Bkolbe 10 Geschrieben 3. August 2007 Melden Teilen Geschrieben 3. August 2007 Hallo! Mir ist die Aufgabe gestellt worden herauszufinden, wie und ob es möglich ist sich an einem DC (Lokal und über RDP) anzumelden, ohne Mitglied der Gruppe "Domänen-Administratoren" zu sein. Hintergrund: Unserem Abteilungsleiter ist der "Domänen-Admin" zu mächtig und er möchte diesem nicht jedem geben. Nun ist es für manche Sachen (Serverwartung usw.) aber notwendig sich auf einen DC anzumelden. Ihm über die "Default Domaincontroller Policy" bzw. einer zusätzlichen GPO das Recht zu geben sich anzumelden (Remote und Lokal) reicht nicht, oder mache ich da was falsch? Hat jemand das schonmal gemacht? Zitieren Link zu diesem Kommentar
ducke 11 Geschrieben 3. August 2007 Melden Teilen Geschrieben 3. August 2007 Das lokale Recht definierst du über Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisung von Benutzerrechten -> Lokal anmelden zulassen Standardmäßig sind auf einem DC folgende Gruppen eingetragen: Konten-Operatoren Administratoren Sicherungs-Operatoren Druck-Operatoren Server-Operatoren. Unter Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisung von Benutzerrechten -> Anmelden über Terminaldienste zulassen kannst du Gruppen definieren, die sich per RDP anmelden können. Standardmäßig sind Administratoren schon drin. Definiere mal Serverwartung etwas genauer. Vieles kann man auch über MMCs abfeuern, ohne das sich User an einem DC anmelden müssen. Siehe auch Objektverwaltung zuweisen - Delegation von Aufgaben Zitieren Link zu diesem Kommentar
Bkolbe 10 Geschrieben 3. August 2007 Autor Melden Teilen Geschrieben 3. August 2007 komisch, genau da hab ich eigentlich die "abgespeckte" Admingruppe eingetragen, dann muss da wohl noch was nicht ganz in Ordnung sein... Das vieles über MMC abzufangen ist ist mir klar, teilweise gings meinem Chef auch ums Prinzip. Ich werde jetzt erstmal die entsprechende GPO prüfen, dann mal sehen, wird wohl dann doch irgendwo ein "Häckchen" fehlen ;) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 3. August 2007 Melden Teilen Geschrieben 3. August 2007 Für eine Remotedessktopanmeldung an einem DC benötigt man 3 Sachen: 1.) Remote Desktop aktiviert 2.) Benutzer/Gruppe muss Mitglied der Gruppe RemoteDesktop.Benutzer sein (im AD im Container BuiltIn) 3.)Benutzer/Gruppe muss auf dem DC bzw. den DCs über eine Gruppenrichtline (lokal, oder besser: GPO auf Domain Controller OU) das Benutzerrecht haben, sich über Terminaldienste anzumelden Das Recht der lokalen Anmeldung braucht man überhaupt nicht!!(ausgehend von 2003, wie so oft hier im Board wieder mal überhuapt nichts über OS und SP usw. angegeben :cry: ) grizzly999 Zitieren Link zu diesem Kommentar
Bkolbe 10 Geschrieben 3. August 2007 Autor Melden Teilen Geschrieben 3. August 2007 Es ist Win2k3 mit SP2. @ grizzly999: Um über Terminaldienste anzumelden brauch ich nicht das Recht "Lokal Anmelden", aber ich möchte ja, dass sich diese Gruppe remote und lokal anmelden können. 1.) Remote Desktop aktiviert ist aktiviert, ich komm ja auch als DomänenAdmin drauf (Oder gibts da eine mir noch unbekannte Einstellung) 2.) Benutzer/Gruppe muss Mitglied der Gruppe RemoteDesktop.Benutzer sein (im AD im Container BuiltIn) Die abgespeckte Admingruppe ist Mitglied in dieser Gruppe 3.)Benutzer/Gruppe muss auf dem DC bzw. den DCs über eine Gruppenrichtline (lokal, oder besser: GPO auf Domain Controller OU) das Benutzerrecht haben, sich über Terminaldienste anzumelden Ich habs echt mehrmals nachgeprüft (Gruppenrichtlinienmodelierung), die Gruppe steht definitiv drin und es wird ihr das Recht auch nicht verweigert. ABER: Es kommt immer die Meldung, ich benötige Administratorrechte um mich am Server (DC) anmelden zu können. Nur eine lokale Admingruppe gibt es doch auf DC's nicht mehr, oder? Sobald ich ihn in "DomänenAdmins" reinschiebe gehts. Aber gerade das will mein Chef ja nicht. Grizzly, danke für deinen Hinweis mit dem fehlenden OS-Angaben, ich hoffe ich werde mich bessern (Ist mir ja leider nicht zum ersten mal passiert). Das es nervt kann ich mir gut vorstellen, bzw. geht mir ja genauso. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 3. August 2007 Melden Teilen Geschrieben 3. August 2007 In der lokalen Richtlinie zu erstellen, bringt nicht viel, da in der Default Domain Controllers Policy die Benutzerrechte wieder überschrieben werden (das gilt für Lokal Anmelden zulassen). Das Benutzerrecht zum Anmelden über Terminaldienste wird dagegen in der loaklen Richtlinie des DCs definiert. Daher solltest Du Dir ein neues GPO erzeugen, alle notwendigen Einstellungen der Benutzerrechte vornehmen, in den Domain Controllers Container linken und höher als die Default Policy schieben. Dann ein GPUDATE und erneut probieren ... Zitieren Link zu diesem Kommentar
