Zum Inhalt wechseln


Foto

AD Fragen


  • Bitte melde dich an um zu Antworten
53 Antworten in diesem Thema

#31 NorbertFe

NorbertFe

    Expert Member

  • 30.595 Beiträge

 

Geschrieben 04. Juli 2014 - 10:45

Warum sollten sie denn nicht "erreichbar" sein? Solange welche angelegt sind, kann man die auch nutzen. ;) Deswegen soll man ja keine anlegen.

Make something i***-proof and they will build a better i***.


#32 Sunny61

Sunny61

    Expert Member

  • 22.085 Beiträge

 

Geschrieben 04. Juli 2014 - 10:57

Ich habe ja nicht gesagt das es schön ist. Ist nunmal der Zeitliche Aufbau hier und es muss mal geändert werden.


Nicht schön ist gut, damit hebelst Du alle Sicherheit aus die dir das System von Haus aus mitbringt.

Es ging mir eher drum das lokale Accounts noch erreichbar sind.



Melde dich an einem Gerät mit einem Domain Account. Alles wird eingerichtet, fertig. Jetzt abmelden und Herunterfahren. Netzwerkkabel ziehen, einschalten und mit dem Domain Account von vorhin anmelden. Was passiert?
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#33 kosta88

kosta88

    Senior Member

  • 313 Beiträge

 

Geschrieben 04. Juli 2014 - 10:59

Berechtigungen sind wieder eine ganz andere Sache!

 

Scheinbar habe ich mehr Problem mit den deutschen Wörtern (ist nicht meine Muttersprache) bzw. verwechsle noch Gruppenrichtlinien, Berechtigungen usw. Was ich aber dann meistens schon weiß, was hinter was steckt. Ich weiß zB. dass man in GPO nicht Ordner freigeben kann (Permissions).

 

 

meinst du mit Key das Anmeldepasswort?

 

Nein. Ich weiss leider nicht mehr genau wie es heisst, irgendwo habe ich es nachgelesen, und derjenige hat es irgendwie genannt. Ob Key oder irgendwie sonst, weiss ich nicht mehr genau. Habe ich bereits gesagt :)

 

 

Aber...nachdem mir einige hier sehr hilfreiche Sachen geschrieben haben, ist mir gerade ein Lämpchen aufgeleuchtet. Es war ein Gedankenfehler von mir zu denken dass ich für jeden Rechner einen Nutzer benötige. Ich soll eigentlich die Domäne wie einen grossen Rechner sehen der andere "Rechner" enthält. Vereinfacht gesagt. Ein Admin Konto der dafür da ist, alle Rechner zu verwalten. Und dann gibt's das Thema Roaming User Profile, das muss ich noch nachsehen/lernen.

 

 

Die Domäne ist eine Instanz und da gibt es in diesem Sinne kein "Lokales Benutzerprofil" mehr. (so wurde es mir erklärt)

 

Sicher? Da das Profil weiterhin am lokalen Rechner gespeichert wird... nun der Ordner heisst anders: username.domain.local, oder wie auch immer die Domäne heisst. Nur wenn du dein Profil im Netz ablegst (das verstehe ich unter Roaming User Profile), hast du dein Profil nicht mehr am Rechner, sondern am Server, und wird jedes mal kopiert. Das Profil wird zwar lokal nicht gelöscht, aber ich weiss nicht ob offline geladen werden kann... vermute ja... Aber wie gesagt, muss hier noch einiges nachlesen, vielleicht schreibe ich eh ein Blödsinn :)

 

 

und es kann nur einen geben.

 

Highlander-Prinzip ;-)

 

 

 

Eine reine Lokale Anmeldung OHNE Domäne gibt es beim DC nicht mehr.

 

Genau, soweit war ich auch schon :-)
Aber das ganze ist mir jetzt wesentlich klarer. Die Server sind bereits in der Domäne. Nun muss ich herausfinden wie ich die Kontoeinstellungen und Profil vom lokalen Konto in das Domänenprofil übertrage. Das habe ich bereits schon mal gefragt, es ist alles andere ausser einfach.

 

 

Du packst die Mitglieder in die lokale Gruppe der Remotedesktopbenutzer, schon können sie sich anmelden. Die Mitglieder der lokalen Gruppe der Administratoren dürfen das out of the box.

