Jump to content
Sign in to follow this  
Userle

Sicherheitsgruppe für User an TS nicht wirksam

Recommended Posts

Hallo MCSE Gemeinde,

 

in einer W2K3 Domäne hab ich einen User, der Mitglied der Gruppe Administratoren ist. Wenn dieser sich an einen PC Client anmeldet ist auch alles bestens. Via gpresult kann man sehen, das er Member der Sicherheitsgruppe ist.

Wenn dieser Benutzer sich nun an einen TS anmeldet wird diese Mitgliedschaft seltsamer Weise nicht gezogen :confused::shock:.

Problem ist: Durch die Mitgliedschaft wird die Übernahme einiger Richtlinien verhindert, die nur für den Standarduser gelten.

 

Hat jemand eine Idee dazu ?

 

Greetings Ralf

Share this post


Link to post

Hi Ralf,

 

in welcher Gruppe ist der Benutzer genau? In der Builtin AD Gruppe "Administratoren" oder in einer eigenens erstellten Gruppe?

Steht der Terminal Server in derselben Domäne wie der Client, bei dem es funktioniert?

In wie vielen Gruppen ist der Benutzer Mitglied?

Zeigt Dir das GPRESULT bzw. ein "whoami" die Gruppenmitgliedschaft auf dem TS nicht an oder greift auf dem TS vielleicht einfach das Policy-Objekt nicht (etwa wegen falscher Verlinkung oder Loopback-Processing)?

 

Viele Grüße

olc

Share this post


Link to post

Der Benutzer ist Mitglied der Builtin Gruppe.

Ja der TS ist in der gleichen Domäne.

Neben der Gruppe Administratoren ist er noch Mitglied von Domänen-Benutzer und TC (Gruppe die sich an TS anmelden darf), sowie un einer Gruppe Internet (Internetzugriffssteuerung) und Mitglied in Verschiedenen Verteilergruppen, also non Sec Gruppen.

 

In der Tat wirft gpresult eben halt die Mitgliedschaft "Administratoren" nicht aus. Alle anderen schon.

Richtlinien und Verlinkung müssen stimmen. Es gibt nämlich einen 2. Benutzer der bis auf den Namen identisch ist. Bei dem funktioniert alles wie gewünscht.

Hatte erst an einen Replikationsfehler gedacht und alle DC´s gecheckt. Auf allen sind die Usereinstellungen korrekt repliziert und übernommen. Wie gesagt es klappt auch nur auf dem TS nicht - und nur bei dem einen User.

 

BTW auf dem PC Client gibt gpresult das richtige Ergebnis für den User aus.

 

 

Greetings Ralf

Share this post


Link to post

Er ist Mitglied der Builtin Gruppe Administratoren eines DCs und ist auf einem PC Member welcher Gruppe, der lokalen Administratoren (das sind zwei verschiedene Gruppen) ? Die Gruppenzugehörigkeit wird via GPO und "Eingeschränkte Gruppen" eingestellt ? Wie ist denn die Sicherheitsfilterung der entsprechenden GPOs eingestellt ?

Share this post


Link to post

Okay...nochmal:

- Er ist Mitglied der Builtin Gruppe Administratoren auf dem DC also in der Domäne.

- Er ist nichtMizglied der Gruppe Administratoren auf einem lokalen PC

- Nein die Gruppenzugehörogkeit wird nicht via GPO und eingeschränkte Gruppen eingestellt

 

Wenn dieser User sich nun von einem PC aus an der Domäne anmeldet, werden lt. gpresult die Mitgliedschaften richtig gezogen.

Meldet der gleiche Benutzer sich nun von einem TC aus via TS an der Domäne an, werden die Mitgliedschaften alle gezogen, außer der der Administratoren.

 

Ein identischer 2. Benutzer mit gleichen Mitgliedschaften hat diese Probleme nicht.

 

Greetings Ralf

Share this post


Link to post

Hallo Ralf,

 

nach dem, was Du schreibst, wundert es mich eher, dass der User auf dem Client Administrator ist. Denn eigentlich kann das so nicht sein, es sei denn, man fügt ihn manuell oder per "eingeschränkte Gruppen" hinzu. Die BuildIn-Gruppe "Administratoren" wirkt sich nicht auf Clients oder Member-Server aus und kann demnach keinen Einfluss auf die Mitgliedschaften haben.

Share this post


Link to post

Du meinst diese Ausgabe ?

 

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
   -----------------------------------------------------------
       Domänen-Benutzer
       Jeder
       Benutzer
       INTERAKTIV
       Authentifizierte Benutzer
       LOKAL

 

Und da steht dann, wenn Du das auf einem PC ausführst, die Gruppe Administratoren und auf dem TS nicht ?!

 

@Stephan

Genau darauf will ich auch hinaus, das kann nicht sein, da dort die Builtin\Administratoren gar nicht angezeigt werden. Das muss also eine lokale Mitgliedschaft sein ...

Share this post


Link to post

Big Sorry, war nett das wir einmal darüber gesprochen haben :D !

Da war mal wieder ein grosses Brett vor dem Kopf.

 

@IThome und Stephan Bethken

Danke fürs wegsägen ;).

 

Jetzt klappt alles :D

 

Greetings Ralf

Share this post


Link to post

Na, hey, moment. Nicht so schnell. ;)

 

Was war´s denn nu?

 

...Stephan Bethken...

Wenn Du schon den Nachnamen schreibst, dann aber wenigstens richtig. Das gibt Pluspunkte auf der Minusliste. ;)

Share this post


Link to post

Ganz einfach:

Der User war vorher lediglich Standarduser mit lokalen Adminrechten auf seinem PC.

Jetzt sollte er innerhalb der Domäne Adminrechte erhalten, also habe ich Ihn so ganz im Tran der Gruppe Administratoren hinzugefügt. Ganz vergessend, das sich diese natürlich nicht Domänenweit auswirkt.

Also habe ich Ihn zu den Domänen-Admins hinzugefügt, und siehe da der gewünschte Erfolg wude erreicht.

 

Greetings Ralf

 

PS: @Stephan Betken -> Ich hoffe Du kannst mir noch einmal vergeben ;)

Share this post


Link to post
Jetzt sollte er innerhalb der Domäne Adminrechte erhalten...

Warum müssen es immer gleich Domänen-Admins sein? ;)

Oft reicht es ja, den Benutzern auf den Clients und ggfls. den Member-Servern Admin-Rechte zu geben (falls es wirklich notwendig ist). Aber das jeder gleich am AD schrauben kann... (Obwohl ............. ist ja nicht meins.)

 

PS: @Stephan Betken -> Ich hoffe Du kannst mir noch einmal vergeben ;)

Um die Uhrzeit? Ungerne. Nicht vor´m ersten Kaffee. :p ;) :D

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...