Jump to content

AD Fragen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich habe ja nicht gesagt das es schön ist. Ist nunmal der Zeitliche Aufbau hier und es muss mal geändert werden.

Nicht schön ist gut, damit hebelst Du alle Sicherheit aus die dir das System von Haus aus mitbringt.

 

Es ging mir eher drum das lokale Accounts noch erreichbar sind.

 

Melde dich an einem Gerät mit einem Domain Account. Alles wird eingerichtet, fertig. Jetzt abmelden und Herunterfahren. Netzwerkkabel ziehen, einschalten und mit dem Domain Account von vorhin anmelden. Was passiert?

Link zu diesem Kommentar

Berechtigungen sind wieder eine ganz andere Sache!

 

Scheinbar habe ich mehr Problem mit den deutschen Wörtern (ist nicht meine Muttersprache) bzw. verwechsle noch Gruppenrichtlinien, Berechtigungen usw. Was ich aber dann meistens schon weiß, was hinter was steckt. Ich weiß zB. dass man in GPO nicht Ordner freigeben kann (Permissions).

 

 

 

meinst du mit Key das Anmeldepasswort?

 

Nein. Ich weiss leider nicht mehr genau wie es heisst, irgendwo habe ich es nachgelesen, und derjenige hat es irgendwie genannt. Ob Key oder irgendwie sonst, weiss ich nicht mehr genau. Habe ich bereits gesagt :)

 

 

Aber...nachdem mir einige hier sehr hilfreiche Sachen geschrieben haben, ist mir gerade ein Lämpchen aufgeleuchtet. Es war ein Gedankenfehler von mir zu denken dass ich für jeden Rechner einen Nutzer benötige. Ich soll eigentlich die Domäne wie einen grossen Rechner sehen der andere "Rechner" enthält. Vereinfacht gesagt. Ein Admin Konto der dafür da ist, alle Rechner zu verwalten. Und dann gibt's das Thema Roaming User Profile, das muss ich noch nachsehen/lernen.

 

 

Die Domäne ist eine Instanz und da gibt es in diesem Sinne kein "Lokales Benutzerprofil" mehr. (so wurde es mir erklärt)

 

Sicher? Da das Profil weiterhin am lokalen Rechner gespeichert wird... nun der Ordner heisst anders: username.domain.local, oder wie auch immer die Domäne heisst. Nur wenn du dein Profil im Netz ablegst (das verstehe ich unter Roaming User Profile), hast du dein Profil nicht mehr am Rechner, sondern am Server, und wird jedes mal kopiert. Das Profil wird zwar lokal nicht gelöscht, aber ich weiss nicht ob offline geladen werden kann... vermute ja... Aber wie gesagt, muss hier noch einiges nachlesen, vielleicht schreibe ich eh ein Blödsinn :)

 

 

und es kann nur einen geben.

 

Highlander-Prinzip ;-)

 

 

 

Eine reine Lokale Anmeldung OHNE Domäne gibt es beim DC nicht mehr.

 

Genau, soweit war ich auch schon :-)

Aber das ganze ist mir jetzt wesentlich klarer. Die Server sind bereits in der Domäne. Nun muss ich herausfinden wie ich die Kontoeinstellungen und Profil vom lokalen Konto in das Domänenprofil übertrage. Das habe ich bereits schon mal gefragt, es ist alles andere ausser einfach.

 

 

Du packst die Mitglieder in die lokale Gruppe der Remotedesktopbenutzer, schon können sie sich anmelden. Die Mitglieder der lokalen Gruppe der Administratoren dürfen das out of the box.

 

Dass die Admins dürfen, OK, aber das was du für die Benutzer geschrieben hast, habe ich glaube ich ja genauso gemacht. Den "Nutzer01", das ist das Konto, habe ich als Mitglied der Gruppe Remotedesktopbenutzer gemacht. Trotzdem wollte er ohne Eintrag im System nicht per RDP verbinden. Habe noch extra gegen Admin Konto geprüft, mit dem kommt man hinein.

 

Welches Buch hast du denn? Ich hab das Server 2012 by Sams.

Link zu diesem Kommentar

Aber das ganze ist mir jetzt wesentlich klarer. Die Server sind bereits in der Domäne. Nun muss ich herausfinden wie ich die Kontoeinstellungen und Profil vom lokalen Konto in das Domänenprofil übertrage. Das habe ich bereits schon mal gefragt, es ist alles andere ausser einfach.

 

Schau dir diesen Artikel an: http://windows.microsoft.com/de-de/windows/fix-corrupted-user-profile#1TC=windows-7 Jetzt denk dir einfach das defekt Profil in dem Artikel ist dein lokales Profil vom lokalen Konto. Probier das mit einem Testkonto aus.

