andrew 15 Geschrieben 16. Februar 2007 Melden Teilen Geschrieben 16. Februar 2007 Ich habe eine neue Domainrichtlinie erstellt > rechte Maustaste auf blabla.ch > im Register Group Policy eine neue Policy erstellt (Name = lokales anmelden erlaubt) und unter > computer configuration > Windows Settings > Security Settings > local policy > User Rights Assigment in der rechten Spalte bei "Allow lg on locally" die Gruppe "lokales anmelden" berechtigt. Dazu noch kurz ein paar Fragen: 1. Wenn ich eine Gruppe auswähle und sage, übernehmen, kommt dann immer noch eine Meldung, dass man dem Administrator diese Rechte auch geben müsse (oder so, sinngemäss übersetzt) Wenn ich dann den Administrator oder die Administatorengruppe nicht angeben, kann ich meinen Vorgang mit ok nicht abschliessen, weil das Fenster nicht geschlossen werden kann. 2. Warum muss ich dort die Admingruppe auch angeben? Der Admin hat ja schon von haus aus die Berechtigung "lokal anmelden", schnalle es nicht. Habe dann via ausführen, cmd und enter > gpupdate /force gemacht > und mit gpresult kontrolliert, ob diese Gruppenrichtlinie auch wirklich angwendet worden ist > ist übrigens der Fall Ok, voller Freude habe ich den User Gugus genommen, welchen ich vorgängig in die Gruppe "lokales anmelden" aufgenommen habe und mich mit diesem versucht, am Domaincontroller (Domain gugus.ch) anzumelden Doch leider erscheint immer noch die Fehlermeldung, dass der user sich nicht interaktiv anmelden könne (oder so ähnlich) P.S. Auch wenn ich eine neue Richtlinie auf der OU Domänenrichtlinie erstelle und da in der local Policy angebe, dass lokales anmelden erlaubt ist und die entsprechende Gruppe berechtige, anschliessend gpupdate /force mache, auch dann geht es nicht. Auch dann kann ich mich nicht mit einem normalen User direkt am Domaincontroller an der Domain nwtraders.msft anmelden, wieso nicht ? Waaaaarum ? waazzuuuuppp ? Begreife es nicht so ganz, kann mir da Jemand helfen? Danke vielmal Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 16. Februar 2007 Melden Teilen Geschrieben 16. Februar 2007 Du musst diese Richtlinie in der Doamin Controllers OU anwenden, da die derzeit dort gelinkte Richtlinie die Einstellungen der Domänenrichtlinie überschreibt. Die gesetzte Richtlinie ersetzt die eventuell anderswo eingerichtete Richtlinie zum lokalen Anmelden. Wenigstens der Administrator muss sich lokal anmelden können, daher muss er in das Benutzerrecht aufgenommen werden ... Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 16. Februar 2007 Autor Melden Teilen Geschrieben 16. Februar 2007 Habe soeben Deinen Rat befolgt und damit ich auch sicher sein kann, dass die neu erstellte Richtlinie auf der OU Domain Controllers greift, habe ich dieser einen anderen Namen gegeben, als vorher und danach auch wieder ein gpupdate /force ausgeführt und mit gpresult geprüft, ob die neue Richtlinie angwendet wird. dies ist der Fall aber dennoch, wenn ich den User nehme und mich am Domaincontroller anmelden will (Domain = nwtraders.msft) kommt immer noch die gleiche Fehlermeldung, vonwegen "The local policy of this system does not permit you to logon interacively" Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 16. Februar 2007 Autor Melden Teilen Geschrieben 16. Februar 2007 Habe eine Lösung erhalten *BIG smile* > im AD rechte Maustaste auf die OU Domain Controllers > die Domain Controller Policy editieren > bei local anmelden zusätzlich, zu den schon vorhandenen Gruppen noch die selbst definierte Gruppe angeben Danach alle Fenster schliessen > Start, ausführen, CMD eingeben und Enter > gpupdate /force und Enter > Den Admin abmelden > den User, wo sich lokal am Domaincontroller anmelden können soll, eingeben und voilà, es geht :-) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 16. Februar 2007 Melden Teilen Geschrieben 16. Februar 2007 Du musst die neue Richtlinie nicht nur in die Domain Controllers OU linken, sondern auch an die erste Stelle schieben, sonst wirkt wieder die Default Domain Controllers Policy und überschreibt die neue Richtlinie ... Lass die Default Policies lieber so wie sind ... Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 16. Februar 2007 Autor Melden Teilen Geschrieben 16. Februar 2007 Da hast Du Recht, an das hatte ich nicht mehr gedacht :-) Ok, dann werde ich die Änderung in der Default Domain Controller Policy wieder rückgängig machen, eine neue Domain Controller Policy erstellen und diese dann nach oben schieben Dann wird es auch gehen, cool Danke Dir Nette Grüsse aus der sonnigen Schweiz :) Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 16. Februar 2007 Autor Melden Teilen Geschrieben 16. Februar 2007 und es geht, das lokale anmelden mit einem User (am Domaincontroller) > habe einfach wie Du geschrieben hast, auf der OU Domain Controller Policy eine neue Gruppenrichtlinie erstellt > darin unter local Policy in der rechten Spalte das Recht lokales anmelden die Gruppe berechtigt, wo ich berechtigt haben will > die Gruppenrichtlinie nach oben verschoben, damit meine erstellte Gruppenrichtlniie oberhalb der Default Domain Controller Policy steht > gpupdate /force ausgeführt > mit dem entsprechenden User am Domaincontroller versucht, anzumelden und voilà, es geht. Ich danke nochmals und bis zur nächsten Frage :-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.