 

Dass die Admins dürfen, OK, aber das was du für die Benutzer geschrieben hast, habe ich glaube ich ja genauso gemacht. Den "Nutzer01", das ist das Konto, habe ich als Mitglied der Gruppe Remotedesktopbenutzer gemacht. Trotzdem wollte er ohne Eintrag im System nicht per RDP verbinden. Habe noch extra gegen Admin Konto geprüft, mit dem kommt man hinein.

 

Welches Buch hast du denn? Ich hab das Server 2012 by Sams.



#34 Sunny61

Sunny61

    Expert Member

  • 22.085 Beiträge

 

Geschrieben 04. Juli 2014 - 11:10

Aber das ganze ist mir jetzt wesentlich klarer. Die Server sind bereits in der Domäne. Nun muss ich herausfinden wie ich die Kontoeinstellungen und Profil vom lokalen Konto in das Domänenprofil übertrage. Das habe ich bereits schon mal gefragt, es ist alles andere ausser einfach.



Schau dir diesen Artikel an: http://windows.micro...e#1TC=windows-7 Jetzt denk dir einfach das defekt Profil in dem Artikel ist dein lokales Profil vom lokalen Konto. Probier das mit einem Testkonto aus.

Alternativ diesen Artikel durcharbeiten: http://www.faq-o-mat...fer-migrieren/ 
 

 

Dass die Admins dürfen, OK, aber das was du für die Benutzer geschrieben hast, habe ich glaube ich ja genauso gemacht. Den "Nutzer01", das ist das Konto, habe ich als Mitglied der Gruppe Remotedesktopbenutzer gemacht. Trotzdem wollte er ohne Eintrag im System nicht per RDP verbinden. Habe noch extra gegen Admin Konto geprüft, mit dem kommt man hinein.


Welchen Eintrag im System meinst Du?

 
Welches Buch hast du denn? Ich hab das Server 2012 by Sams.



Gar keins.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#35 kosta88

kosta88

    Senior Member

  • 313 Beiträge

 

Geschrieben 04. Juli 2014 - 11:23

Welchen Eintrag im System meinst Du?

 

TS war bis jetzt nicht in der Domäne. Es gab am Rechnern immer zwei Nutzer: ein lokaler Konto als Rechner-Login und ein 2. Nutzer für die TS-Sitzungen. Die Nutzer sind lokal angelegt und dann im RDP im System eingetragen (Unter System -> Erweiterte Systemeigenschaften -> Remote -> Remotedesktop am Terminal Server). Dann wurde DC eigerichtet und TS in die Domäne gesetzt. So jetzt will ich weg vom lokalen Konten und die Rechnerkonten aus dem AD nutzen, sodass der Rechnerlogin = RDP Berechtiger ist, und kein weiterer Nutzer benötigt ist. Ich hoffe dass das Sinn macht und so machbar ist. Die Userdirs würde ich dann aber doch gerne am Server legen, und irgendwie die Möglichkeit haben die Profile zu bereinigen (nach den Schulungsessions einfach alles löschen was die Benutzer gespeichert haben).

 

Die derzeitige Einstellung ist die mittlere, und hier sind die lokalen Benutzer eingetragen. Wenn ich hier den AD-Konto für die RDP-Sitzung eintragen, dann geht's. Ohne, nicht. Geht es überhaupt nur via AD?

Es ist vermutlich die Einstellung 3 die richtige, auf der Netzwerkebene zulassen, nun jetzt kann ich nicht umstellen, da der TS gerade in Verwendung ist. (wobei die mittlere müsste die 3. Option eigentlich inbegriffen haben)


Bearbeitet von kosta88, 04. Juli 2014 - 11:31.


#36 Sunny61

Sunny61

    Expert Member

  • 22.085 Beiträge

 

Geschrieben 04. Juli 2014 - 12:47

TS war bis jetzt nicht in der Domäne. Es gab am Rechnern immer zwei Nutzer: ein lokaler Konto als Rechner-Login und ein 2. Nutzer für die TS-Sitzungen. Die Nutzer sind lokal angelegt und dann im RDP im System eingetragen (Unter System -> Erweiterte Systemeigenschaften -> Remote -> Remotedesktop am Terminal Server). Dann wurde DC eigerichtet und TS in die Domäne gesetzt. So jetzt will ich weg vom lokalen Konten und die Rechnerkonten aus dem AD nutzen, sodass der Rechnerlogin = RDP Berechtiger ist, und kein weiterer Nutzer benötigt ist.