 

Alternativ diesen Artikel durcharbeiten: http://www.faq-o-matic.net/2010/02/05/benutzerprofile-mit-easytransfer-migrieren/ 

 

 

 

Dass die Admins dürfen, OK, aber das was du für die Benutzer geschrieben hast, habe ich glaube ich ja genauso gemacht. Den "Nutzer01", das ist das Konto, habe ich als Mitglied der Gruppe Remotedesktopbenutzer gemacht. Trotzdem wollte er ohne Eintrag im System nicht per RDP verbinden. Habe noch extra gegen Admin Konto geprüft, mit dem kommt man hinein.

Welchen Eintrag im System meinst Du?

 

 

Welches Buch hast du denn? Ich hab das Server 2012 by Sams.

 

Gar keins.

Link zu diesem Kommentar

Welchen Eintrag im System meinst Du?

 

TS war bis jetzt nicht in der Domäne. Es gab am Rechnern immer zwei Nutzer: ein lokaler Konto als Rechner-Login und ein 2. Nutzer für die TS-Sitzungen. Die Nutzer sind lokal angelegt und dann im RDP im System eingetragen (Unter System -> Erweiterte Systemeigenschaften -> Remote -> Remotedesktop am Terminal Server). Dann wurde DC eigerichtet und TS in die Domäne gesetzt. So jetzt will ich weg vom lokalen Konten und die Rechnerkonten aus dem AD nutzen, sodass der Rechnerlogin = RDP Berechtiger ist, und kein weiterer Nutzer benötigt ist. Ich hoffe dass das Sinn macht und so machbar ist. Die Userdirs würde ich dann aber doch gerne am Server legen, und irgendwie die Möglichkeit haben die Profile zu bereinigen (nach den Schulungsessions einfach alles löschen was die Benutzer gespeichert haben).

 

Die derzeitige Einstellung ist die mittlere, und hier sind die lokalen Benutzer eingetragen. Wenn ich hier den AD-Konto für die RDP-Sitzung eintragen, dann geht's. Ohne, nicht. Geht es überhaupt nur via AD?

Es ist vermutlich die Einstellung 3 die richtige, auf der Netzwerkebene zulassen, nun jetzt kann ich nicht umstellen, da der TS gerade in Verwendung ist. (wobei die mittlere müsste die 3. Option eigentlich inbegriffen haben)

bearbeitet von kosta88
Link zu diesem Kommentar

TS war bis jetzt nicht in der Domäne. Es gab am Rechnern immer zwei Nutzer: ein lokaler Konto als Rechner-Login und ein 2. Nutzer für die TS-Sitzungen. Die Nutzer sind lokal angelegt und dann im RDP im System eingetragen (Unter System -> Erweiterte Systemeigenschaften -> Remote -> Remotedesktop am Terminal Server). Dann wurde DC eigerichtet und TS in die Domäne gesetzt. So jetzt will ich weg vom lokalen Konten und die Rechnerkonten aus dem AD nutzen, sodass der Rechnerlogin = RDP Berechtiger ist, und kein weiterer Nutzer benötigt ist.

Du benutzt nicht die Rechnerkonten aus dem AD, sondern den Benutzeraccount aus dem AD. Der darf sich am TS anmelden. Bitte wirf die Begrifflichkeiten nicht immer durcheinander.

 

Ich hoffe dass das Sinn macht und so machbar ist. Die Userdirs würde ich dann aber doch gerne am Server legen, und irgendwie die Möglichkeit haben die Profile zu bereinigen (nach den Schulungsessions einfach alles löschen was die Benutzer gespeichert haben).

 

Es gibt genügend Möglichkeiten per Script die Benutzerprofile an einem TS in einem Rutsch zu löschen, damit solltest Du auch die Userdirs leeren können.

 

 

 

Die derzeitige Einstellung ist die mittlere, und hier sind die lokalen Benutzer eingetragen. Wenn ich hier den AD-Konto für die RDP-Sitzung eintragen, dann geht's. Ohne, nicht. Geht es überhaupt nur via AD?

 

IMHO geht das auch ohne AD, aber dann mußt Du beim Login immer den exakten Namen des lokalen Konto eingeben: Names_des_Servers\Name_des_Lokalen_Benutzers

Wenn Du mehrere TS ohne AD hast, macht das keinen Spaß. Deshalb Schluß mit der Diskussion, alles in das AD und fertig.

