Auf einmal keine RDP-Anmeldung am DC1 & DC2 mehr möglich

[StRe 1]

Hallo zusammen,

 

siehe Screenshot anbei - ich kann mich auf einmal nicht mehr mit dem Domänenadmin via RDP am DC1 & DC2 anmelden. Der User ist aber def. Mitglied der besagten Gruppen. Auf anderen Servern aus unserer Umgebung kann ich mich problemlos via RDP anmelden.

 

Ich steig nicht dahinter :-(

[NorbertFe 2.343]

Und hat die Gruppe denn noch das Recht zur Anmeldung per rdp? Wärst nicht der erste der mal eben Security Richtlinien falsch verlinkt hat. ;)

[teletubbieland 221]

Und die anderen User (in der gleichen Gruppe) können sich anmelden?

 

[StRe 1]

In der Sicherheitsgruppe "Remotedesktopbenutzer"  ist der "Administrator" Mitglied. Auf dem DC unter Remotedesktop steht MEINEDOMÄNE\Administrator als Remotedesktopbenutzer drin.

 

Mit einem anderen Admin kann ich mich via RDP anmelden...

bearbeitet 6. November von StRe

[teletubbieland 221]

Dann prüf mal die GPO für die Maschinen

[StRe 1]

Ich hab an unseren GPOs nichts verändert... Hast du eine bestimmte/spezielle GPO im Fokus?

[teletubbieland 221]

Grundsätzlich würde ich nach etwas suchen, was dem Administartor die RDP-Amneldung verbietet.

was sagt denn das Log auf dem Server?

 

[Sunny61 842]

Auf der Konsole anmelden und manuell prüfen ob der Haken auch noch gesetzt ist.

[StRe 1]

Wenn ich mich per Konsole einlogge, dann ist die RDP-Anmeldung aktiv. Hab sie mal deaktiviert, reboot und wieder aktiviert... Aber leider besteht das Problem weiterhin :-(

[NorbertFe 2.343]

Es dürfte sich entweder um eine fehlende Mitgliedschaft des Accounts in einer Gruppe handeln der die Anmeldung erlaubt ist, oder er ist in einer Gruppe, der die Anmeldung verweigert ist. Wirst du halt nur mit Prüfung der sicherheitsrichtlinien lösen können.

bearbeitet 7. November von NorbertFe

[testperson 1.920]

Hi,

 

was wirkt denn auf die Domain Controller bzw. was kommt bei einem "gpresult /h gpo.html" dort an?

• SeRemoteInteractiveLogonRight: Allow log on through Remote Desktop Services - Windows 10 | Microsoft Learn
• (SeDenyRemoteInteractiveLogonRight: Deny log on through Remote Desktop Services - Windows 10 | Microsoft Learn)

Gruß

Jan

[MurdocX 1.010]

Ich sehe es auch wie meine Vorredner.

 

Gerne übersehen wird bei Problemen auch: 

-> SeDenyNetworkLogonRight "Deny access to this computer from the network"

 

VG,

Jan

bearbeitet 9. November von MurdocX

[StRe 1]

So, erst jetzt dazu gekommen... In der GPO "Default Domain Controllers Policy" in der Richtline "Anmelden über Remotedesktopdienste zulassen" fehlt tatsächlich ein entsprechender Eintrag. Kurios..

Lt. Microsoft stehen dort für gewöhnlich die Gruppen "Administratoren" & "Remotedesktopbenutzer" drin, korrekt?

 

Im Eventlog finde ich leider keine Einträge mehr, die rückschließen lassen, wer die Anpassung vorgenommen hat :-(