Du benutzt nicht die Rechnerkonten aus dem AD, sondern den Benutzeraccount aus dem AD. Der darf sich am TS anmelden. Bitte wirf die Begrifflichkeiten nicht immer durcheinander.

Ich hoffe dass das Sinn macht und so machbar ist. Die Userdirs würde ich dann aber doch gerne am Server legen, und irgendwie die Möglichkeit haben die Profile zu bereinigen (nach den Schulungsessions einfach alles löschen was die Benutzer gespeichert haben).



Es gibt genügend Möglichkeiten per Script die Benutzerprofile an einem TS in einem Rutsch zu löschen, damit solltest Du auch die Userdirs leeren können.


 

Die derzeitige Einstellung ist die mittlere, und hier sind die lokalen Benutzer eingetragen. Wenn ich hier den AD-Konto für die RDP-Sitzung eintragen, dann geht's. Ohne, nicht. Geht es überhaupt nur via AD?



IMHO geht das auch ohne AD, aber dann mußt Du beim Login immer den exakten Namen des lokalen Konto eingeben: Names_des_Servers\Name_des_Lokalen_Benutzers
Wenn Du mehrere TS ohne AD hast, macht das keinen Spaß. Deshalb Schluß mit der Diskussion, alles in das AD und fertig.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#37 Daniel -MSFT-

Daniel -MSFT-

    Expert Member

  • 2.434 Beiträge

 

Geschrieben 04. Juli 2014 - 13:02

IMHO geht das auch ohne AD, aber dann mußt Du beim Login immer den exakten Namen des lokalen Konto eingeben: Names_des_Servers\Name_des_Lokalen_Benutzers

 

Nur mal zur Info: Mit .\Name_des_lokalen_Benutzers kann man sich auch immer an der lokalen Maschine anmelden. Den "." ersetzt Windows dann mit dem lokalen Gerätenamen.

 

Wenn Du mehrere TS ohne AD hast, macht das keinen Spaß. Deshalb Schluß mit der Diskussion, alles in das AD und fertig.

 

Da bin ich ganz bei Dir.


.: Daniel Melanchthon :.

 

Ich arbeite für die Microsoft Deutschland GmbH.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität.

 

Hinweis zur Rechtsverbindlichkeit dieser Informationen

Diese Informationen sind Hinweise, die das Verständnis hinsichtlich der Microsoft Produktlizenzierung verbessern sollen. Microsoft weist ausdrücklich darauf hin, dass diese Informationen keinen rechtsverbindlichen Charakter haben, sondern als erklärende Informationen zu verstehen sind. Die einzig rechtsverbindlichen Lizenzinformationen sind in den entsprechenden Endnutzer-Lizenzverträgen (als Beilage zu Softwarepaketen oder in Form von Lizenzverträgen) zu finden.


#38 kosta88

kosta88

    Senior Member

  • 313 Beiträge

 

Geschrieben 04. Juli 2014 - 13:12

Du benutzt nicht die Rechnerkonten aus dem AD, sondern den Benutzeraccount aus dem AD. Der darf sich am TS anmelden. Bitte wirf die Begrifflichkeiten nicht immer durcheinander.

 

Ich mache mir ernsthaft die Mühe. Ich meinte eh das Benutzerkonto. Ich kann das ganze Netzwerktechnische wesentlich besser auf Englisch, da ich mit Computern seit meiner Jugend zu tun habe, und Deutsche Sprache ist eben für mich netzwerktechnisch relativ neu.

So, nachdem du gesagt hast "Der darf sich am TS anmelden", vermute ich dass man den AD Benutzerkonto Zugriffserlaubnis für den TS geben muss. Nicht nur allgemein RDP sondern auch Rechner-spezifisch. Muss jetzt ganz b***d fragen wie?

 

 

Deshalb Schluß mit der Diskussion, alles in das AD und fertig.

 

Von der Diskussion was lokal zu machen bin schon längst weg. TS ist in der Domäne, nun bekomme ich kein Zugriff ohne lokal am TS die Benutzerkonten einzutragen (wie oben erwähnt).



