Windows 2003 SBS u. Windows 2003 Std. Edition mit Terminal Server

[werwolf]

Hi zusammen...

Erst mal zur Situation:

- Windows 2003 Small Business Server (OS-Sprache: english) <- DC

- Windows 2003 Standard Edition Server (OS-Sprache: deutsch) <- Member Server
auf diesem Server ist der TerminalServer installiert, inkl. gültiger CALs (!)

Ich habe also diesen TS installiert und aktiviert und kann mich mittlerweile auch wunderbar mit dem Administrator einloggen. Sobald ich aber mit einem
Domänen-Benutzer einloggen will, kommt die Meldung der Verweigerung. Ich habe diesen Benutzer natürlich schön brav in die Gruppe "Remotedesktop User" eingefügt, und diese Gruppe über die Gruppenrichtlinie des Domänen Controllers im "Anmeldung auf dem Terminalserver zulassen" hinzugefügt.

Wenn ich den Domänen Benutzer in die Administratoren-Gruppe des Terminal Servers
hinzufüge, dann kann ich mich anmelden. Ist er dort entfernt, dann funktionierts nicht mehr.

Kann mir da jemand Hilfe bieten?

Gruss aus Mittelerde

[phoenixcp]

Was passiert, wenn du Allow Logon TerminalServer direkt auf einem der ADS-Konten setzt?

[Hirgelzwift]

ohne den hacken kann sich nicht mal der admin anmelden. ich vermute das kommt durch die mischung der deutschen und der englischen sprache. RemoteDesktopUser und RemoteDesktopBenutzer bzw. Domänen-Benutzer vs. Domain Users.

[IThome]

Das müsste sich dann ja über eine neuangelegte Gruppe, der man auf dem Terminalserver das Benutzerrecht "Anmelden über Terminaldienste zulassen" und die entsprechende Berechtigung für RDP-TCP in der Terminaldienstekonfiguration gewährt, prüfen lassen ...

[werwolf]

Das Flag "Allow Logon Terminalserver" ist bereits bei allen Domain-Usern, die sich via Terminal-Server anmelden dürfen, gesetzt.

Ich habe ebenfalls schon versucht, mit einer von Hand erfassten Gruppe zu arbeiten:
"Remotedesktopbenutzer", welche ich übrigens im "Built-in" Container platzierte.

Ein anderer Versuch war, die Richtlinie auf dem Terminalserver von Hand zu ändern und die Gruppen "Remotedesktop User" und "Remotedesktop" (ich halte mich hier übrigens explizit an die Schreibweise von Microsoft) hinzugefügt. Ging auch nicht.

Weiss irgendwer, was sich denn genau hinter dieser Security-Gruppe verbirgt? Oder weiss
jemand was konkretes über die SID? Könnte es sein, dass die SID der deutschen Sprache und der englischen Sprache dieser Gruppe ein und dieselbe sind und sich somit irgendwo in den Annalen der Domänen-Welt beissen?

Gruss aus Mittelerde

[IThome]

Hast Du auch in der Terminaldienstekonfiguration in den Verbindungsberechtigungen kontrolliert ? Wie lautet genau die Meldung, die Du als Benutzer bekommst ?

[Hirgelzwift]

die sid kannst du lesen. ich hab da mal ein gutes tool gefunden im inet: sid2user nennt sich das teil. ist im bundle mit user2sid.

im grunde, so wie ich das verstehe, gibt es diese vordeninierte gruppe der remotedesktopbenutzer bzw. user. die haben halt per default das recht sich lokal an einen server anzumelden und auf NTFS sind schon jede menge rechte per default gesetzt.

das sollte sich irgendwie simulieren lassen, wenn es denn der sprachkonflikt ist.

eine andere idee, ich habe es noch nicht versucht, wäre einen TS in englisch aufzusetzen evtl. nur mal so zum test und dann das multi language pack in deutsch zu installieren.

[IThome]

Wenn Du es mit einer neu angelegten Gruppe probiert hast, reicht es nicht, ihr nur das Benutzerrecht "Anmelden über Terminaldienste zulassen" auf dem Terminaserver zu gewähren, diese Gruppe muss auch in den Verbindungseigenschaften RDP-TCP auf dem Terminalserver die entsprechende Berechtigung erteilt werden (obwohl es ja eigentlich nur eine Vermutung ist, dass es an Sprachkonflikten liegt) ...

[Hirgelzwift]

@IThome: stimmt, das habe ich in meine ausführungen leider übersehen

[werwolf]

Lieber IThome

Ich danke Dir für Deinen Hint. Das Geheimnis ist zuTage getreten.

Und ich bedanke mich ebenfalls bei allen anderen, die mir ebenfalls mit Tips und Hints
zur Seite standen.


Lösung:
Im Terminaldienstekonfiguration gibts einen Ast namens Verbindungen, dort ist eine vordefinierte Microsoft RDP drin. klickt man mit der rechten Maustaste drauf, öffnet sich
eine kleine Welt . Dort konnte ich dann meine selberdefinierte "Remotedesktopbenutzer" hinzufügen.

Seltsam bleibt allerdings, dass die Gruppe "Remotedesktop User" nicht angezeigt wird.
Meine Vermutung, da der DC ein SBS Server ist, und dort das RDP nur den Administratoren vorbehalten ist, muss an dieser Gruppe irgendwas rumgeschraubt worden sein.

Ansonsten funktioniert zumindest das Login und ein paar Test-Starts von Applikationen fein säuberlich.

Vielen Dank und Gruss aus Mittelerde