schroeder750 10 Geschrieben 5. Oktober 2005 Melden Teilen Geschrieben 5. Oktober 2005 Help !! Folgende Situation: Parallelmigration, NT4-Domäne auf W2K3 AD. Einige Computer bereits mit Computerkonto ins AD übernommen, der Kunde stellt fest, daß sich die Benutzer aus der NT4-Domäne nun nicht mehr an diesen Rechnern anmelden können, obwohl Trust usw. sauber steht. O.K. Kein Problem. Default Domain Policy geschnappt, unter "Windows-Einstellungen/Sicherheitseinstellungen/LokaleRichtlinien/Zuweisen von Benutzerrechten" die lokale Anmeldung für Benutzer der alten und der neuen Domäne zugelassen. Test: Funktioniert. Prima... Jetzt ruft mich der Kunde eben an und sagt mir, daß er ein paar PCs in der neuen Domäne hat, auf denen lokale Benutzerkonten existieren. Nur leider kann man sich mit diesen Benutzerkonten nicht mehr lokal anmelden... Es erscheint die Meldung, daß eine Richtlinie es verbietet... Auf den PCs hat die lokale Anmeldung noch funktioniert, als diese Mitglied der alten Domäne waren... Und nun ? Ich tappe momentan im Dunkeln, kann mir mal einer nen Schubs in die richtige Richtung geben ? Danke ! Grüsse schroeder750 Zitieren Link zu diesem Kommentar
BlackPixel 10 Geschrieben 5. Oktober 2005 Melden Teilen Geschrieben 5. Oktober 2005 Help !! Folgende Situation: Parallelmigration, NT4-Domäne auf W2K3 AD. Einige Computer bereits mit Computerkonto ins AD übernommen, der Kunde stellt fest, daß sich die Benutzer aus der NT4-Domäne nun nicht mehr an diesen Rechnern anmelden können, obwohl Trust usw. sauber steht. O.K. Kein Problem. Default Domain Policy geschnappt, unter "Windows-Einstellungen/Sicherheitseinstellungen/LokaleRichtlinien/Zuweisen von Benutzerrechten" die lokale Anmeldung für Benutzer der alten und der neuen Domäne zugelassen. Test: Funktioniert. Prima... Jetzt ruft mich der Kunde eben an und sagt mir, daß er ein paar PCs in der neuen Domäne hat, auf denen lokale Benutzerkonten existieren. Nur leider kann man sich mit diesen Benutzerkonten nicht mehr lokal anmelden... Es erscheint die Meldung, daß eine Richtlinie es verbietet... Auf den PCs hat die lokale Anmeldung noch funktioniert, als diese Mitglied der alten Domäne waren... Und nun ? Ich tappe momentan im Dunkeln, kann mir mal einer nen Schubs in die richtige Richtung geben ? Danke ! Grüsse schroeder750 Hallo, handelt es sich dabei evt um die alten Domainkonten? evt. Mal mit admin Lokal anmeldung und schauen was die lokale richtlinie noch so hergibt. Grüße Manfred Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 5. Oktober 2005 Autor Melden Teilen Geschrieben 5. Oktober 2005 Hy BlackPixel, danke für die fixe Antwort. :D Die alten Domainkonten (ich denke, Du meinst damit die Computerkonten in der alten Domäne, oder ?) sind definitiv nicht mehr existent. Die Rechner wurden sauber aus der alten Domäne genommen, dabei wird ja das Konto in der NT4-Umgebung gelöscht. Anschließend wurden sie aus der Arbeitsgruppe, in der sie sich ja jetzt befanden, sauber in die neue Domäne aufgenommen. Es existiert also für jeden Rechner exakt ein Computerkonto in der neuen Domäne. Die Anmeldung in der neuen Domäne funzt auch problemlos, nur halt die lokale Anmeldung am Client mit dem lokalen Konto wird verboten ... Grüsse schroeder750 Zitieren Link zu diesem Kommentar
