Jump to content
Sign in to follow this  
firefox80

TS Interaktive Anmeldung verweigert

Recommended Posts

Hallo Leute!

 

Ich habe in meiner Lernumgebung einen 2003er Server als DC.

 

Dort hab ich jetzt auch die Terminaldienste intalliert.

Der Versuch sich mit einem Benutzer anzumelden wird allerdings mit folgender Meldung quittiert:

Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden.

 

Den User habe ich aber in die Gruppe Remotedesktopbenutzer aufgenommen.

 

Ich vermute jetzt mal dass das Problem wegen der eingeschränkten Rechte an einem DC besteht, und dass ich jetzt eine GPO ändern muss...

 

aber bloß welche?

 

Besten dank!

Share this post


Link to post
Share on other sites

Der User benötigt das Benutzerrecht "Anmelden über Terminaldienste zulassen", welches auf Memberservern per Default den Remotedesktopbenutzern gewährt wird, auf DCs aber nicht. Auf einem DC wird zwar im RDP-TCP Verbindungsobjekt u.a. den Remotedesktopbenutzern die Anmeldung gewährt, das Benutzerrecht fehlt aber. Füge also entweder in der OU Domain Controllers eine Richtlinie zu, in der das Recht den Administratoren und Remotedesktopbenutzern gewährt wird oder stelle es in der lokalen Richtlinie mit Hilfe von GPEDIT.MSC auf dem DC ein ...

Share this post


Link to post
Share on other sites

Hallo!

 

öhm, was soll ein Normaler Benutzer auch auf einem Domänen Controller. Ausser in einer Testumgebung hat er da nichts verloren... :)

 

bearbeite die Def. Domain Controller Richtl.

 

Windows-Einst. -> Sicherheitseinst. -> Lokale Richtl. -> Zuweisen von Benutzerrechten

 

"Anmelden über Terminaldienstew zulassen"

 

Hier trägst du die Benutzer ein.

 

Das eintragen der Benutzer in die Remotedesktop Gruppe hilft dir in diesem Fall garnicht...

 

In welche Remotdesktop-Benutzer Gruppe hasst du den Benutzer den eingetragen? DieRD-Gruppe ist immer eine Lokale Gruppe auf einem Server... ein Domänen-Controller hat keine Lokalen Gruppen, er ist ein Domänen Controler... genauso hat er keinen Lokalen Administrator... dieser ist Dom. Admin geworden nachdem der Server zum DC wurde.

 

Hoffe das bringt dich weiter!

 

Schönen Tag noch ;)

Share this post


Link to post
Share on other sites

In welche Remotdesktop-Benutzer Gruppe hasst du den Benutzer den eingetragen? DieRD-Gruppe ist immer eine Lokale Gruppe auf einem Server... ein Domänen-Controller hat keine Lokalen Gruppen, er ist ein Domänen Controler... genauso hat er keinen Lokalen Administrator... dieser ist Dom. Admin geworden nachdem der Server zum DC wurde.

Der DC hat natürlich domänenlokale Gruppen, ebenso gibt es dort auch Administratoren, Remotedesktopbenutzer usw. Ich kann auch auf einem DC einen Administrator anlegen, der kein Domänenadmins sein muss (er ist nur Mitglied der lokalen Administratoren) und dann auch kein Administrator auf den Clients ist ...

Share this post


Link to post
Share on other sites
Der DC hat natürlich domänenlokale Gruppen, ebenso gibt es dort auch Administratoren, Remotedesktopbenutzer usw. Ich kann auch auf einem DC einen Administrator anlegen, der kein Domänenadmins sein muss (er ist nur Mitglied der lokalen Administratoren) und dann auch kein Administrator auf den Clients ist ...

 

Ja, sicher Domänen-Lokale Gruppen gibt es... das sind aber keine Lokalen Gruppen explizit nur für den Domänen Controller.

 

Aber meiner Meinung nach kannst du keinen Admin Account auf dem DC erstelölen, der wird doch dann gleichzeichzeitig Domänen-Admin... wenn ich ihn in die Domaon-Local Group packe... ist das standardmäßig nicht auch ne domain Global Group?

 

sicher? das du ein Admin account nur für di maschine machen kannst, werde ich morgen mal testen... interessiert mich mal...

Share this post


Link to post
Share on other sites

Er ist ja nur Domänenadmin, weil er in der entsprechenden globalen Gruppe ist. Er ist u.a. auch Mitglied in der domänenlokalen Gruppe Administratoren. Sicher kannst Du auch einen Benutzer erstellen, der nicht in der Gruppe Domänen-Admins, sondern nur in der domänenlokalen Gruppe Administratoren ist (das gilt dann für den/die Domänencontroller)

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...