Jump to content

AD Gruppen Synchroniserung funktioniert nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe ein kleines Problem, vermutlich mit der Synchronisierung 2 Windows 03 Server.

Zum Problem: Ich habe letzte Woche eine AD Sicherheitsgruppe Gelöscht namens IT-Admins die Mitglied der Domänenadmins war "keine builtin". Mir ist erst zu spät aufgefallen dass bei den betroffenen 2 Servern in der lokalen Administratoren Gruppe nicht die Domäneadmins sonder die von mir gelöschte it-admin Gruppe vorhanden war?!. ich habe mich also bei beiden Servern lokal angemeldet und die Domänen-Admins wieder zur Gruppe der lokalen Administratoren hinzugefügt, mit erfolg. Allerdings funktioniert seitdem mstsc nicht mehr. Ich kann mich nur mit einem der lokalen Adminsratoren der betroffenen Server anmelden. Ich habe Testweise auch die Dom-Admins als selected Users der erlaubten Remote Desktop Users hinzugefügt ohne erfolg. AD Sites und Services replicate now wurde fehlerlos durchgeführt ohne erfolg

 

beide betroffenen Server sind selbstverständlich Mitglied-Server der Domäne.

 

Weiß jemand Rat ohne den Domänencontroller durchzustarten?!

Link zu diesem Kommentar

Moin,

 

leider ist deine Darstellung nicht ganz nachvollziehbar.

 

Sind die beiden Server, von denen du sprichst, Domänencontroller oder normale Memberserver?

Was genau passiert, wenn du eine RDP-Verbindung aufbaust? Scheitert das komplett, oder kannst du dich nur nicht anmelden?

Wenn letzteres: Ist das Konto, mit dem du dich anmeldest, Mitglied der Domänen-Admins?

Kannst du dich mit dem Konto lokal anmelden? Wenn du dann "whoami /groups" ausführst, werden die Gruppen angezeigt, die du erwartest?

 

Gruß, Nils

Link zu diesem Kommentar

Hi,

danke für die Antwort. Ich werde ein bisschen mehr ins detail gehen.

Die beiden Server sind normale Memberserver bei einem läuft Exchange2003 der andere Server wird von Citrix verwendet. Wenn ich mich mit RDP zu einem der betroffenen Server verbinnde öffnet sich der Logindialog des remote Server. Ich kann mich nicht mit einem Domänenadmin account anmelden nur mit einem lokalen administrator account ?! Das Konto mit dem ich micht anmelden versuche hat domänen admin rechte. Mit einem lokalen Adminsitrator kann ich mich per RDP an den betroffenen Servern anmelden whoami /groups liefert folgendes:

Everyone

oup, Enabled by default, Enabled group

BUILTIN\Administrators

oup, Enabled by default, Enabled group BUILTIN\Users

oup, Enabled by default, Enabled group

NT AUTHORITY\REMOTE INTERACTIVE LOGON

oup, Enabled by default, Enabled group

NT AUTHORITY\INTERACTIVE

oup, Enabled by default, Enabled group

NT AUTHORITY\Authenticated Users

oup, Enabled by default, Enabled group

NT AUTHORITY\This Organization

oup, Enabled by default, Enabled group

LOCAL

oup, Enabled by default, Enabled group

NT AUTHORITY\NTLM Authentication

oup, Enabled by default, Enabled group

Link zu diesem Kommentar

Moin,

 

hast du mir jetzt die whoami-Ausgabe des lokalen Accounts gepostet?! Die interessiert nicht. Ich will wissen, in welchen Gruppen dein Domänen-Account auf dem Server effektiv Mitglied ist. Dazu musst du dich mit dem Account lokal anmelden (RDP geht ja nicht).

 

Aber die Domäne hast du beim Anmeldeversuch mit dem Domänenkonto schon ausgewählt? Welche Fehlermeldung erscheint beim Anmeldeversuch?

 

Gruß, Nils

Link zu diesem Kommentar

Fehlermeldung:

 

To log on to this remote computer, you must have Terminal Server User Access Permissions on this computer. By default, members of the Remote Desktop group have these permissions. If you are not a member of the Remote Desktop Users group or another group that has these permissions, or if the Remote Desktop User group does not have these permissions, you must be granted these permissions manually.

Link zu diesem Kommentar

Moin,

 

prüf doch noch mal, ob die Domänen-Admins wirklich noch in den lokalen Admingruppen der Server drinstehen. Vielleicht läuft bei dir ja auch eine Policy oder ein Skript, das die Mitgliedschaft neu setzt.