Tom250376 10 Geschrieben 5. Oktober 2005 Melden Teilen Geschrieben 5. Oktober 2005 hi, na dann könnte es ja noch sein, dass die GPO noch nciht angewandt wurde oder falsch....schau mal in die lokale sicherheits-richtlinie. da steht bestimmt sowas wie alteDomain\Benutzer dürfen sich lokal anmelden gruß ToM Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 5. Oktober 2005 Autor Melden Teilen Geschrieben 5. Oktober 2005 ... stehe da gerade auf dem Schlauch. Beispiel: XP-Client. Habe mir ne MMC geöffnet, SnapIn Richtlinien für den lokalen Computer rangeholt. Durchgehangelt: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Lokal Anmelden. Da werden mir genau die Benutzer angezeigt, die ich ja in der default Domin policy definiert habe, ich kann jedoch nichts hinzufügen, ist ausgegraut. Weder als lokaler Admin noch als Domänenadministrator. Ich teste das gerade hier in einer Testumgebung unter VMWare... Was mache ich falsch ? Und vor allem, selbst wenn ich hier was ändern könnte, kann ich ja nur Benutzer aus einer Domäne hinzufügen und keine lokalen vom Rechner, oder ? Grüsse schroeder750 Zitieren Link zu diesem Kommentar
Tom250376 10 Geschrieben 6. Oktober 2005 Melden Teilen Geschrieben 6. Oktober 2005 welches Symbol hat den in der lokalen diese einstellung. an dem symbol kannst du erkennen, ob sie von der gpo kommt, oder eine lokale ist. wenn es die gpo ist, dann kannst du auch nur dort die einstellungen ändern. Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 6. Oktober 2005 Autor Melden Teilen Geschrieben 6. Oktober 2005 Moin Tom250376, werde das mal beim Kunden ansehen, dann gebe ich Bescheid, O.K. ? Danke Dir auf jeden Fall schon mal ! Ich werde auf jeden Fall auch mal einen nagelneu aufgesetzten Rechner vom Kunden in die neue Domäne bringen lassen, der vorher noch NICHT Mitglied der alten Domäne war. So kann ich dann erkennen, ob es was lokales an den alten Clients ist oder eine Einstellung in der policy der neuen Domäne... Bis später !! Schroeder750 Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 10. Oktober 2005 Autor Melden Teilen Geschrieben 10. Oktober 2005 Moin zusammen, muss doch diesen Thread nochmal nach oben bringen, da es ein paar neue Infos gibt. Ich habe den Admin des Kunden telefonisch (war selber inzwischen noch nicht vor Ort) beim Client direkt eintragen lassen, daß sich selbst "Anonymous" lokal anmelden darf. Resultat ist leider immer noch das gleiche. Lokale Anmeldung nicht möglich ... Mehr aufmachen, als den "Anonymous"-Account zuzulassen, kann ma doch wohl nicht, oder ? Und jetzt noch was anderes: habe in einer Testumgebung einmal versucht, einiges nachzustellen: W2K3 DC mit SP1 / Client ist eine W2K Workstation mit SP4. Schaue ich auf der Workstation lokal in der gpedit.msc-Konsole unter \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten nach, sehe ich dort, daß folgende Benutzer bei "Lokal Anmelden" erlaubt sind: - Administratoren - Sicherungs-Operatoren - Hauptbenutzer - Benutzer - NAME DES RECHNERS\Gast In der Default Domain Policy auf dem DC sind jedoch folgende Benutzer bei "Lokal anmelden zulassen" eingetragen: - Administratoren - Benutzer (Habe ich so eingestellt). Müsste dies nicht die Einstellungen der lokalen Richtlinien der Clients überschreiben ???? Ich bin nun auf die Default Domain Policy auf dem DC gegangen und habe dort unter \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Lokal anmelden verweigern einen bestimmten Benutzer verboten. Anschließend "gpupdate /force" auf dem DC abgesetzt. Melde ich nun exakt diesen Benutzer, den ich in der Default Domain Policy verboten habe an der Workstation an, passiert ganz genau NICHTS... der kann sich locker anmelden... funktioniert alles. Bei mir funktioniert in der Testumgebung das, was beim Kunden eigentlich funktionieren sollte und NICHT geht und ich bekomme hier nicht einmal mit Gewalt das hin, was beim Kunden harte Realität ist und NICHT funktioniert... verkehrte Welt ... :mad: Habe ich da irgendwie ein fettes Verständnissproblem ? War bisher der Meinung, was ich in der Default Domain Policy an besagter Stelle (oder eigentlich auch generell) angebe, überschreibt die lokalen Richtlinien der Workstations, die sich in der Domäne anmelden, oder ? Wenn ich also in der Default Domain Policy jemandem verbiete, sich lokal