Jump to content
Sign in to follow this  
cbbob

Admn Rechte auf Domaincatroller

Recommended Posts

Hi!

 

Ich verwalte in meiner Firma eine reine W2k3 Domäne. Jeder Standort hat einen Domaincontroller und meist sind die Standorte so klein, dass dieser Domaincontroller der einzige Server dort ist und gleichzeitig mehrere Aufgaben übernimmt (Fileserving/Printserving usw.).

 

Jetzt stehe ich vor dem Problem, dass ich an diesen Standort technisches Personal habe, die in der lage sein sollen sich an diesem Domaincontroller anzumelden, um z.B. Anwendungen zu installieren o.ä.. Allerdings will ich sie natürlich auf keinen Fall zu Domain-Admins oder Kontenoperatoren machen, weil sie auf mein AD keinen grösseren Zugriff als alle standard User haben sollen.

 

Hat einer von Euch ne Idee, wie das hinkriege?

Share this post


Link to post

OK das habe ich versucht, aber leider kann ich mich trotzdem nicht anmelden, weil ich eine Fehlermeldung bekomme "Die lokale Sicherheitsrichlinie erlaubt es Ihnen sich interaktiv anzumelden". Ich habe schonmal in der Defaul Domain Controllers Policy nachgesehen, da sind aber die Server-Operatoren bei (Lokal anmelden zulassen) aufgelistet. Woran kann das hängen??

 

Ich habe auch schonmal die Replikation zwischen den Standorten angestoßen, aber da hat sich auch nichts getan.

 

Mache ich da noch irgendeinen DAU-Fehler??

Share this post


Link to post

Sehr seltsam.

Ich rekapituliere: der Benutzer ist direkt auf dem DC selber in der Gruppe der Server-Operatoren? Und er will sich jetzt genau an diesem DC anmelden und bekommt den Fehler?

 

grizzly999

Share this post


Link to post

ja Genau,

 

ich verstehe das auch nicht so ganz das Problem hatte ich noch nie.

 

Ich habe den User direkt in die Gruppe Server-Operatoren aufgenommen und habe versucht mich anschließend an genau diesem DC (der alle Betriebsmaster hat) anzumelden und bekomme dann diese Fehlermeldung.

Share this post


Link to post

Neben dem Benutzerrecht sich loakle anzumelden, gibt es acu eines, das die Anmeldung explizit verweigert. Da steht aber nichts drin?

Gibt es eine Richtline auf Domänenebene, die hier nichts zulässt und auf Kein Vorrang steht?

 

grizzly999

Share this post


Link to post

Nein leider nicht.

 

Die ganze Domain ist recht frisch installiert, auf Domänenebene gibt es bis jetzt keine andere Policy neben der Default Domain Policy.

Und auch für die DCs gibt es z.Z. keine andern GPOs als die Default.

Share this post


Link to post

Dann behaupte ich jetzt einfach mal, ist der Benutzer nicht in der Gruppe drin, bzw. es ist ein anderer Benutzer, mit dem man die Anmeldung versucht.

 

grizzly999

Share this post


Link to post

OK ich konnte das Problem eingrenzen.

 

Ich habe die Anmeldung die ganze Zeit per RDP versucht, hatte den Benutzer natürlich auch vorher in die Remotedesktopbenutzer Gruppe eingefügt.

 

Eben war ich direkt am Server und da ging es dann. Jetzt hänge ich nur noch beim Login per RDP.

 

Muss der User dafür noch in einer anderen Gruppe Mitglied sein?

Share this post


Link to post

Mann o Mann, warum schreibst du das nicht gleich? Ich frage nach lokaler Anmeldung und du sagst"Ja habe ich" :cry:

 

Ist die Richtlinie für Terminaldienste erlaubt?

 

 

grizzly999

Share this post


Link to post

Hab's gelöst:

 

Das Problem war, dass zwar i.d Default Domain Controller Policy zwar eingerichtet war, dass sich die ServerOperatoren lokal anmelden können, aber für den User, der Mitglied in der Gruppe ServerOperatoren ist, die DefaultDomain Policy gilt. Dort mußte ich unter

"Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Anmelden über Terminaldienste zulassen" Sie Server-Operatoren eintragen.

 

Danke für Eure Unterstüzung!

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...