#39 Sunny61

Sunny61

    Expert Member

  • 22.085 Beiträge

 

Geschrieben 04. Juli 2014 - 13:40

Nur mal zur Info: Mit .\Name_des_lokalen_Benutzers kann man sich auch immer an der lokalen Maschine anmelden. Den "." ersetzt Windows dann mit dem lokalen Gerätenamen.


Auch via RDP? Ich hab ja nur immer eine Domain zur Verfügung, deshalb mußte ich das noch nie anders probieren. ;)

So, nachdem du gesagt hast "Der darf sich am TS anmelden", vermute ich dass man den AD Benutzerkonto Zugriffserlaubnis für den TS geben muss. Nicht nur allgemein RDP sondern auch Rechner-spezifisch. Muss jetzt ganz b***d fragen wie?


Via GPP kannst Du das eintragen. Ist eine Computer-GPP, dort Systemsteuerung > Lokale Benutzer und Gruppen. Dort gibt es die Möglichkeit AD-Benutzer in lokale Gruppen hinzuzufügen. Bereits bestehende lokale Gruppen auswählen. Ich hab grad kein AD zur Hand, deshalb nur aus dem Kopf.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#40 kosta88

kosta88

    Senior Member

  • 313 Beiträge

 

Geschrieben 04. Juli 2014 - 16:38

Haaaaaaaaaaaa, voll im Griff! Habe auf diese Homepage gruppenrichtlinien.de viel nachgelesen, und ja... man muss am TS, unter Remotedesktop Benutzer schon was eintragen. Und am leichtesten ist wohl eine neue Gruppe für den TS1 erstellen, alle Nutzer die Zugriff bekommen sollen reinhaun, und die Gruppe in den Remotedesktop "Benutzer auswählen..." eintragen. Somit kann ich im AD einfach Mitglieder für die Gruppe wählen, die Zugriff auf dem TS1 haben dürfen. Und wie geil isn das, unsere Software kann sogar die Nutzer direkt aus dem AD auslesen und eintragen. Coole Gschicht, wie man bei uns in Ö sagt ;-)


Bearbeitet von kosta88, 04. Juli 2014 - 16:39.


#41 lefg

lefg

    Expert Member

  • 20.474 Beiträge

 

Geschrieben 04. Juli 2014 - 16:42

Na siehste, sagen wir doch schon die ganze Zeit. :)


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#42 kosta88

kosta88

    Senior Member

  • 313 Beiträge

 

Geschrieben 04. Juli 2014 - 17:30

Nachlesen + Nachdenken + Beiträge + Lämpchen = Ergebnis :p

 

Ist so ähnlich wie beim VLAN gewesen. Die ganze Zeit denke ich mir nun häää, wovon reden die...und dann wenn man es einmal gecheckt hat, die Welt geht auf. Nun, jetzt geht's erstmal in die Tiefe :)


Bearbeitet von kosta88, 04. Juli 2014 - 17:31.


#43 lefg

lefg

    Expert Member

  • 20.474 Beiträge

 

Geschrieben 04. Juli 2014 - 17:32

Du schlägst dich schon durch den Dschungel. :)


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#44 Sunny61

Sunny61

    Expert Member

  • 22.085 Beiträge

 

Geschrieben 04. Juli 2014 - 18:29

Na wunderbar! :)
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#45 kosta88

kosta88

    Senior Member

  • 313 Beiträge

 

Geschrieben 05. Juli 2014 - 21:50

Best Practice ist: Ein Domainadministrator ist zum Anmelden am Domain Controller da. Für alles andere richtet man sich einen einfachen Admin-Account ohne Domainadministrator-Rechten ein und fügt ihn (oder eine entsprechende Gruppe) auf den Domainmitgliedern in die Gruppe der lokalen Administratoren hinzu.

 

Daniel,

 

Habe dein Vorschlag versucht, nun entweder mache ich was falsch oder etwas funktioniert nicht. Wenn ich diesen admin-user als Mitglied der lokalen Administratoren Gruppe und Domänen-Benutzer eintrage, funktionieren am Client nach dem erneuten Login trotzdem nicht die Admin-Rechte. zB. Server-Manager lässt sich nicht öffnen und sagt es fehlen die Administrator-Rechte. Ich kann natürlich als Admin ausführen und den Domänen-Administrator eintragen, aber macht das Sinn? Ist das was du meintest?