Link zu diesem Kommentar

IMHO geht das auch ohne AD, aber dann mußt Du beim Login immer den exakten Namen des lokalen Konto eingeben: Names_des_Servers\Name_des_Lokalen_Benutzers

 

Nur mal zur Info: Mit .\Name_des_lokalen_Benutzers kann man sich auch immer an der lokalen Maschine anmelden. Den "." ersetzt Windows dann mit dem lokalen Gerätenamen.

 

Wenn Du mehrere TS ohne AD hast, macht das keinen Spaß. Deshalb Schluß mit der Diskussion, alles in das AD und fertig.

 

Da bin ich ganz bei Dir.

Link zu diesem Kommentar

Du benutzt nicht die Rechnerkonten aus dem AD, sondern den Benutzeraccount aus dem AD. Der darf sich am TS anmelden. Bitte wirf die Begrifflichkeiten nicht immer durcheinander.

 

Ich mache mir ernsthaft die Mühe. Ich meinte eh das Benutzerkonto. Ich kann das ganze Netzwerktechnische wesentlich besser auf Englisch, da ich mit Computern seit meiner Jugend zu tun habe, und Deutsche Sprache ist eben für mich netzwerktechnisch relativ neu.

So, nachdem du gesagt hast "Der darf sich am TS anmelden", vermute ich dass man den AD Benutzerkonto Zugriffserlaubnis für den TS geben muss. Nicht nur allgemein RDP sondern auch Rechner-spezifisch. Muss jetzt ganz b***d fragen wie?

 

 

Deshalb Schluß mit der Diskussion, alles in das AD und fertig.

 

Von der Diskussion was lokal zu machen bin schon längst weg. TS ist in der Domäne, nun bekomme ich kein Zugriff ohne lokal am TS die Benutzerkonten einzutragen (wie oben erwähnt).

Link zu diesem Kommentar

Nur mal zur Info: Mit .\Name_des_lokalen_Benutzers kann man sich auch immer an der lokalen Maschine anmelden. Den "." ersetzt Windows dann mit dem lokalen Gerätenamen.

Auch via RDP? Ich hab ja nur immer eine Domain zur Verfügung, deshalb mußte ich das noch nie anders probieren. ;)

 

So, nachdem du gesagt hast "Der darf sich am TS anmelden", vermute ich dass man den AD Benutzerkonto Zugriffserlaubnis für den TS geben muss. Nicht nur allgemein RDP sondern auch Rechner-spezifisch. Muss jetzt ganz b***d fragen wie?

Via GPP kannst Du das eintragen. Ist eine Computer-GPP, dort Systemsteuerung > Lokale Benutzer und Gruppen. Dort gibt es die Möglichkeit AD-Benutzer in lokale Gruppen hinzuzufügen. Bereits bestehende lokale Gruppen auswählen. Ich hab grad kein AD zur Hand, deshalb nur aus dem Kopf.

Link zu diesem Kommentar

Haaaaaaaaaaaa, voll im Griff! Habe auf diese Homepage gruppenrichtlinien.de viel nachgelesen, und ja... man muss am TS, unter Remotedesktop Benutzer schon was eintragen. Und am leichtesten ist wohl eine neue Gruppe für den TS1 erstellen, alle Nutzer die Zugriff bekommen sollen reinhaun, und die Gruppe in den Remotedesktop "Benutzer auswählen..." eintragen. Somit kann ich im AD einfach Mitglieder für die Gruppe wählen, die Zugriff auf dem TS1 haben dürfen. Und wie geil isn das, unsere Software kann sogar die Nutzer direkt aus dem AD auslesen und eintragen. Coole Gschicht, wie man bei uns in Ö sagt ;-)

bearbeitet von kosta88
Link zu diesem Kommentar

Best Practice ist: Ein Domainadministrator ist zum Anmelden am Domain Controller da. Für alles andere richtet man sich einen einfachen Admin-Account ohne Domainadministrator-Rechten ein und fügt ihn (oder eine entsprechende Gruppe) auf den Domainmitgliedern in die Gruppe der lokalen Administratoren hinzu.

 

Daniel,

 

Habe dein Vorschlag versucht, nun entweder mache ich was falsch oder etwas funktioniert nicht. Wenn ich diesen admin-user als Mitglied der lokalen Administratoren Gruppe und Domänen-Benutzer eintrage, funktionieren am Client nach dem erneuten Login trotzdem nicht die Admin-Rechte. zB. Server-Manager lässt sich nicht öffnen und sagt es fehlen die Administrator-Rechte. Ich kann natürlich als Admin ausführen und den Domänen-Administrator eintragen, aber macht das Sinn? Ist das was du meintest?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...