 

Und bitte: Führ doch mal lokal angemeldet als der Domänenbenutzer "whoami /groups" aus.

 

Kommst du denn mit dem Domänenaccount mit anderen Zugriffsarten ran? Zugriff auf die Admin-Shares, psexec oder sowas?

 

Gruß, Nils

Link zu diesem Kommentar

Hallo,

 

die Berechtigungen habe ich gerade noch mals gecheckt passt soweit ich habe die Domain-Admins in der Gruppe der lokalen Administratoren drinnen. Zusätzlich habe ich mich selbst auch in die lokale admingruppe gestellt.

 

Allerdings funktioniert jetzt aufeinmal die anmeldung per KVM Konsole auch nicht mehr Domain konnte nicht gefunden werden. Der Exchange Server arbeitet aber normal. Testemails kommen rein und gehen auch raus habe ich gerade von meinem ext. postfach gecheckt ??

Link zu diesem Kommentar

moin ich wieder,

 

ich musste erst ein wartungsfenster für die neustarts der server abwarten.

leider haben die neustarts nichts gebracht, die rdp anmeldung mit einem domainadmin an den betroffenen servern funktioniert nicht selbe fehlermeldung wie gehabt:

To log on to this remote computer, you must have Terminal Server User Access Permissions

 

Die fehlermeldung "Domain wurde nicht gefunden" hat sich erledigt ich wollte mich per kvm auf dem passiven neverfail Exchange anmelden nik down soll ja so sein. sorry hab nicht aufgepasst!

 

whoami /groups habe ich als domänen admin user ausgeführt domänenadmin gruppe ist in der liste enthalten. Ich habe die Gruppe Domänen Admins zusätzlich zur gruppe der remote user hinzugefügt ohne erfolg

Das problem ist wirklich strange die berechtigungen sollten doch passen, allerdings funktioniert der zugriff per rdp nur mit einem lokalen administrator. wenn ich einen domänen user in die gruppe die lokale administratorengruppe eines der betroffenen server aufnehme funktioniert die rdp anmeldung mit diesem user. die gruppe domänen admins allerdings nicht ??

 

bin für jeden ratschlag dankbar.

Link zu diesem Kommentar

leider haben die neustarts nichts gebracht, die rdp anmeldung mit einem domainadmin an den betroffenen servern funktioniert nicht selbe fehlermeldung wie gehabt:

To log on to this remote computer, you must have Terminal Server User Access Permissions

 

Dann wirst du die wohl nicht haben. Entweder ist auf dem Account der Haken gesetzt, dass Terminalserveranmeldungen generell nicht gestattet sind, oder dieses Recht wurde diesem Nutzer verweigert, oder die Domadmins haben das Recht nicht in den Sicherheitsrichtlinien.

 

Bye

Norbert

Link zu diesem Kommentar
Well I am glad to report the problem is now solved...

 

It was actually very very simple.

 

In terminal services configuration I had to set the sessions (well session since it a simple setup) properties. There set permissions and add in the appropriate groups.

 

Now all is well with the Terminal Server.

 

thanks

 

I't would be a lot easier to understand your answer if you'd written it in German.

 

Bye

Norbert

Link zu diesem Kommentar
Sorry,

 

Ich habe alle Berechtigungen geprüft und das Problem lag an

Admnistrativ Tools > Terminal Services Configuration > RDP-TCP Properties > Permissions Domänen-Admins hinzugefügt full control aktiviert.

 

Domänen-Admins Gruppe bei allen betroffenen Servern hinzugefügt !

 

Hmm normalerweise brauchst du die Gruppe der Dom-Admins aber nicht hinzufügen, da diese doch Mitglied der lokalen Admingruppe ist. Und die haben das Recht der Terminalserveranmeldung. Oder wird da bei dir was modifiziert?

 

Bye

Norbert

Link zu diesem Kommentar

Moin,

 

Oder wird da bei dir was modifiziert?

 

der Gedanke ist sehr naheliegend, ich hatte ihn vor einigen Tagen ja auch schon geäußert:

 

prüf doch noch mal, ob die Domänen-Admins wirklich noch in den lokalen Admingruppen der Server drinstehen. Vielleicht läuft bei dir ja auch eine Policy oder ein Skript, das die Mitgliedschaft neu setzt.

 

Zumal es ja am Anfang hieß, dass eine andere Gruppe in den lokalen Admins war ...

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...