RDP "Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden"

[elzag 10]

Hallo,

 

ich suche alternative Möglichkeiten zu UltraVNC [1] und Remote Administrator [2] (wurden von meinem "Vorgänger" eingeführt), und ich möchte möglichst wenig "Zusatzsoftware" installieren, bzw. die MS-Tools nutzen damit ich möglichst wenig zusätzliche Programme / Lizenzen erwerben muss. Das ist der Grund, wesshalb ich, wenn einigermassen komfortabel lösbar, den Remotedesktop verwenden möchte. Das erste "grössere" Problem ist die im Betreff erwähnte Meldung ("Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden"), welche erscheint wenn ich mich als normaler Support-Benutzer (ist ein Benutzer im Active-Directory welcher unter anderem Mitglied der Gruppe "Remotedesktopbenutzer" ist) anmelden möchte.

 

Folgende Richtlinie habe ich angepasst:

Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Terminaldienste / Remoteverbindungen für Benutzer mit Hilfe der Terminaldienste zulassen -> Aktiviert

 

Und anmelden mit dem "Support-Benutzer" funktioniert auch Problemlos wenn ich am Client als Administrator folgende Einstellungen vornehme (gem. [3]):

- Start / Einstellungen / Systemsteuerung / System

- Register "Remote"

- Unter "Remotedesktop" "Remotebenutzer auswählen" anklicken und den Support-Benutzer der Domäne in die Liste aufnehme.

 

Aber muss ich mich nun zuerst an jedem Rechner als Administrator anmelden und meinen Support-Benutzer in diese Liste aufnehmen? Oder geht das auch mit einer Gruppenrichtlinie?

 

Umgebung:

2x Microsoft Server 2003 Standard Edition (1x Exchange 2003 installiert)

ca. 10 Windows XP Clients (keine Vista-Rechner)

Diverse Netzwerkdrucker / Multifunktionsgeräte (ca. 6 Stk.)

Teilt mir bitte mit wenn ihr mehr Angaben benötigt.

 

Dann hab ich da noch weitere fragen, vor allem betreffend "Multi-User" und RDP, aber dafür möchtet ihr vermutlich weitere Threads...

 

[1] http://www.uvnc.com

[2] http://www.radmin.com/de

[3] http://support.microsoft.com/kb/289289/de

 

Vielen Dank und einen schönen Tag wünscht

elzag

[IThome 10]

Wo sollen sich die Supportbenutzer via RDP anmelden, beim Anmelden an welchen Rechnern tritt dieser Fehler auf ? An den Domänencontrollern ? Was sollen die auf den DCs (wenn es denn welche sind) via RDP machen ?

[elzag 10]

Die beiden 2003er-Server sind DC's, und da soll sich der Support-Benutzer natürlich nicht anmelden, bin mit dir einig dass der da nichts zu suchen hat, sondern nur die Domänen-Admins.

Der Support-Benutzer soll / will sich nur auf den Clients anmelden, und da erscheint auch die erwähnte Meldung.

 

Habe soeben noch [1] gefunden mit der Boardsuche, dort hatte "lefg" schon dasselbe Problem, aber irgendwie haben die dort ein bisschen aneinander vorbei diskutiert...

 

[1] http://www.mcseboard.de/windows-forum-lan-wan-32/remotedestop-diesen-computer-aktrivieren-139784.html

 

mfG,

elzag

[IThome 10]

Das geht natürlich auch mit einer Gruppenrichtlinie. Das Stichwort ist "Eingeschränkte Gruppen". Mit Hilfe dieser Funktion kannst Du den Supportbenutzer zum Mitglied der lokalen Gruppe "Remotedesktopbenutzer" auf den entsprechenden Arbeitsplätzen machen. Da auf den XP-Rechnern per Default das Benutzerrecht "Anmelden über Terminaldienste zulassen" den Administratoren und Remotedesktopbenutzern gewährt wird, solltest Du dann auch zugreifen können.

Diese Richtlinie wird auf die Computerobjekte der Clients angewendet, denn dort soll die Gruppenmitgliedschaft verändert werden ...

[Sonic 10]

Hi,

würde mir das an deiner Stelle gut überlegen, da du dich per RDP zwar auf die Clients connecten kannst, allerdings bringt dir das ziemlich wenig wenn du dem User direkt bei einem Problem helfen willst, da er ja dann nicht sieht was du machst.

 

Gruß

[IThome 10]

Das ist korrekt, das funktioniert nur bei der Remoteunterstützung oder eben mit VNC, Radmin, PCVISIT usw. ...

[elzag 10]

Vielen Dank für dein Stichwort "Eingeschränkte Gruppen", ITHome.

Damit hab ich es soweit hingekriegt das ich lokal keine Anpassungen vornehmen muss. Das ist schon mal sehr angenehm.

 

Was du und Sonic erwähnen, habe ich nun bei meinen ersten Testläufen ebenfalls festgestellt. Dann muss ich jetzt mal schauen ob ich die Remoteunterstützungs-Anfrage automatisieren / umgehen kann, denn für viele meiner User wäre eine "Unterstützungsanforderung" eine "Überforderung".

 

Was ich nicht verstehe, wesshalb wird beim "Remotedesktop" die aktive Sitzung beendet? Ich arbeite ja "im Hintergrund". Nennt sich WinXP nicht ein Multi-User-OS? Kann wirklich nur immer 1 Person pro Rechner arbeiten?

Auf dem Server, angemeldet als Administrator schaut es schon wieder ganz anders aus, dort läuft dann eine ev. schon vorhandene Sitzung ganz normal weiter, so wie ich es mir eigentlich vorstelle/wünsche.

