Jump to content

Remote Credential Guard funktioniert nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Geschrieben

Liebes Forum,

 

ich habe versucht RCG für einen Server und einen Client einzurichten.

Für den Client habe ich diese GPO eingestellt:

System/Credentials Delegation
Policy Setting 
Restrict delegation of credentials to remote servers: Enabled  
Use the following restricted mode: Require Remote Credential Guard 
 

Für den Server:

System/Credentials Delegation
Policy Setting
Remote host allows delegation of non-exportable credentials: Enabled 

Der zu testende AD-User ist Mitglied einer AD-Gruppe, die wiederum Mitglied der lokalen Gruppe "Remote Desktop Users" ist.

Wenn ich mich mit einem AD-User anmelde, dann erhalte ich: "the requested session access is denied". Ist der AD-User Mitglied der lokalen Gruppe der Administratoren, funktioniert die Anmeldung.

Im ersteren Fall kommt im Event Log, "successfully", obwohl die Anmeldung abgewiesen wird:

An account was successfully logged on.

Subject:
	Security ID:		SYSTEM
	Account Name:		SERVER$
	Account Domain:		YYY
	Logon ID:		0x3E7

Logon Information:
	Logon Type:		10
	Restricted Admin Mode:	No
	Virtual Account:		No
	Elevated Token:		No

Impersonation Level:		Impersonation

New Logon:
	Security ID:		YYY\xxxx
	Account Name:		xxxx
	Account Domain:		YYY

Im zweiten Fall, als lokaler Admin kommt dieses Ereignis:

An account was successfully logged on.

Subject:
	Security ID:		SYSTEM
	Account Name:		SERVER$
	Account Domain:		YYY
	Logon ID:		0x3E7

Logon Information:
	Logon Type:		10
	Restricted Admin Mode:	No
	Virtual Account:		No
	Elevated Token:		No

Impersonation Level:		Impersonation

New Logon:
	Security ID:		YYY\addom-XXXX
	Account Name:		addom-XXXX
	Account Domain:		YYY
	Logon ID:		0x140036
	Linked Logon ID:		0x13FFEE
	Network Account Name:	-
	Network Account Domain:	-
	Logon GUID:		{00000000-0000-0000-0000-000000000000}

Process Information:
	Process ID:		0x8b8
	Process Name:		C:\Windows\System32\svchost.exe

Network Information:
	Workstation Name:	SERVER
	Source Network Address:	10.x.x.x
	Source Port:		0

Detailed Authentication Information:
	Logon Process:		User32 
	Authentication Package:	Negotiate
	Transited Services:	-
	Package Name (NTLM only):	-


Was kann ich tun, um RCG für Domänen-Administratoren zu erzwingen?

 

Viele Grüße
Davorin

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...