2K3 - RDC verweigert. Lokale Richtlinie kann nicht bearbeitet werden.

[nety]

Hallo zusammen!!!
Es ist ein sehr komplizierter Fall. Ich hoffe, dass ich es einigermaßen beschreiben kann.

Wir haben einen Windows 2K3 Server als DC. Zusätzlich ein 2K3 Storage Server, die als Fileserver agiert. Ich hatte bis vor kurzem per Remotedesktopzugriff Zugang zum Server. Durch irgendeine unbewusst durchgeführte Veränderung, wird die Remotezugriff verweigert.
Der Administrator und ich als Benutzer mit administrativen Rechten sind Mitglieder der Gruppe "Remotedesktopbenutzer". Wenn ich mir die Einstellungen per "secpol.msc" anschaue sieht es folgendermaßen aus:

Lokale Richtlinien-Zuweisen von Benutzerrechten-Anmelden über Terminaldienste zulassen
hier ist nicht die Gruppe "Remotedesktopbenutzer" eingetragen, dafür aber mein Benutzername. Obwohl ich an der Stelle als Benutzer eingetragen bin, kann selbst kein Remotezugriff auf dem Server unternehmen. Am schlimmsten ist, dass ich weder neue Benutzer einfügen kann, noch den vorhandenen löschen. Die Felder, die es ermöglichen sind grau.

Jetzt stellt sich die Frage, die Einstellungen per secedit auf den alten Stand zu bringen, was ich ungern machen möchte. Ich würde gerne wissen, wie das Zustande gekommen ist und ob an der Ecke ohne "secedit" etwas zu machen ist.

Ich quelle mich seit mehr als eine Woche damit und würde mich über jeglichen Hilfe sehr, aber sehr freuen

Liebe Grüße
Nety

[IThome]

Mach mal RSOP.MSC und schaue nach, aus welcher Domänenrichtlinie die Einstellung kommt (falls sie aus der Domäne kommt). Welche Fehlermeldung kommt (genauer Wortlaut) ? Warum fügst Du den Benutzernamen zu, wenn einer Gruppe dieses Recht schon gewährt wird ? Ist eventuell auch etwas in der Terminaldienstekonfiguration in den Eigenschaften des RDP-TCP Objektes - Berechtigungen verändert worden ?

[nety]

Zitat von IThome Mach mal RSOP.MSC und schaue nach, aus welcher Domänenrichtlinie die Einstellung kommt (falls sie aus der Domäne kommt). Welche Fehlermeldung kommt (genauer Wortlaut) ?

Soll ich das auf der Domäne machen oder auf der 2K3 Storage Server. Ich habe es schon auf der DC ausgeführt. Ich kann mir aber den Richtlinien nicht anschauen.
1. Es dauert sehr lag
2. Ich bekomme Fehlermeldung:

Folgender Fehler ist in \\meinserver.de\SysVol\meineServer.de\Policies\{7f385253-xxxxxx}\Adm\inetres.adm in Zeile 9247 aufgetreten:
Fehler 64 Die Hilfzeichenfolge wurde mehr als einmal angegeben

Die Datei kann nicht geladen werden.

Zitat von IThome Warum fügst Du den Benutzernamen zu, wenn einer Gruppe dieses Recht schon gewährt wird ? Ist eventuell auch etwas in der Terminaldienstekonfiguration in den Eigenschaften des RDP-TCP Objektes - Berechtigungen verändert worden ?

Wie ich gesagt hab, ich habe es nicht bewusst gemacht. Ich habe auf der Storage Server nur Freigabeordnern für Testzwecke erstellt und Daten aus der alten Domäne kopiert. Die Gruppenrichtlinien oder Sicherheitsrichtlinien vor allem, was Remotedesktopzugriff betrifft habe ich nichts unternommen. Es lief alle gut, es bestand kein Grund dies zu tun

[IThome]

Auf dem Storageserver, denn auf ihm kannst Du die lokale Richtlinie ja nicht ändern. Auf dem DC sollte das natürlich auch klappen, ohne Fehler ...

[nety]

Habe grad, die Richtlinie, die ich selbst definiert hab deaktiviert. Es kommt keine Fehlermeldun mehr. Ich kann es aber nicht nahvollziehen, denn auf dieser Richtlinie habe ich nur Passwortsicherheitsrichtlinien festgelegt. Ich kann sie also ohne weitere nicht deaktivieren.
Meinst du, das hatte Einfluss auf dem Storage Server?

[IThome]

Kannst Du Dich jetzt wieder via RDP verbinden ?

[nety]

Leider noch nicht, denn ich habe momentan keinen Zugang zu Serverraum, denn der Admin befindet sich momentan ausser Haus. Ich werde es erst morgen mit "rsop.msc" auf dem Storage Server probieren.

[nety]

Hallo mcseboard!
Ich wollte hier die Lösung für mein Problem schreiben, für den Fall, dass jemand dasselbe Problem haben konnte wie ich. Problem lag an der Default Domain Policy. An der Stelle; "Computerconfiguration-Sicherheitseinstellungen-Lokale Richtlinien-Zuweisen von Benutzerrechten-Anmelden über Terminaldienste zulassen" war meiner Benutzername eingetragen. Das habe ich einfach mit " Nicht definiert" umgetauscht. gpupdate /force, dann war alles wieder ok Glücklicherweise fiel mir ein, dass die lokale Gruppenrichtlinien den niedrigsten Priorität haben