alles erklären. Diese Richtlinie ist normalerweise nur auf der Domain Controllers OU verlinkt und hat deswegen schärfere Sicherheitseinstellungen ...
Ich bin S-1-5-XXX-500, ich darf das ...

#10 martin.thomann

martin.thomann

    Newbie

  • 22 Beiträge

 

Geschrieben 24. März 2010 - 08:33

Hallo Olc
Super, nach dem Umhängen der Richtlinie funktioniert alles tip top.
Nochmals vielen Dank.
Martin