Sicherheitsgruppe für User an TS nicht wirksam

[Userle 146]

Hallo MCSE Gemeinde,

 

in einer W2K3 Domäne hab ich einen User, der Mitglied der Gruppe Administratoren ist. Wenn dieser sich an einen PC Client anmeldet ist auch alles bestens. Via gpresult kann man sehen, das er Member der Sicherheitsgruppe ist.

Wenn dieser Benutzer sich nun an einen TS anmeldet wird diese Mitgliedschaft seltsamer Weise nicht gezogen :confused::shock:.

Problem ist: Durch die Mitgliedschaft wird die Übernahme einiger Richtlinien verhindert, die nur für den Standarduser gelten.

 

Hat jemand eine Idee dazu ?

 

Greetings Ralf

[olc 18]

Hi Ralf,

 

in welcher Gruppe ist der Benutzer genau? In der Builtin AD Gruppe "Administratoren" oder in einer eigenens erstellten Gruppe?

Steht der Terminal Server in derselben Domäne wie der Client, bei dem es funktioniert?

In wie vielen Gruppen ist der Benutzer Mitglied?

Zeigt Dir das GPRESULT bzw. ein "whoami" die Gruppenmitgliedschaft auf dem TS nicht an oder greift auf dem TS vielleicht einfach das Policy-Objekt nicht (etwa wegen falscher Verlinkung oder Loopback-Processing)?

 

Viele Grüße

olc

[Userle 146]

Der Benutzer ist Mitglied der Builtin Gruppe.

Ja der TS ist in der gleichen Domäne.

Neben der Gruppe Administratoren ist er noch Mitglied von Domänen-Benutzer und TC (Gruppe die sich an TS anmelden darf), sowie un einer Gruppe Internet (Internetzugriffssteuerung) und Mitglied in Verschiedenen Verteilergruppen, also non Sec Gruppen.

 

In der Tat wirft gpresult eben halt die Mitgliedschaft "Administratoren" nicht aus. Alle anderen schon.

Richtlinien und Verlinkung müssen stimmen. Es gibt nämlich einen 2. Benutzer der bis auf den Namen identisch ist. Bei dem funktioniert alles wie gewünscht.

Hatte erst an einen Replikationsfehler gedacht und alle DC´s gecheckt. Auf allen sind die Usereinstellungen korrekt repliziert und übernommen. Wie gesagt es klappt auch nur auf dem TS nicht - und nur bei dem einen User.

 

BTW auf dem PC Client gibt gpresult das richtige Ergebnis für den User aus.

 

 

Greetings Ralf

[IThome 10]

Er ist Mitglied der Builtin Gruppe Administratoren eines DCs und ist auf einem PC Member welcher Gruppe, der lokalen Administratoren (das sind zwei verschiedene Gruppen) ? Die Gruppenzugehörigkeit wird via GPO und "Eingeschränkte Gruppen" eingestellt ? Wie ist denn die Sicherheitsfilterung der entsprechenden GPOs eingestellt ?

[Userle 146]

Okay...nochmal:

- Er ist Mitglied der Builtin Gruppe Administratoren auf dem DC also in der Domäne.

- Er ist nichtMizglied der Gruppe Administratoren auf einem lokalen PC

- Nein die Gruppenzugehörogkeit wird nicht via GPO und eingeschränkte Gruppen eingestellt

 

Wenn dieser User sich nun von einem PC aus an der Domäne anmeldet, werden lt. gpresult die Mitgliedschaften richtig gezogen.

Meldet der gleiche Benutzer sich nun von einem TC aus via TS an der Domäne an, werden die Mitgliedschaften alle gezogen, außer der der Administratoren.

 

Ein identischer 2. Benutzer mit gleichen Mitgliedschaften hat diese Probleme nicht.

 

Greetings Ralf

[Stephan Betken 43]

Hallo Ralf,

 

nach dem, was Du schreibst, wundert es mich eher, dass der User auf dem Client Administrator ist. Denn eigentlich kann das so nicht sein, es sei denn, man fügt ihn manuell oder per "eingeschränkte Gruppen" hinzu. Die BuildIn-Gruppe "Administratoren" wirkt sich nicht auf Clients oder Member-Server aus und kann demnach keinen Einfluss auf die Mitgliedschaften haben.

[IThome 10]

Du meinst diese Ausgabe ?

 

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
   -----------------------------------------------------------
       Domänen-Benutzer
       Jeder
       Benutzer
       INTERAKTIV
       Authentifizierte Benutzer
       LOKAL

 

Und da steht dann, wenn Du das auf einem PC ausführst, die Gruppe Administratoren und auf dem TS nicht ?!

 

@Stephan

Genau darauf will ich auch hinaus, das kann nicht sein, da dort die Builtin\Administratoren gar nicht angezeigt werden. Das muss also eine lokale Mitgliedschaft sein ...

[Userle 146]

Big Sorry, war nett das wir einmal darüber gesprochen haben :D !

Da war mal wieder ein grosses Brett vor dem Kopf.

 

@IThome und Stephan Bethken

Danke fürs wegsägen ;).

 

Jetzt klappt alles :D

 

Greetings Ralf

[Stephan Betken 43]

Na, hey, moment. Nicht so schnell. ;)

 

Was war´s denn nu?

 

...Stephan Bethken...

Wenn Du schon den Nachnamen schreibst, dann aber wenigstens richtig. Das gibt Pluspunkte auf der Minusliste. ;)

[Userle 146]

Ganz einfach:

Der User war vorher lediglich Standarduser mit lokalen Adminrechten auf seinem PC.

Jetzt sollte er innerhalb der Domäne Adminrechte erhalten, also habe ich Ihn so ganz im Tran der Gruppe Administratoren hinzugefügt. Ganz vergessend, das sich diese natürlich nicht Domänenweit auswirkt.

Also habe ich Ihn zu den Domänen-Admins hinzugefügt, und siehe da der gewünschte Erfolg wude erreicht.

 

Greetings Ralf

 

PS: @Stephan Betken -> Ich hoffe Du kannst mir noch einmal vergeben ;)

[Stephan Betken 43]

Jetzt sollte er innerhalb der Domäne Adminrechte erhalten...

Warum müssen es immer gleich Domänen-Admins sein? ;)

Oft reicht es ja, den Benutzern auf den Clients und ggfls. den Member-Servern Admin-Rechte zu geben (falls es wirklich notwendig ist). Aber das jeder gleich am AD schrauben kann... (Obwohl ............. ist ja nicht meins.)

 

PS: @Stephan Betken -> Ich hoffe Du kannst mir noch einmal vergeben ;)

Um die Uhrzeit? Ungerne. Nicht vor´m ersten Kaffee. :p ;) :D