TS Interaktive Anmeldung verweigert

[firefox80 10]

Hallo Leute!

 

Ich habe in meiner Lernumgebung einen 2003er Server als DC.

 

Dort hab ich jetzt auch die Terminaldienste intalliert.

Der Versuch sich mit einem Benutzer anzumelden wird allerdings mit folgender Meldung quittiert:

Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden.

 

Den User habe ich aber in die Gruppe Remotedesktopbenutzer aufgenommen.

 

Ich vermute jetzt mal dass das Problem wegen der eingeschränkten Rechte an einem DC besteht, und dass ich jetzt eine GPO ändern muss...

 

aber bloß welche?

 

Besten dank!

[IThome 10]

Der User benötigt das Benutzerrecht "Anmelden über Terminaldienste zulassen", welches auf Memberservern per Default den Remotedesktopbenutzern gewährt wird, auf DCs aber nicht. Auf einem DC wird zwar im RDP-TCP Verbindungsobjekt u.a. den Remotedesktopbenutzern die Anmeldung gewährt, das Benutzerrecht fehlt aber. Füge also entweder in der OU Domain Controllers eine Richtlinie zu, in der das Recht den Administratoren und Remotedesktopbenutzern gewährt wird oder stelle es in der lokalen Richtlinie mit Hilfe von GPEDIT.MSC auf dem DC ein ...

[Workaholic4u 10]

Hallo!

 

öhm, was soll ein Normaler Benutzer auch auf einem Domänen Controller. Ausser in einer Testumgebung hat er da nichts verloren... :)

 

bearbeite die Def. Domain Controller Richtl.

 

Windows-Einst. -> Sicherheitseinst. -> Lokale Richtl. -> Zuweisen von Benutzerrechten

 

"Anmelden über Terminaldienstew zulassen"

 

Hier trägst du die Benutzer ein.

 

Das eintragen der Benutzer in die Remotedesktop Gruppe hilft dir in diesem Fall garnicht...

 

In welche Remotdesktop-Benutzer Gruppe hasst du den Benutzer den eingetragen? DieRD-Gruppe ist immer eine Lokale Gruppe auf einem Server... ein Domänen-Controller hat keine Lokalen Gruppen, er ist ein Domänen Controler... genauso hat er keinen Lokalen Administrator... dieser ist Dom. Admin geworden nachdem der Server zum DC wurde.

 

Hoffe das bringt dich weiter!

 

Schönen Tag noch ;)

[IThome 10]

In welche Remotdesktop-Benutzer Gruppe hasst du den Benutzer den eingetragen? DieRD-Gruppe ist immer eine Lokale Gruppe auf einem Server... ein Domänen-Controller hat keine Lokalen Gruppen, er ist ein Domänen Controler... genauso hat er keinen Lokalen Administrator... dieser ist Dom. Admin geworden nachdem der Server zum DC wurde.

Der DC hat natürlich domänenlokale Gruppen, ebenso gibt es dort auch Administratoren, Remotedesktopbenutzer usw. Ich kann auch auf einem DC einen Administrator anlegen, der kein Domänenadmins sein muss (er ist nur Mitglied der lokalen Administratoren) und dann auch kein Administrator auf den Clients ist ...

[Workaholic4u 10]

Der DC hat natürlich domänenlokale Gruppen, ebenso gibt es dort auch Administratoren, Remotedesktopbenutzer usw. Ich kann auch auf einem DC einen Administrator anlegen, der kein Domänenadmins sein muss (er ist nur Mitglied der lokalen Administratoren) und dann auch kein Administrator auf den Clients ist ...

 

Ja, sicher Domänen-Lokale Gruppen gibt es... das sind aber keine Lokalen Gruppen explizit nur für den Domänen Controller.

 

Aber meiner Meinung nach kannst du keinen Admin Account auf dem DC erstelölen, der wird doch dann gleichzeichzeitig Domänen-Admin... wenn ich ihn in die Domaon-Local Group packe... ist das standardmäßig nicht auch ne domain Global Group?

 

sicher? das du ein Admin account nur für di maschine machen kannst, werde ich morgen mal testen... interessiert mich mal...

[IThome 10]

Er ist ja nur Domänenadmin, weil er in der entsprechenden globalen Gruppe ist. Er ist u.a. auch Mitglied in der domänenlokalen Gruppe Administratoren. Sicher kannst Du auch einen Benutzer erstellen, der nicht in der Gruppe Domänen-Admins, sondern nur in der domänenlokalen Gruppe Administratoren ist (das gilt dann für den/die Domänencontroller)