 

 

mfg,

elzag

[NorbertFe 1.863]

Was du und Sonic erwähnen, habe ich nun bei meinen ersten Testläufen ebenfalls festgestellt. Dann muss ich jetzt mal schauen ob ich die Remoteunterstützungs-Anfrage automatisieren / umgehen kann, denn für viele meiner User wäre eine "Unterstützungsanforderung" eine "Überforderung".

 

Remoteunterstützung - Remoteassistence anbieten und konfigurieren

 

Was ich nicht verstehe, wesshalb wird beim "Remotedesktop" die aktive Sitzung beendet?

 

Weil bei XP nur ein Nutzer gleichzeitig arbeiten kann und es in einem domänenintegrierten XP keine schneller Benutzwechsel gibt. ;)

 

Ich arbeite ja "im Hintergrund".

 

Nö, du arbeitest remote auf der Console. ;)

 

Nennt sich WinXP nicht ein Multi-User-OS? Kann wirklich nur immer 1 Person pro Rechner arbeiten?

 

Schau mal in deine EULA von XP. Was steht da?

 

Auf dem Server, angemeldet als Administrator schaut es schon wieder ganz anders aus, dort läuft dann eine ev. schon vorhandene Sitzung ganz normal weiter, so wie ich es mir eigentlich vorstelle/wünsche.

 

Deswegen ist ein Server auch ein Server und XP ist XP. Irgendwie logisch oder?

 

Bye

Norbert

[elzag 10]

Hallo NorbertFe,

 

vielen Dank für deine, für mich sehr hilfreichen, Antworten.

Du hast mir sehr viele Fragezeichen gelöst.

 

Vor allem im Bereich Multi-User, da hab ich bis jetzt halt nur mit Linux gearbeitet und da ist 1 PC / 1 Betriebssystem nicht (oder nur in spezialfällen) auf 1 User beschränkt.

 

Ich werde die Remoteunterstützung mal noch ein bisschen weiter testen, aber verm. wird es nicht die endgültige Lösung sein, da diese in jedem Fall noch die Zustimmung des Benutzers benötigt. Ich brauche aber oft Remotezugriff um die noch laufenden Rechner abends (wenn niemand mehr davor sitzt) "korrekt" herunter zu fahren, will heissen die offenen Anwendungen / Dokumente schliessen / speichern. Und zwar weil es die User trotz "Vorwarnung" nicht hinkriegen, ihre Rechner herunterzufahren wenn ich z.Bsp. Updates auf den Servern mache.

Ich überlege mir allerdings, eine "Weisung" herauszugeben, und wer dann halt nicht heruntergefahren hat, verliert seine "offenen" arbeiten. Dann könnte man mit einem Skript und dem Befehl "shutdown" alle PC's herunterfahren. Fraglich ist nur, wie gut das dann funktioniert, könnte mir vorstellen das einige Applikationen sich nur schlecht "abwürgen" lassen und die PC's danach nicht mehr erreichbar sind da nicht korrekt heruntergefahren, und desshalb auch nicht mehr per "Wake On Lan" geweckt werden können. So, jetzt wirds langsam zu viel Off Topic...

 

 

mfG,

elzag

[NorbertFe 1.863]

Vor allem im Bereich Multi-User, da hab ich bis jetzt halt nur mit Linux gearbeitet und da ist 1 PC / 1 Betriebssystem nicht (oder nur in spezialfällen) auf 1 User beschränkt.

 

Nimm Vista ;) Da kann man den Benutzer wechseln. Trotzdem fliegt der an der Konsole raus. Kann aber danach seine Session wieder öffnen.

 

Ich werde die Remoteunterstützung mal noch ein bisschen weiter testen, aber verm. wird es nicht die endgültige Lösung sein, da diese in jedem Fall noch die Zustimmung des Benutzers benötigt. Ich brauche aber oft Remotezugriff um die noch laufenden Rechner abends (wenn niemand mehr davor sitzt) "korrekt" herunter zu fahren, will heissen die offenen Anwendungen / Dokumente schliessen / speichern. Und zwar weil es die User trotz "Vorwarnung" nicht hinkriegen, ihre Rechner herunterzufahren wenn ich z.Bsp. Updates auf den Servern mache.

Ich überlege mir allerdings, eine "Weisung" herauszugeben, und wer dann halt nicht heruntergefahren hat, verliert seine "offenen" arbeiten.

 

Naja das wäre was, was ich schon lange gemacht hätte ;)

 

Dann könnte man mit einem Skript und dem Befehl "shutdown" alle PC's herunterfahren. Fraglich ist nur, wie gut das dann funktioniert, könnte mir vorstellen das einige Applikationen sich nur schlecht "abwürgen" lassen und die PC's danach nicht mehr erreichbar sind da nicht korrekt

 

/f bei shutdown funktioniert eigentlich immer.

 

Bye

Norbert

[elzag 10]

Hallo NorbertFe,

 

Vista wird bei uns (in nächster Zeit) keine Diskussion, der Aufwand / die Kosten für einen Wechsel ist für unser KMU zu gross. Und da WinXP gem. meinem aktuellen Wissenstand bis 2014 Supported wird und Windows 7 auf Ende 2009 angekündigt ist (dann wirds vermutlich ca. Mitte - Ende 2010 bis zum offiziellen Release, und dann noch ein halbes Jahr zusätzlich bis SP1 kommt), ist mein aktueller Plan die "Generation" Vista zumindest im Geschäft zu überspringen.

Auf die (für uns sehr wenigen mir bekannten) Vista-Features werden wir verzichten können.

 

Und danke für den Tipp mit dem /f - Schalter beim Shutdown-Befehl, erste Tests sind sehr vielversprechend.

 

 

Danke übrigens nochmal an alle hier, eine wirklich nette, schnelle und sehr kompetente Community auf diesem Board.

 

 

mfG,

elzag