Jump to content

TS Interaktive Anmeldung verweigert


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute!

 

Ich habe in meiner Lernumgebung einen 2003er Server als DC.

 

Dort hab ich jetzt auch die Terminaldienste intalliert.

Der Versuch sich mit einem Benutzer anzumelden wird allerdings mit folgender Meldung quittiert:

Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden.

 

Den User habe ich aber in die Gruppe Remotedesktopbenutzer aufgenommen.

 

Ich vermute jetzt mal dass das Problem wegen der eingeschränkten Rechte an einem DC besteht, und dass ich jetzt eine GPO ändern muss...

 

aber bloß welche?

 

Besten dank!

Link zu diesem Kommentar

Der User benötigt das Benutzerrecht "Anmelden über Terminaldienste zulassen", welches auf Memberservern per Default den Remotedesktopbenutzern gewährt wird, auf DCs aber nicht. Auf einem DC wird zwar im RDP-TCP Verbindungsobjekt u.a. den Remotedesktopbenutzern die Anmeldung gewährt, das Benutzerrecht fehlt aber. Füge also entweder in der OU Domain Controllers eine Richtlinie zu, in der das Recht den Administratoren und Remotedesktopbenutzern gewährt wird oder stelle es in der lokalen Richtlinie mit Hilfe von GPEDIT.MSC auf dem DC ein ...

Link zu diesem Kommentar

Hallo!

 

öhm, was soll ein Normaler Benutzer auch auf einem Domänen Controller. Ausser in einer Testumgebung hat er da nichts verloren... :)

 

bearbeite die Def. Domain Controller Richtl.

 

Windows-Einst. -> Sicherheitseinst. -> Lokale Richtl. -> Zuweisen von Benutzerrechten

 

"Anmelden über Terminaldienstew zulassen"

 

Hier trägst du die Benutzer ein.

 

Das eintragen der Benutzer in die Remotedesktop Gruppe hilft dir in diesem Fall garnicht...

 

In welche Remotdesktop-Benutzer Gruppe hasst du den Benutzer den eingetragen? DieRD-Gruppe ist immer eine Lokale Gruppe auf einem Server... ein Domänen-Controller hat keine Lokalen Gruppen, er ist ein Domänen Controler... genauso hat er keinen Lokalen Administrator... dieser ist Dom. Admin geworden nachdem der Server zum DC wurde.

 

Hoffe das bringt dich weiter!

 

Schönen Tag noch ;)

Link zu diesem Kommentar

In welche Remotdesktop-Benutzer Gruppe hasst du den Benutzer den eingetragen? DieRD-Gruppe ist immer eine Lokale Gruppe auf einem Server... ein Domänen-Controller hat keine Lokalen Gruppen, er ist ein Domänen Controler... genauso hat er keinen Lokalen Administrator... dieser ist Dom. Admin geworden nachdem der Server zum DC wurde.

Der DC hat natürlich domänenlokale Gruppen, ebenso gibt es dort auch Administratoren, Remotedesktopbenutzer usw. Ich kann auch auf einem DC einen Administrator anlegen, der kein Domänenadmins sein muss (er ist nur Mitglied der lokalen Administratoren) und dann auch kein Administrator auf den Clients ist ...

Link zu diesem Kommentar
Der DC hat natürlich domänenlokale Gruppen, ebenso gibt es dort auch Administratoren, Remotedesktopbenutzer usw. Ich kann auch auf einem DC einen Administrator anlegen, der kein Domänenadmins sein muss (er ist nur Mitglied der lokalen Administratoren) und dann auch kein Administrator auf den Clients ist ...

 

Ja, sicher Domänen-Lokale Gruppen gibt es... das sind aber keine Lokalen Gruppen explizit nur für den Domänen Controller.

 

Aber meiner Meinung nach kannst du keinen Admin Account auf dem DC erstelölen, der wird doch dann gleichzeichzeitig Domänen-Admin... wenn ich ihn in die Domaon-Local Group packe... ist das standardmäßig nicht auch ne domain Global Group?

 

sicher? das du ein Admin account nur für di maschine machen kannst, werde ich morgen mal testen... interessiert mich mal...

Link zu diesem Kommentar

Er ist ja nur Domänenadmin, weil er in der entsprechenden globalen Gruppe ist. Er ist u.a. auch Mitglied in der domänenlokalen Gruppe Administratoren. Sicher kannst Du auch einen Benutzer erstellen, der nicht in der Gruppe Domänen-Admins, sondern nur in der domänenlokalen Gruppe Administratoren ist (das gilt dann für den/die Domänencontroller)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...