Cricket 10 Geschrieben 1. März 2006 Melden Teilen Geschrieben 1. März 2006 Hallo, ich benötige dringend Hilfe in einigen Konfigurationsdetails bzgl. Windows 2000 Terminal Server. Schon mal ein Dankeschön an alle Helfer im Voraus! Systemlandschaft: Es existiert ein Windows 2000 Terminal Server im lokalen Netzwerk. Weiterhin gibt es sieben Client-PC, die auf dem Terminal Server mit einer Anwendung arbeiten sollen. Auf diesen ist ein WTS-Client installiert. meine Problemstellung ist nun folgende: Ein Client kann sich zwar über den WTS-Client mit dem Server verbinden, darf sich aber wegen einer "lokalen Richtlinie nicht interaktiv anmelden". Ich habe nun in den lokalen Richtlinien des Servers nachgeschaut und bemerkt, dass die "lokalen Einstellungen" nicht mit den "effektiven Einstellungen" übereinstimmen. Wenn ich die Hilfe richtig verstanden habe, überlagern Domain-Einstellungen lokale Einstellungen, woraufhin ich die "Sicherheitsrichtlinie für Domänen" geöffnet habe und bei den Punkten "Auf diesen Computer vom Netzwerk aus zugreifen" und "Lokal anmelden" die von mir vorher im Active Directory angelegten User eingetragen habe. Um die Anwendung der Änderungen zeitlich zu beschleunigen, habe ich den in der Hilfe angegebenen Kommandozeilenbefehl "secedit /refreshpolicy MACHINE_POLICY " abgesetzt. Trotzdem ändert sich nichts an den "effektiven Einstellungen" und der User kann sich nicht anmelden. Zur Vollständigkeit: wenn ich den User der Gruppe "Administratoren" hinzufüge (die laut "effektiven Einstellungen" das Recht hat, sich lokal anzumelden), kann er sich problemlos mit seiner ID und Passwort am Server anmelden... kann mir jemand den Kniff zeigen? Zitieren Link zu diesem Kommentar
il_principe 11 Geschrieben 1. März 2006 Melden Teilen Geschrieben 1. März 2006 hi, in welchem Modus läuft denn dein TS? Im Remoteverwaltungs- oder als Anwendungsserver. Zu finden in Verwaltung - Terminaldienstekonfiguration - Servereinstellungen lg il_principe Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 1. März 2006 Melden Teilen Geschrieben 1. März 2006 Ist das ein Domänencontroller oder Memberserver ? Wenn es ein DC ist, musst Du das in der Default Domain Conmtrollers Policy machen ... Zitieren Link zu diesem Kommentar
Cricket 10 Geschrieben 1. März 2006 Autor Melden Teilen Geschrieben 1. März 2006 hi, in welchem Modus läuft denn dein TS? Im Remoteverwaltungs- oder als Anwendungsserver. Zu finden in Verwaltung - Terminaldienstekonfiguration - Servereinstellungen lg il_principe hey il_principe, der WTS läuft als Anwendungsserver. wofür kannst du diese Information brauchen? (ich bin noch nicht wirklich ganz hinter das System gestiegen :D ) Zitieren Link zu diesem Kommentar
Cricket 10 Geschrieben 1. März 2006 Autor Melden Teilen Geschrieben 1. März 2006 Ist das ein Domänencontroller oder Memberserver ? Wenn es ein DC ist, musst Du das in der Default Domain Conmtrollers Policy machen ... es ist ein Domänencontroller. werde es mal dort versuchen... Zitieren Link zu diesem Kommentar