anzumelden, bezieht sich das doch auf alle Rechner der Domäne, oder sehe ich da was falsch ? In der Default Domain Policy kann ich ja nun auch nur Benutzer der Domäne angeben, um Dinge zu verbieten oder zu erlauben... wie kann ich dort generell verbieten, daß sich LOKALE Benutzer von den Workstations anmelden ? Hauerha, ich brauch da echt mal einen kleinen Klaps auf den Hintern von Euch, bisher war die Welt da für mich sooo einfach, jetzt sehe ich aber, daß das nichts so ist, wie ich dachte ... Hilft mir bitte mal jemand ? Danke !!! Grüsse schroeder750 Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 10. Oktober 2005 Melden Teilen Geschrieben 10. Oktober 2005 Hi, schroeder, ich hab das auch mal nachgestellt. Ergebnis bei mir, war, dass die Einstellung erst wirksam wurde, als ich gpupdate /force auf dem Client (bei mir XP) ausgeführt habe. Danach kam bei einem Anmeldeversuch des Users, dem ich verboten habe, sich lokal anzumelden, die Meldung, dass es ihm nicht erlaubt ist. Gpupdate /force auf dem DC hat keine Wirkung gezeigt, ich konnte mich also am Client mit dem entsprechenden Konto lokal anmelden. Nachtrag: In der Default Domain Policy kann ich ja nun auch nur Benutzer der Domäne angeben, um Dinge zu verbieten oder zu erlauben... Wo steht das? ;) Hier kann man auch angeben, welche lokalen Konten sich anmelden dürfen. Unter anderem wird man hier darauf hingewiesen, dass die Administratoren-Gruppe dieses Recht haben muss, sollte man sie nicht hinzugefügt haben. Christoph Zitieren Link zu diesem Kommentar
amichel 10 Geschrieben 10. Oktober 2005 Melden Teilen Geschrieben 10. Oktober 2005 Hallo, prinzipiell ist gpupdate /force am Client das wichtige, da ja der Client die Info bekommt. Das mit dem Überscheiben der Policy stimmt. Domain Policy zieht vor lokaler. Melde Dich mal auf einem Client an und führ RSOP.msc aus. Dann solltest Du sehen welche policies auf dem Client ziehen :-) HTH amichel Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 11. Oktober 2005 Autor Melden Teilen Geschrieben 11. Oktober 2005 Moin Kollegen, vielen Dank schonmal für die Infos !!!!!!! Das mit dem gpupdate auf den Clients kann natürlich für mich schon ne gute Lösung sein... Obwohl da ein bitter Beigeschmack bleibt... Wenn ich als Domänenadmin an der Default Policy was ändere muss ich danach Turnschuhnetzwerk spielen und an alle Kisten rennen oder einen Eintrag ins Logonscript aller User machen oder ähnliches, damit die policy zieht ? Ihr werdet mir doch sicherlich zustimmen, daß das irgendwie suboptimal ist, oder ? :D @Christoph35: Wenn ich in der default domain policy einen Benutzer für irgendeine Einschränkung auswählen will, bekomme ich doch nur die Domänenbenutzer, maximal noch die Benutzer der getrusteten Domäin angezeigt. Wie soll ich an dieser Stelle lokale Benutzer von irgendwelchen Workstations, die wahrscheinlich in diesem Moment eh heruntergefahren sind angeben... das meinte ich mit "nur Domänenbenutzer". Schraube ich an den lokalen Policys auf den Clients rum, klar, da kann ich dann lokale Benutzer angeben. Ich werde das mit dem gpupdate auf jeden Fall auf den Clients durchtesten und bin Euch schon mal superdankbar für die Tips !!! :D Aber mal ganz ehrlich: einen faden Beigeschmack hinterlässt es doch, daß die Policys nicht automatisch beim nächsten Start von den Clients gezogen werden, oder ? Grüsse schroeder750 Zitieren Link zu diesem Kommentar