Bkolbe 10 Geschrieben 6. August 2007 Autor Melden Teilen Geschrieben 6. August 2007 Ich hab mich nach dem Wochende nochmal mit meiner DC-Anmeldung beschäftigt. Ich habe es mit Gruppenrichtlinienmodellierung und den Gruppenrichtlinienergebnisse überprüft. Meine abgespeckte Admingruppe bekommt die Rechte sich anzumelden lokal wie auch über Terminaldienste per GPO zugewiesen. Ich hab einen Benutzer erstellt, der nur Mitglied in dieser Gruppe ist und ihm wird auch das Recht anzumelden nicht verweigert (überprüft über Gruppenrichtlinienmodelierung). Jedesmal wenn ich mich mit diesem Benutzer anmelde, kommt die Meldung: "Sie benötigen Administratorrechte um sich anmelden zu können" Wenn ich ihn aus der abgespeckten Admingruppe rausnehme, kommt die gleiche Meldung. Mittlerweile dämmerts mir im Hinterkopf, dass sich an einem DC wirklich nur Domänenadmins anmelden können, da es auf einem DC ja keine lokale Benutzerdatenbank (Stichwort lokaler Admin) gibt, oder? Kann mir das jemand bestätigen, ich bin mir da nicht sicher, aber möchte auch nicht unnötig Zeit verschwenden nach einer Lösung zu suchen die es womöglich nicht gibt. Das meiste läßt sich ja sowieso über MMC und Delegieren erledigen (wie ja auch schon ducke geschrieben hat). Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 6. August 2007 Melden Teilen Geschrieben 6. August 2007 Jedesmal wenn ich mich mit diesem Benutzer anmelde, kommt die Meldung: Wo und wie anmelden? Lokal am DC? "Sie benötigen Administratorrechte um sich anmelden zu können" Ich kenne diese Fehlermeldung jetzt nicht (oder kann mich daran nicht errinnern. Heißt die genau so? Wann, wo kommt die? Mittlerweile dämmerts mir im Hinterkopf, dass sich an einem DC wirklich nur Domänenadmins anmelden können, da es auf einem DC ja keine lokale Benutzerdatenbank (Stichwort lokaler Admin) gibt, oder? Es gibt keine lokale SAM, aber es gibt im AD die domänen-lokale Gruppe der Administratoren, die nur auf DCs relevant ist. grizzly999 Zitieren Link zu diesem Kommentar
justin0102 10 Geschrieben 6. August 2007 Melden Teilen Geschrieben 6. August 2007 An unserem DC hier kann ich mich auch mit einem normalen Benutzerkonto (kein Domänenadmin) anmelden, allerdings nicht über Remote Desktop. RDP-Anmeldung geht nur mit Domänenadmin-Konto. Zitieren Link zu diesem Kommentar
XP-Fan 220 Geschrieben 6. August 2007 Melden Teilen Geschrieben 6. August 2007 Ahoi, dein DC ist nicht zufällig ein Small Business Server .. oder ? Zitieren Link zu diesem Kommentar
Bkolbe 10 Geschrieben 6. August 2007 Autor Melden Teilen Geschrieben 6. August 2007 @ grizzly999: Wo und wie anmelden? Lokal am DC? Ich möchte mich an einem DC mit Win2k3 SP2 anmelden ohne in der Gruppe "Domadmin" zu sein. Sowohl Remote als auch lokal. Bis jetzt habe ich nicht geschafft mich Remote anzumelden (Was ja auch wichtiger wäre, wer will schon dauernd in den Serverraum laufen?). Ich kenne diese Fehlermeldung jetzt nicht (oder kann mich daran nicht errinnern.Heißt die genau so? Wann, wo kommt die? Die Fehlermeldung lautet exakt so: Sie müssen über Administratorrechte verfügen, um sich an der REmotekonsolensitzung anmelden zu können. Die Meldung poppt nach der Benutzerauthentisierung auf. Klickt man auf ok, ist man wieder beim Anmeldedialog. Es gibt keine lokale SAM, aber es gibt im AD die domänen-lokale Gruppe der Administratoren, die nur auf DCs relevant ist. Das mit der Datenkbank wußte ich, daher kam mir dann auch der Gedanke, dass es evtl. gar nicht möglich ist, dem User lokale Adminrechte für einen DC zu geben. Was unterscheidet die Administratoren (Die DL-Gruppe) nun von der Gruppe der Domänenadministratoren? Was ich herausfinden konnte hat die DL-Gruppe "Administratoren" das Recht Objekte im AD zu erstellen zu ändern und zu löschen, mit einer Ausnahme, er kann keine bestehenden GPOs editieren oder löschen (aus dem AD). Neue verknüpfungen hinzufügen und bestehende verknüpfungen löschen kann aber aber bei GPOs. Unterm Strich: Eine nur leicht abgeschwächte Version des "DomAdmins", kann immer noch genug im AD rummanipulieren. Mit ihm ist es aber möglich sich am DC remote anzumelden. @ justin0102: Das besagt auch meine Fehlermeldung, dass es nur mit Adminrechten geht, obwohl der Benutzer in der Gruppe der Remotedesktopbenutzer eingetragen ist und ihm das Recht der Remoteanmeldung nicht verweigert wird. @ XP-Fan: nein, es ist kein SBS-Server, reinrassiges Win2k3 mit SP2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.