Jump to content

GPO - Lokalen Benutzer erstellen und lokal Anmelden

Gast

Von Gast
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Gast

Gast  

Geschrieben
Geschrieben

Hallo Zusammen,

 

ich möchte für Rechner (WIN7Enterprise) die sich in einer Domäne (WS2012) befinden zusätzlich - via GPO - lokale Benutzer erstellen, welche sich dann auch anmelden dürfen.

 

Was ich habe:

 

Unter Computerkonfiguration - Einstellungen - Systemsteuerunsgeinstellungen - Lokale Benutzer und Gruppen einen Lokalen Benutzer xyz mit folgenden Eigenschaften angelegt:

 

xyz:

- Benutzer kann Kennwort nicht ändern

- Kennwort läuft nie ab

- Konto läuft nie ab

- Kein Kennwort gesetzt

 

Unter Computerkonfiguraton - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinen - Zuweisen von Benutzerrechten - Lokal anmelden zulassen

 

habe ich nun zum einen Administratoren und xyz hinzugefügt.

-> Hier die erste Frage: Wie muss ich hier lokale Benuter angeben? reicht hier ein xyz? Die AD-Grppen werden mit ads\XYZGruppe angegeben.

 

In der Ordnersturktur weiter oben gibt es eine Gruppenrichtlinie, welche bereits ein paar Domänen-Gruppen das lokale anmelden genemigt.

 

Ein gpupdate /force hab ich gemacht.

 

Wenn ich mich versuche, mit dem lokalen Benutzer mit .\xyz anmelden möchte, bekomme ich ein "Der Benutzername bzw. das Kennwort ist flasch."

 

In der Ereignisanzeige habe ich nichts verdächtiges gefunden.

 

Würde mich über ein paar Tips freuen.

 

Vielen Dank

 

Christoph

 

 

 

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   811

Geschrieben
Geschrieben

ich möchte für Rechner (WIN7Enterprise) die sich in einer Domäne (WS2012) befinden zusätzlich - via GPO - lokale Benutzer erstellen, welche sich dann auch anmelden dürfen.

Gibt es dafür denn auch einen guten nachvollziehbaren Grund? Sind das evtl. mobile Geräte und Du möchtest das sich die Benutzer auch ohne Kontakt zu einem DC anmelden können?

 

 

Unter Computerkonfiguration - Einstellungen - Systemsteuerunsgeinstellungen - Lokale Benutzer und Gruppen einen Lokalen Benutzer xyz mit folgenden Eigenschaften angelegt:

 

xyz:

- Benutzer kann Kennwort nicht ändern

- Kennwort läuft nie ab

- Konto läuft nie ab

- Kein Kennwort gesetzt

Ist der Benutzer denn dann auf dem Client in den lokalen Benutzerkonten zu sehen? Auf einem solchen Client: Start > Ausführen > lusrmgr.msc [ENTER]. Wird der Benutzer hier angezeigt?

 

Du hast das GPO auf eine OU gelegt in der sich das *Computerkonto* befindet? Anschließend mußt Du den Rechner einmal neu starten, jetzt anmelden und LUSRMGR.MSC aufrufen. Ist der lokale Benutzer vorhanden? Wenn ja, dann kannst Du hier weitermachen:

http://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/

http://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berechtigungen/

http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/

Link zu diesem Kommentar
Gast

Gast  

Geschrieben
Geschrieben

Danke für die schnelle Rückmeldung.

 

zu: Rechnername\Benutzername:

sowohl als .\xzy als auch Rechnername\xyz -> Der Benutzername bzw. das Kennwort ist falsch

 

Anmerkung: In der Gruppenrichtline "Lokales anmelden zulassen" kann ich den Benutzer xyz eintragen, ein explizites Rechnername\xyz klappt nicht -> "Folgende Konten konnten nicht überprüft werden:"

 

zu: Ist der Benutzer tatsächlich in der Computerverwltung des Rechners vorhanden?:

Ja, wurde eingetage.