amichel 10 Geschrieben 11. Oktober 2005 Melden Teilen Geschrieben 11. Oktober 2005 morgen schröder, nein gpupdate mußt du nicht machen, es beschleunigt das applien der GPO nur. Standardmäßig werden die GPO's alle 90 minuten +- 30 Minuten upgedatet. GPupdate startet das nur on demand. Auch beim Restart werden die GPO's neu gesetzt. sollte also reichen :-) lg amichel Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 11. Oktober 2005 Melden Teilen Geschrieben 11. Oktober 2005 @Christoph35: Wenn ich in der default domain policy einen Benutzer für irgendeine Einschränkung auswählen will, bekomme ich doch nur die Domänenbenutzer, maximal noch die Benutzer der getrusteten Domäin angezeigt. Wie soll ich an dieser Stelle lokale Benutzer von irgendwelchen Workstations, die wahrscheinlich in diesem Moment eh heruntergefahren sind angeben... das meinte ich mit "nur Domänenbenutzer". Schraube ich an den lokalen Policys auf den Clients rum, klar, da kann ich dann lokale Benutzer angeben. Du kannst doch einfach z.B. Administratoren, Backup-Operatoren, Hauptbenutzer etc. eingeben? Imho bezieht sich das dann auf lokale Gruppen. Christoph Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 11. Oktober 2005 Autor Melden Teilen Geschrieben 11. Oktober 2005 Hy Christoph, Hmmmm, damit ich das schnaggeln kann, lass uns bitte nochmal drüber reden: Habe eben nochmal nachgesehen, wenn ich an besagter Stelle in der Default Domain Policy wen hinzufügen will, bekomme ich auf dem DC (über "Pfade") zunächst einmal vier Möglichkeiten, aus denen ich Benutzer auswählen kann: a) eigene Domäne (die neue W2K3 AD-Domäne) b) die alte NT4-Domäne c) "Gesamtes Verzeichnis" d) den lokalen Rechnernamen Möglichkeit d) vergessen wir jetzt direkt mal wieder, da ja die lokalen Benutzer des DC den Domänenbenutzern entsprechen und ich ja lokale Benutzer der WORKSTATIONS hinzufügen möchte. Zur Möglichkeit a) oder b): Hier sehe ich nur die Domänengruppen wie Administratoren und Benutzer ... Backupoperatoren und Hauptbenutzer tauchen hier nicht auf. Hier kann ich ja nun definitiv nicht angeben, daß der lokale Benutzer "Hans" von irgend einer Workstation sich lokal anmelden darf... Zur Möglichkeit c) "Gesamtes Verzeichnis": Hier bekomme ich natürlich schon mehr angeboten, aber z.B. die Hauptbenutzer tauchen hier auch nicht auf. Ich habe jetzt echt Schwierigkeiten, mir zu erklären, wie ich hier dafür sorgen soll, daß sich der lokale Benutzer "xyz" von irgendeinem PC der Domäne an diesem PC anmelden sollen darf. Normalerweise ist das ja standardmäßig auch gar nicht verboten, daß sich lokale Benutzer anmelden, daher habe ich mir da auch nie Gedanken drüber gemacht. Ich muss echt sagen, daß ich nach wie vor ziemlich ****e aus der Wäsche schaue... Wenn der Spuk mit der Parallelmigration vorbei ist und sich alle Rechner in der neuen Domäne befinden, kann ich in der Default Domain Policy ja wieder alles auf "nicht definiert" setzen, dann dürfte das auch wieder funktionieren, aber in der Zwischenzeit ... :mad: Noch jemand ne Idee oder ne brauchbare Erklärung / einen Workaround ? Danke Euch schon mal !! Ist prima, immer wieder Antworten zu bekommen und zu diskutieren, man kann da echt auch aus kleinen Dingen ne Menge Wissen ziehen, wenn man das bis ins kleinste durchgeht... Grüsse schroeder750 Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 11. Oktober 2005 Melden Teilen Geschrieben 11. Oktober 2005 Hi, schroeder, also, ich habe jetzt in meiner Testumgebung folgendes gemacht: Bei "Allow Logon Locally" habe ich folgende Gruppen manuell hinzugefügt (nicht mit "Browse"): Administrators Power users Backup Operators Users Dann am Client gpupdate ausgeführt. -->Domain user tuser1 konnte sich anmelden Am DC die Gruppe Users bei "Allow Logon Locally" entfernt. Am Client wieder gpupdate ausgeführt --> Domain user tuser1 konnte sich nicht anmelden. Am DC die Gruppe Users bei "Allow Logon Locally" wieder hinzugefügt. -->Domain user tuser1 konnte sich wieder anmelden D.h. man kann in einer Domain Policy sehr wohl lokale User und Gruppen des clients berechtigen oder eben nicht, sich lokal anzumelden. Christoph Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.