il_principe 11 Geschrieben 1. März 2006 Melden Teilen Geschrieben 1. März 2006 hi, weil ein Server im Remoteverwaltungsmodus nur 2 Terminal Verbindungen zulässt. Und diese auch nur von Domainadmins. Ich würd auch mal dem Hinweis von IThome nachgehen. lg il_principe Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 1. März 2006 Melden Teilen Geschrieben 1. März 2006 also wenn der TS im anwendungsservermodus arbeitet wie du schreibst würde ich mal im AD nachschaun ob bei den benutzern beim reiter terminalserverprofile die terminalserveranmeldung überhaupt gestattet ist. das ist nämlich die typische fehlermeldung wenn nicht. ausserdem solltest du mal in der terminalserverkonfiguration auf dem RDP protokoll prüfen wer sich überhaupt an den server anmelden darf. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 1. März 2006 Melden Teilen Geschrieben 1. März 2006 Erscheint da bei beiden Möglichkeiten nicht die Meldung "Sie dürfen sich nicht mehr interaktiv anmelden ..." ? edit: ne, bei Beschränkungen des RDP-Protokolls kommt "Sie dürfen sich an dieser Sitzung nicht anmelden", wenn der Haken nicht gesetzt ist, kommt die obige Meldung ... Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 1. März 2006 Melden Teilen Geschrieben 1. März 2006 dann kommt die meldung: "sie dürfen sich an dieser sitzung nicht anmelden". zumindest auf meinem W2K TS ;) edit: zu spät :) Zitieren Link zu diesem Kommentar
Cricket 10 Geschrieben 1. März 2006 Autor Melden Teilen Geschrieben 1. März 2006 Heureka! Es klappt! Es waren tatsächlich die Einstellungen in der "Sicherheitsrichtlinie für Domänencontroller", in die ich die entsprechenden Benutzer bei "Auf diesen Computer vom Netzwerk aus zugreifen" und "Lokal anmelden" eintragen musste. Ihr seid echt fit hier - und die Antwortzeiten bewegen sich irgendwo zwischen gering und nicht vorhanden :) Vielen Dank an alle die sich an der Lösung des Problems beteiligt haben. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 1. März 2006 Melden Teilen Geschrieben 1. März 2006 Ich würde das mit einer Gruppe machen. Warum hast Du die User beim Benutzerrecht "Auf diesen Computer vom Netzwerk aus zugreifen" eingetragen ? Zitieren Link zu diesem Kommentar
Cricket 10 Geschrieben 1. März 2006 Autor Melden Teilen Geschrieben 1. März 2006 Ich würde das mit einer Gruppe machen. wenn ich mir das recht überlege, habe ich die sogar schon im Active Directory in einen gesonderten Container angelegt. reicht das, um diese User dann als Gruppe in die Richtlinie einzutragen oder muss ich da noch an einer anderen Stelle eine Gruppe einrichten? Warum hast Du die User beim Benutzerrecht "Auf diesen Computer vom Netzwerk aus zugreifen" eingetragen ? oh, das stammte noch aus den früheren Versuchen, den Usern die lokale Anmeldung zu ermöglichen. ist das nicht notwendig? Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 2. März 2006 Melden Teilen Geschrieben 2. März 2006 also mal ganz davon abgesehen das du einen DC niemals als TS verwenden solltest kannst du dir eine usergruppe anlegen, die mitglieder hinzufügen, das recht für die lokale anmeldung per GPO geben und am RDP protokoll auf dem TS in der terminalserverkonfiguration diese gruppe hinzufügen. dann sollte alles gehen. ich hoffe du bist dir des sicherheitsrisikos bewusst. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. März 2006 Melden Teilen Geschrieben 2. März 2006 oh, das stammte noch aus den früheren Versuchen, den Usern die lokale Anmeldung zu ermöglichen. ist das nicht notwendig? Wenn Du nichts verändert hast, brauchst Du die Benutzer oder deren Gruppe nicht einzeln zufügen. Es darf standardmässig jeder über das Netzwerk auf den DC zugreifen ... Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 2. März 2006 Melden Teilen Geschrieben 2. März 2006 eine RDP anmeldung kommt aber einer lokalen anmeldung gleich! denke es so gelernt zu haben. um sich an einen TS anmelden zu können benötigt der benutzer das recht sich lokal anzumelden. netzwerk ist wurscht :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.