Jump to content

Sicherheitsgruppe für User an TS nicht wirksam


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo MCSE Gemeinde,

 

in einer W2K3 Domäne hab ich einen User, der Mitglied der Gruppe Administratoren ist. Wenn dieser sich an einen PC Client anmeldet ist auch alles bestens. Via gpresult kann man sehen, das er Member der Sicherheitsgruppe ist.

Wenn dieser Benutzer sich nun an einen TS anmeldet wird diese Mitgliedschaft seltsamer Weise nicht gezogen :confused::shock:.

Problem ist: Durch die Mitgliedschaft wird die Übernahme einiger Richtlinien verhindert, die nur für den Standarduser gelten.

 

Hat jemand eine Idee dazu ?

 

Greetings Ralf

Link zu diesem Kommentar

Hi Ralf,

 

in welcher Gruppe ist der Benutzer genau? In der Builtin AD Gruppe "Administratoren" oder in einer eigenens erstellten Gruppe?

Steht der Terminal Server in derselben Domäne wie der Client, bei dem es funktioniert?

In wie vielen Gruppen ist der Benutzer Mitglied?

Zeigt Dir das GPRESULT bzw. ein "whoami" die Gruppenmitgliedschaft auf dem TS nicht an oder greift auf dem TS vielleicht einfach das Policy-Objekt nicht (etwa wegen falscher Verlinkung oder Loopback-Processing)?

 

Viele Grüße

olc

Link zu diesem Kommentar

Der Benutzer ist Mitglied der Builtin Gruppe.

Ja der TS ist in der gleichen Domäne.

Neben der Gruppe Administratoren ist er noch Mitglied von Domänen-Benutzer und TC (Gruppe die sich an TS anmelden darf), sowie un einer Gruppe Internet (Internetzugriffssteuerung) und Mitglied in Verschiedenen Verteilergruppen, also non Sec Gruppen.

 

In der Tat wirft gpresult eben halt die Mitgliedschaft "Administratoren" nicht aus. Alle anderen schon.

Richtlinien und Verlinkung müssen stimmen. Es gibt nämlich einen 2. Benutzer der bis auf den Namen identisch ist. Bei dem funktioniert alles wie gewünscht.

Hatte erst an einen Replikationsfehler gedacht und alle DC´s gecheckt. Auf allen sind die Usereinstellungen korrekt repliziert und übernommen. Wie gesagt es klappt auch nur auf dem TS nicht - und nur bei dem einen User.

 

BTW auf dem PC Client gibt gpresult das richtige Ergebnis für den User aus.

 

 

Greetings Ralf

Link zu diesem Kommentar

Okay...nochmal:

- Er ist Mitglied der Builtin Gruppe Administratoren auf dem DC also in der Domäne.

- Er ist nichtMizglied der Gruppe Administratoren auf einem lokalen PC

- Nein die Gruppenzugehörogkeit wird nicht via GPO und eingeschränkte Gruppen eingestellt

 

Wenn dieser User sich nun von einem PC aus an der Domäne anmeldet, werden lt. gpresult die Mitgliedschaften richtig gezogen.

Meldet der gleiche Benutzer sich nun von einem TC aus via TS an der Domäne an, werden die Mitgliedschaften alle gezogen, außer der der Administratoren.

 

Ein identischer 2. Benutzer mit gleichen Mitgliedschaften hat diese Probleme nicht.

 

Greetings Ralf

Link zu diesem Kommentar

Hallo Ralf,

 

nach dem, was Du schreibst, wundert es mich eher, dass der User auf dem Client Administrator ist. Denn eigentlich kann das so nicht sein, es sei denn, man fügt ihn manuell oder per "eingeschränkte Gruppen" hinzu. Die BuildIn-Gruppe "Administratoren" wirkt sich nicht auf Clients oder Member-Server aus und kann demnach keinen Einfluss auf die Mitgliedschaften haben.

Link zu diesem Kommentar

Du meinst diese Ausgabe ?

 

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
   -----------------------------------------------------------
       Domänen-Benutzer
       Jeder
       Benutzer
       INTERAKTIV
       Authentifizierte Benutzer
       LOKAL

 

Und da steht dann, wenn Du das auf einem PC ausführst, die Gruppe Administratoren und auf dem TS nicht ?!

 

@Stephan

Genau darauf will ich auch hinaus, das kann nicht sein, da dort die Builtin\Administratoren gar nicht angezeigt werden. Das muss also eine lokale Mitgliedschaft sein ...

Link zu diesem Kommentar

Ganz einfach:

Der User war vorher lediglich Standarduser mit lokalen Adminrechten auf seinem PC.

Jetzt sollte er innerhalb der Domäne Adminrechte erhalten, also habe ich Ihn so ganz im Tran der Gruppe Administratoren hinzugefügt. Ganz vergessend, das sich diese natürlich nicht Domänenweit auswirkt.

Also habe ich Ihn zu den Domänen-Admins hinzugefügt, und siehe da der gewünschte Erfolg wude erreicht.

 

Greetings Ralf

 

PS: @Stephan Betken -> Ich hoffe Du kannst mir noch einmal vergeben ;)

Link zu diesem Kommentar
Jetzt sollte er innerhalb der Domäne Adminrechte erhalten...

Warum müssen es immer gleich Domänen-Admins sein? ;)

Oft reicht es ja, den Benutzern auf den Clients und ggfls. den Member-Servern Admin-Rechte zu geben (falls es wirklich notwendig ist). Aber das jeder gleich am AD schrauben kann... (Obwohl ............. ist ja nicht meins.)

 

PS: @Stephan Betken -> Ich hoffe Du kannst mir noch einmal vergeben ;)

Um die Uhrzeit? Ungerne. Nicht vor´m ersten Kaffee. :p ;) :D

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...