Yargo 10 Report post Posted October 8, 2010 Hallo, ich habe hier ein Problem, welches ich nicht nachvollziehen kann. Vielleicht sehe ich auch nur den Wald vor lauter Bäumen nicht und wäre für den richtigen Hinweis dankbar. Das Problem ist eigentlich eindeutig, zumindest seitens der Fehlermeldung. Mir wurde ein neu aufgesetzter 2008 R2 übergeben, der weiter eingerichtet werden sollte. Also dcpromo ausgeführt, alles eingerichtet und als ich mich (mit einem XP-Client) anmelden wollte, bekomme ich den Hinweis: die lokale Richtlinie erlaubt es ihnen nicht sich interaktiv anzumelden Das Bild ist insofern auch stimmig, als das ich denselben User anmelden kann, sobald er Administrative Rechte in der Domäne hat. Nur wurden die entsprechenden Richtlinien nicht angefasst. Auf einem Win7 ist das gleiche Problem, halt nur mit der anderen Fehlermeldung Es geht nur um die normale Anmeldung auf einem Client, kein TS. Vielleicht hat ja jemand eine Idee. Gruß Martin Quote Share this post Link to post
Sunny61 476 Report post Posted October 8, 2010 Prüf an einem Client mit RSOP.MSC was genau ankommt. Alternativ auch mit GPEDIT.MSC in den lokalen GPOs suchen. Quote Share this post Link to post
Yargo 10 Report post Posted October 9, 2010 Prüf an einem Client mit RSOP.MSC was genau ankommt. Alternativ auch mit GPEDIT.MSC in den lokalen GPOs suchen. Hallo, das kann ich natürlich noch einmal machen. An welche Richtlinie denkst Du? Was sollte mir da auffallen? Meines Wissens kann ich dem User die interaktive Anmeldung nur verwehren, indem ich diese Möglichkeit per Richtline einschränke. Entweder durch eine lokale Richtlinie (die sind nicht angefasst worden) oder durch ein GPO in der Domäne. Nach dem ich den Fehler nicht gesehen/gefunden habe, hatte ich alle GPOs gesichert und gelöscht. Außerdem habe ich das Computerobjekt in die OU computers und das Userobjekt in die OU users geschoben. Somit bleiben nur noch die DDP und die DP übrig (oder mache ich hier einen Gedankenfehler?). Und in denen ist alles auf Standard gesetzt. Gibt es noch eine andere Möglichkeit einem User die interaktive Anmeldung zu verwehren? Gruß Martin Quote Share this post Link to post
Sunny61 476 Report post Posted October 10, 2010 das kann ich natürlich noch einmal machen. An welche Richtlinie denkst Du? Was sollte mir da auffallen? Geh alle Richtlinien von oben nach unten genau durch. Meines Wissens kann ich dem User die interaktive Anmeldung nur verwehren, indem ich diese Möglichkeit per Richtline einschränke. Entweder durch eine lokale Richtlinie (die sind nicht angefasst worden) oder durch ein GPO in der Domäne. Richtig. Nach dem ich den Fehler nicht gesehen/gefunden habe, hatte ich alle GPOs gesichert und gelöscht. Außerdem habe ich das Computerobjekt in die OU computers und das Userobjekt in die OU users geschoben. Somit bleiben nur noch die DDP und die DP übrig (oder mache ich hier einen Gedankenfehler?). Und in denen ist alles auf Standard gesetzt. Du hast also alles überprüft und die Meldung kommt immer noch? Gibts Besonderheiten beim Benutzerobjekt? Ist der Benutzer in Gruppen, die ein Deny irgendwo eingestellt haben? Gibt es noch eine andere Möglichkeit einem User die interaktive Anmeldung zu verwehren? Quote Share this post Link to post
Yargo 10 Report post Posted October 11, 2010 Geh alle Richtlinien von oben nach unten genau durch. Das habe ich ja schon x-fach gemacht. Schon vor der Anfrage hier :) Du hast also alles überprüft und die Meldung kommt immer noch? Gibts Besonderheiten beim Benutzerobjekt? Ist der Benutzer in Gruppen, die ein Deny irgendwo eingestellt haben? Ja, habe ich. Und nein, verweigern halte ich für gefährlich und setze es daher (bis jetzt) nicht ein. Inzwischen habe ich kapituliert und die Kiste neu aufgesetzt und nun funktioniert alles wie es soll. Und dabei habe ich die GPOs aus der Sicherung importiert… So langsam habe ich den Eindruck, mir wurde der Bug schon mit dem installierten System mitgeliefert. Falls noch jemand eine Idee hat, ich habe ein Image vom defekten DC :cool: Gruß Martin Quote Share this post Link to post