 

Was mir noch eingefallen ist:

Ich kann in der AD beim erstellen des Benutzers kein Kennwort vergeben. Das Feld ist ausgegraut.

 

-> Frage: Hätte hier jemand eine Idee wie ich da ein Kennwort vergeben kann?

 

Eine weitere GOP (nicht von mir) legt glaub ich fest, wie ein Passwort aufgebaut sein muss. Ein leeres Passwort wiederspricht dem. UU kolliediet das damit.

 

Danke

 

Christoph



Hallo

 

Gibt es dafür denn auch einen guten nachvollziehbaren Grund? Sind das evtl. mobile Geräte und Du möchtest das sich die Benutzer auch ohne Kontakt zu einem DC anmelden können?

Genau darum gehts, sind mobile Rechner die für Präsentationen genutzer werden sollen. Da ist auch nicht jeder Benutzer in der Domäne und Teilweise kein Netzwerk verfügbar.

 

 

Start > Ausführen > lusrmgr.msc [ENTER]. Wird der Benutzer hier angezeigt?

 

Ja, wird angezeigt.

 

Mit den Links beschäftige ich mich nach dem Essen ;)

 

Danke euch.

 

Christoph

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   811

Geschrieben
Geschrieben

Danke für die schnelle Rückmeldung.

 

zu: Rechnername\Benutzername:

sowohl als .\xzy als auch Rechnername\xyz -> Der Benutzername bzw. das Kennwort ist falsch

Ist denn das Benutzerkonto auch aktiviert? Nur eingetragen alleine reicht nicht aus.

 

 

Anmerkung: In der Gruppenrichtline "Lokales anmelden zulassen" kann ich den Benutzer xyz eintragen, ein explizites Rechnername\xyz klappt nicht -> "Folgende Konten konnten nicht überprüft werden:"

Du vermischt hier lokale Benutzerkonten mit Benutzerkonten aus dem AD. Ein lokal erzeugter/angelegter Benutzer hat immer das Recht sich an diesem Client anzumelden, das was Du mit Lokal anmelden machst betrifft nur Konten aus dem AD.

 

 

zu: Ist der Benutzer tatsächlich in der Computerverwltung des Rechners vorhanden?:

Ja, wurde eingetage.

Gut, dann prüfe nach ob das Konto auch aktiv ist.

 

Was mir noch eingefallen ist:

Ich kann in der AD beim erstellen des Benutzers kein Kennwort vergeben. Das Feld ist ausgegraut.

 

-> Frage: Hätte hier jemand eine Idee wie ich da ein Kennwort vergeben kann?

Lies die geposteten Links, steht alles da drin.

 

Eine weitere GOP (nicht von mir) legt glaub ich fest, wie ein Passwort aufgebaut sein muss. Ein leeres Passwort wiederspricht dem. UU kolliediet das damit.

Glauben tut der Pfarrer in der Kirche, hier zählen nur Fakten. Prüf nach was genau in de GPO konfiguriert wird. 

 

 

Genau darum gehts, sind mobile Rechner die für Präsentationen genutzer werden sollen. Da ist auch nicht jeder Benutzer in der Domäne und Teilweise kein Netzwerk verfügbar.

 

Du kannst dich auch ohne Kontakt zum DC mit einem Konto aus der Domain anmelden. Voraussetzung ist dass das schon mind. einmal auf diesem Rechner gemacht wurde. Wenn ja, dann kannst Du dich die nächsten 100 Jahre mit deinem Domain Konto an dem Client anmelden ohne das er zwischendurch einen Kontakt zum DC haben muss. So etwas in der Art dachte ich mir schon, deshalb auch die Frage. Möglicherweise kannst Du dir jetzt das ganze mit den lokalen Konten sparen.

 

 

 

Mit den Links beschäftige ich mich nach dem Essen ;)

 

Mach das, und bitte erst anschließend die nächste Frage stellen, Danke. ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...