remote desktop login

[laiche 10]

Hallo nochmals

 

Habe eine andere Frage, weiss jetzt halt nicht, ob das in diesen Thread passt. Ich habe auf meinem Domänencontroller unter den Remote Desktop Users die Domain Users hinzugefügt. Trotzdem bin ich nicht im Stande mich per Remotekonsole mit einem normalen Domänen User auf meinen Windows 7 Client zu verbinden. Es kommt eine Fehlermeldung "The Connection was denied because the user account is not authorized for remote Login. Auf dem Client ist natürlich Remote Desktop aktiviert. Mit dem Domain Admin kann ich mich aber auf dieselbe Maschine mittels Remote Desktop verbinden. Ich habe auch schon in den Gruppenrichtlinien nachgeschaut auf dem Domänenkontroller und gibt es eine Policy mit dem Namen "allow log on trough terminal services" und dort habe ich die Remote Desktop Users hinzugefügt.

 

Hat jemand eine Hilfestellung?

 

danke

grüsse

[Dukel 451]

Wieso sollen sich normale User auf einem DC anmelden dürfen?

[laiche 10]

Hallo und danke für die Hilfestellung

 

Nein, es geht nicht darum, dass sich normale User auf dem DC anmelden können. Die Domain Users sollen sich auf einem normalen Windows 7 Client anmelden dürfen! Nur eben erscheint diese Meldung.

[Necron 71]

Kleiner Tipp! Schau dir doch mal auf dem Client die entsprechende Gruppe für den Remote Desktop an. ;)

[laiche 10]

Super, hat geklappt. Kannst du mir das noch kurz erklären?

[Necron 71]

Kannst du mir das noch kurz erklären?

Wieso das auf dem Client eingetragen werden muss?

[laiche 10]

Es sind diverse Unklarheiten. In der Remotedesktopgruppe des Clients waren beispielsweise die Domänenadmins NICHT drin, warum also konnte ich mich mit den Domänenadmins auf dem Client einloggen? Die andere Frage ist, muss ich auf dem DC die Domänenuser in die Remotedesktopgruppe aufnehmen oder bringt das gar nichts? Die dritte Frage, was ist mit der Policy allow log on trough terminal services? Hat die überhaupt eine Relevanz?

[Dukel 451]

Schau dir erstmal die Lokale Richtlinie "allow log on trough terminal services" per gpedit.msc an, dann wird dir evtl. vielen klarer.

[Necron 71]

In der Remotedesktopgruppe des Clients waren beispielsweise die Domänenadmins NICHT drin, warum also konnte ich mich mit den Domänenadmins auf dem Client einloggen?

Domänenadmins beziehungsweise Admins generell haben das Recht sich per Remote Desktop zu verbinden.

[Dunkelmann 96]

Domänen-Admins sind i.d.R. Mitglied der lokalen Gruppe Administratoren auf dem Client.

Lokale Administratoren dürfen sich per RDP anmelden und somit auch die Mitglieder dieser Gruppe - also Domänen-Admins.

[Dukel 451]

Btw. Die GPO "allow log on trough terminal services" bringt schon etwas. Man muss diese GPO dann nur mit den richtigen Clients verknüpfen.

[carlito 10]

Btw. Die GPO "allow log on trough terminal services" bringt schon etwas. Man muss diese GPO dann nur mit den richtigen Clients verknüpfen.

 

Siehe auch hier: https://www.mcseboard.de/windows-server-forum-78/server-2008-gpos-server-2003-activedirecotry-managen-173820.html#post1070724 ff.