Blumagine

Bei mir klappt es mit den Administratoren leider nicht, aber seie's drum...

Die AD-Gruppen sind nicht von Interesse dafür. Sobald ein Benutzer in der lokalen AD Mitglied einer "Admin*"-Gruppe ist, funktioniert die Anmeldung mittels AzureAD nicht mehr.

Ich bin so dämlich... Lesen müsste man können: Der Testbenutzer war natürlich ein Administrator... - mit normalen Benutzern geht es einwandfrei. Dann bleibt jetzt nur noch die Frage, wie kann ich es für Administratoren auch einschalten? Liebe Grüße, Lars

Hallo zusammen, @testperson darf ich fragen wie dein Server konfiguriert ist. Der betreffende Server hat genauso wie bei dir einen RDSH und ist AzureAD-Hybrid-joined, auf dem DC (anderer Server) läuft Azure AD Connect mit Passworthashsynchronisation und SSO-Login. Brauche ich sonst noch etwas? Liebe Grüße, Lars

Hallo beisamen, entschuldigt bitte, wenn ich das anonymisieren nicht beachtet habe. Die Felder die ich für wichtig gehalten hatte waren ja schon, totzdem DANKE! Der Microsoft-Support sagt leider nur - haben wir keine Ahnung . LG Lars

Hallo Ihr, Ich würde am liebsteh die RDP-Authentifizierung mittels Yubikeys einrichten. Laut der Anleitung (https://swjm.blog/the-complete-guide-to-rdp-with-yubikeys-fido2-cba-1bfc50f39b43) sollte dies recht einfach sein. Aber ich scheitere beim Versuch, den Befehl LocalGroupMember -Group "Remotedesktopbenutzer" -Member "AzureAD\[kundenname]@stbk.link" auszuführen. LocalGroupMember : Der Prinzipal AzureAD\[kundenname]@stbk.link wurde nicht gefunden. In Zeile:1 Zeichen:1 + LocalGroupMember -Group "Remotedesktopbenutzer" -Member "AzureAD\[kundenname] ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ObjectNotFound: (AzureAD\[kundenname]@stbk.link:String) [Get-LocalGroupMember], PrincipalN otFoundException + FullyQualifiedErrorId : PrincipalNotFound,Microsoft.PowerShell.Commands.GetLocalGroupMemberCommand Der Host ist bereits Azure-AD-Hybrid-Joined: +----------------------------------------------------------------------+ | Device State | +----------------------------------------------------------------------+ AzureAdJoined : YES EnterpriseJoined : NO DomainJoined : YES DomainName : STBK Device Name : vrdp501172.stbk.link +----------------------------------------------------------------------+ | Device Details | +----------------------------------------------------------------------+ DeviceId : XXX Thumbprint : XXX DeviceCertificateValidity : [ 2023-07-11 10:27:44.000 UTC -- 2033-07-11 10:57:44.000 UTC ] KeyContainerId : XXX KeyProvider : Microsoft Software Key Storage Provider TpmProtected : NO DeviceAuthStatus : SUCCESS +----------------------------------------------------------------------+ | Tenant Details | +----------------------------------------------------------------------+ TenantName : [kundenname] TenantId : c742fd56-3458-40a8-8c97-7a57e83fecb3 AuthCodeUrl : https://login.microsoftonline.com/XXX/oauth2/authorize AccessTokenUrl : https://login.microsoftonline.com/XXX/oauth2/token MdmUrl : https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc MdmTouUrl : https://portal.manage.microsoft.com/TermsofUse.aspx MdmComplianceUrl : https://portal.manage.microsoft.com/?portalAction=Compliance SettingsUrl : JoinSrvVersion : 2.0 JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/ JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net KeySrvVersion : 1.0 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/ KeySrvId : urn:ms-drs:enterpriseregistration.windows.net WebAuthNSrvVersion : 1.0 WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/XXX/ WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net DeviceManagementSrvVer : 1.0 DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/XXX/ DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net +----------------------------------------------------------------------+ | User State | +----------------------------------------------------------------------+ NgcSet : NO WorkplaceJoined : NO WamDefaultSet : YES WamDefaultAuthority : organizations WamDefaultId : https://login.microsoft.com WamDefaultGUID : {XXX} (AzureAd) +----------------------------------------------------------------------+ | SSO State | +----------------------------------------------------------------------+ AzureAdPrt : YES AzureAdPrtUpdateTime : 2023-07-13 06:19:37.000 UTC AzureAdPrtExpiryTime : 2023-07-27 06:19:36.000 UTC AzureAdPrtAuthority : https://login.microsoftonline.com/XXX EnterprisePrt : NO EnterprisePrtAuthority : OnPremTgt : NO CloudTgt : YES KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342 +----------------------------------------------------------------------+ | Diagnostic Data | +----------------------------------------------------------------------+ AadRecoveryEnabled : NO Executing Account Name : STBK\[kundenname]@stbk.link KeySignTest : PASSED DisplayNameUpdated : YES OsVersionUpdated : YES HostNameUpdated : YES Last HostName Update : NONE +----------------------------------------------------------------------+ | IE Proxy Config for Current User | +----------------------------------------------------------------------+ Auto Detect Settings : YES Auto-Configuration URL : Proxy Server List : Proxy Bypass List : +----------------------------------------------------------------------+ | WinHttp Default Proxy Config | +----------------------------------------------------------------------+ Access Type : DIRECT +----------------------------------------------------------------------+ | Ngc Prerequisite Check | +----------------------------------------------------------------------+ IsDeviceJoined : YES IsUserAzureAD : YES PolicyEnabled : NO PostLogonEnabled : YES DeviceEligible : NO SessionIsNotRemote : NO CertEnrollment : none PreReqResult : WillNotProvision For more information, please visit https://www.microsoft.com/aadjerrors Hat jemand eine Idee, warum dies fehlschlägt und somit die Remote-RDP-Verbindung fehlschlägt? Mit freundlichen Grüßen, Lars Kusch