Kein Remotezugriff mehr mit neuen Benutzern möglich

[ekleklips 10]

Hallo,

 

habe folgendes Problem, wenn ich auf einen 2008er Terminalserver, der in der Domäne von einem 2008er SBS hängt, mit einem Benutzer per RDP möchte den ich neu angelegt habe, bekomme ich gesagt, dass dies nicht geht aufgrund fehlender Berechigung, siehe Screenshot.

 

Jetzt kommt aber der Witz an der Sache, das passiert mit allen Benutzern die ich neu anlege. Selbst wenn ich einen davon der Gruppe der Domänen Admins hinzufüge, genau das gleiche Problem.

 

Mit den bereits existierenden Benutzern auf in dem Netzwerk, kann ich mich problemlos anmelden. Der Fehler tritt nur mit neu erstellten Benutzern auf. Irgendwelche Ideen?

[Dukel 457]

Schau in die Lokale Gruppe "Remote Desktop Users" auf dem RDS.

[ekleklips 10]

Schau in die Lokale Gruppe "Remote Desktop Users" auf dem RDS.

 

Habe ich überprüft. In der Gruppe waren alle Domänenbenutzer schon drin (also sollte das schon mal gehen), aber selbst wenn ich einen Benutzer explizit hinzufüge, ändert das nichts. Oder übersehe ich was?

 

[Michael1982 10]

Hallo,

 

starte doch mal die CMD und gib mal net session ein. Könnte vielleicht auch ein Lizenzproplem sein. Wie viele User hast du denn und wie viele Lizenzen hast du registriert?

[Dukel 457]

Was sagt die (lokale) GPO wer sich per Remote Desktop anmelden darf? Ist es die Lokale Remote Desktop Users Gruppe?

[ekleklips 10]

Der Server wird noch nicht produktiv genutzt. Darauf sollte, außer ich, dann niemand angemeldet sein. Aktuell sind 5 CALs eingetragen.

 

Ein net session meldet "Es sind keine Einträge in der Liste".

 

Was sagt die (lokale) GPO wer sich per Remote Desktop anmelden darf? Ist es die Lokale Remote Desktop Users Gruppe?

 

Welche Stelle meinst Du genau? Die lokale Einstellung am TServer? Sowohl hier, als auch bei den relevanten Gruppen sind die Domänenbenutzer eingetragen. Siehe Screenshots.

 

[Michael1982 10]

OK, Du kannst ja mal sicherheitshalber 20 zusätzliche CALs eintragen, die bekommst Du kostenlos auf vertrauensbasis....von Microsoft.

[ekleklips 10]

OK, Du kannst ja mal sicherheitshalber 20 zusätzliche CALs eintragen, die bekommst Du kostenlos auf vertrauensbasis....von Microsoft.

 

Wenn es aufgrund fehlender CALs nicht gehen würde, würde er mir das für gewöhnlich entsprechend melden. Aber er sagt ja ganz explizit, dass es an den Berechtigungen fehlt... Details siehe einen Beitrag höher das Edit.

[Dukel 457]

[...]

Welche Stelle meinst Du genau? Die lokale Einstellung am TServer?

[...]

 

Ich meinte, wie ich das geschrieben habe, die (Lokale) GPO.

 

Gebe einmal gpedit.msc auf dem Server ein...

[ekleklips 10]

Ich meinte, wie ich das geschrieben habe, die (Lokale) GPO.

 

Gebe einmal gpedit.msc auf dem Server ein...

 

 

Danke für den Hinweis, sehr interessant, da kommen wir der Sache schon näher. Hier stehen nur einzelne ältere Benutzer, keine Gruppen (warum auch immer?).

 

Ich kann an der Stelle allerdings keine weiteren hinzufügen, siehe Screenshot der entsprechende Button ist nicht anwählbar. Ich war in dem Fall als admin angemeldet, also an den Rechten sollte es nicht liegen.

 

[Dukel 457]

Dann wird es wohl im AD eine GPO geben, die das einstellt (oder du hast keine Rechte).

[ekleklips 10]

Wald und Bäume... Du hast natürlich Recht. Ich war ja in den LOKALEN Gruppenrichtlinien. Habe das ganze nun in der default domain policy entsprechend angepasst und dann manuell das aktualisieren der Richtlinien auf dem AD-Server und dem TServer angestossen und schon funktioniert es auch.

 

Also alles in Ordnung. Eine Frage noch, hast Du vielleicht eine Idee warum hier die Remotebenutzer als Gruppe nicht standardmäßig hinterlegt war? Meinst Du da hat einer rum gespielt oder hast Du noch ne andere Erklärung dafür?

[Dukel 457]

Da hat wohl einer rumgespielt.

Per Default steht in der GPO (btw. Default Domain Policy ist eine der schlechtesten Orte dafür) die Lokale Gruppe "Remote Desktop Users", in der per Default die Lokalen Administratoren stehen.