Jump to content

Probleme mit Richtlinien auf lokaler bzw. Domänenebene


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich benötige dringend Hilfe in einigen Konfigurationsdetails bzgl. Windows 2000 Terminal Server. Schon mal ein Dankeschön an alle Helfer im Voraus!

 

Systemlandschaft:

Es existiert ein Windows 2000 Terminal Server im lokalen Netzwerk. Weiterhin gibt es sieben Client-PC, die auf dem Terminal Server mit einer Anwendung arbeiten sollen. Auf diesen ist ein WTS-Client installiert.

 

meine Problemstellung ist nun folgende:

Ein Client kann sich zwar über den WTS-Client mit dem Server verbinden, darf sich aber wegen einer "lokalen Richtlinie nicht interaktiv anmelden". Ich habe nun in den lokalen Richtlinien des Servers nachgeschaut und bemerkt, dass die "lokalen Einstellungen" nicht mit den "effektiven Einstellungen" übereinstimmen. Wenn ich die Hilfe richtig verstanden habe, überlagern Domain-Einstellungen lokale Einstellungen, woraufhin ich die "Sicherheitsrichtlinie für Domänen" geöffnet habe und bei den Punkten "Auf diesen Computer vom Netzwerk aus zugreifen" und "Lokal anmelden" die von mir vorher im Active Directory angelegten User eingetragen habe. Um die Anwendung der Änderungen zeitlich zu beschleunigen, habe ich den in der Hilfe angegebenen Kommandozeilenbefehl "secedit /refreshpolicy MACHINE_POLICY " abgesetzt.

Trotzdem ändert sich nichts an den "effektiven Einstellungen" und der User kann sich nicht anmelden.

Zur Vollständigkeit: wenn ich den User der Gruppe "Administratoren" hinzufüge (die laut "effektiven Einstellungen" das Recht hat, sich lokal anzumelden), kann er sich problemlos mit seiner ID und Passwort am Server anmelden...

 

kann mir jemand den Kniff zeigen?

Link zu diesem Kommentar
hi,

 

in welchem Modus läuft denn dein TS?

 

Im Remoteverwaltungs- oder als Anwendungsserver.

Zu finden in Verwaltung - Terminaldienstekonfiguration - Servereinstellungen

 

lg

il_principe

 

hey il_principe,

 

der WTS läuft als Anwendungsserver.

 

wofür kannst du diese Information brauchen? (ich bin noch nicht wirklich ganz hinter das System gestiegen :confused: :D )

Link zu diesem Kommentar

also wenn der TS im anwendungsservermodus arbeitet wie du schreibst würde ich mal im AD nachschaun ob bei den benutzern beim reiter terminalserverprofile die terminalserveranmeldung überhaupt gestattet ist. das ist nämlich die typische fehlermeldung wenn nicht.

 

ausserdem solltest du mal in der terminalserverkonfiguration auf dem RDP protokoll prüfen wer sich überhaupt an den server anmelden darf.

Link zu diesem Kommentar

Heureka! Es klappt!

Es waren tatsächlich die Einstellungen in der "Sicherheitsrichtlinie für Domänencontroller", in die ich die entsprechenden Benutzer bei "Auf diesen Computer vom Netzwerk aus zugreifen" und "Lokal anmelden" eintragen musste.

 

Ihr seid echt fit hier - und die Antwortzeiten bewegen sich irgendwo zwischen gering und nicht vorhanden :)

 

Vielen Dank an alle die sich an der Lösung des Problems beteiligt haben.

Link zu diesem Kommentar
Ich würde das mit einer Gruppe machen.

 

wenn ich mir das recht überlege, habe ich die sogar schon im Active Directory in einen gesonderten Container angelegt. reicht das, um diese User dann als Gruppe in die Richtlinie einzutragen oder muss ich da noch an einer anderen Stelle eine Gruppe einrichten?

 

Warum hast Du die User beim Benutzerrecht "Auf diesen Computer vom Netzwerk aus zugreifen" eingetragen ?

 

oh, das stammte noch aus den früheren Versuchen, den Usern die lokale Anmeldung zu ermöglichen. ist das nicht notwendig?

Link zu diesem Kommentar

also mal ganz davon abgesehen das du einen DC niemals als TS verwenden solltest kannst du dir eine usergruppe anlegen, die mitglieder hinzufügen, das recht für die lokale anmeldung per GPO geben und am RDP protokoll auf dem TS in der terminalserverkonfiguration diese gruppe hinzufügen. dann sollte alles gehen.

 

ich hoffe du bist dir des sicherheitsrisikos bewusst.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...