goat82 2 Geschrieben 2. Dezember Melden Teilen Geschrieben 2. Dezember Hallo Zusammen, wir haben 5 2022 Domaincontroller welche 2019 DC abgelöst haben. Nun ist es eigentlich ja so, dass die lokale Userdatenbank auf einem DC per default abgeschaltet ist aber nicht bei uns! Die berechtigten User kommen aus den unterschiedlichesten Sicherheitsgruppen und scheinen wohl über ene GPO gekommen zu sein. Versuche ich einen User zu entfernen, hängt sich die Konsole User auf dem DC auf. Hat jemand eine Idee ? Ich habe auch leider die GPO welche das ganze verursacht hat noch nicht gefunden. Zumindest war es noch keine der angewendeten GPOs Lieben Gruß Felix Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 2. Dezember Melden Teilen Geschrieben 2. Dezember Moin, da musst Du mal zeigen, wie das bei Dir aussieht, denn... wenn ein DC als DC ohne Einschränkungen funktioniert, ist die lokale SAM-Datenbank in der Tat nicht geladen Zitieren Link zu diesem Kommentar
goat82 2 Geschrieben 2. Dezember Autor Melden Teilen Geschrieben 2. Dezember (bearbeitet) Es sieht genau so aus wie auf einem Memberserver nur dass unter Conputer Management die lokalen User fehlen, siehe Anhang. Gehe ich auf Users über das Controllpannel werden aber viele User berechtigt angezeigt. Die User kommen aus verschiedensten Sicherhietsgruppen. Und ja, das Problem ist auf einem DC und nicht auf einem Memberserver! bearbeitet 2. Dezember von goat82 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 2. Dezember Melden Teilen Geschrieben 2. Dezember OK, das sind zwei Fragen. 1. sind die User wirklich lokal oder sind das Domain-User? Falls es Domain-User sind, hast Du kein Problem. 2. warum ist das Control Panel-Widget aufrufbar? Da ist scheinbar wirklich eine Policy, die für DCs nicht gedacht war, auf diese angewendet worden. GPRESULT liefert Dir den Namen der Policy. Falls die User *wirklich* nicht Domain User sind, müsste man das troubleshooten. Zitieren Link zu diesem Kommentar
goat82 2 Geschrieben 2. Dezember Autor Melden Teilen Geschrieben 2. Dezember (bearbeitet) 1. Alle eingetragen User sind Domainuser, keine lokalen User! 2. Das weiß ich nicht. Es sind einige Policys aktiv aber ich dort nicht, wie die Einträge zustande kommen. Wie kann es zu 1. kommen und ist es wirklich kein Problem ? Es sind hier neben Domainadmins auch User gelistet welche auf keinen Fall auf den DC kommen dürfen (auch nicht readonly). Diese User haben keine Domanandminrolle zugeweisen stehen aber auf dem DC in dieser lokalen Accessliste, warum auch immer. bearbeitet 2. Dezember von goat82 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 2. Dezember Melden Teilen Geschrieben 2. Dezember Moin, auf dem DC listen diese Widgets, und auch NET USER, und auch Get-LocalUser, die Domain User auf. Das bedeutet nicht, dass sie auf dem DC ein Userprofil haben oder sich dort anmelden dürften. Insofern hast Du security-technisch vermutlich kein Problem, oder zumindest ist es nicht dadurch ersichtlich, dass diese User auf der Liste auftauchen. Mach GPRESULT /H auf dem DC und such nach der Einstellung "Diese Systemsteuerungssymbole einblenden" oder so ähnlich. Findest Du sie, dann wird daneben stehen, aus welcher Policy sie kommt. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 2. Dezember Melden Teilen Geschrieben 2. Dezember Moin, der Befund zu 1. wird sicher daran liegen, dass ein DC aus Kompatibilitätsgründen auch auf die alten Schnittstellen hört, mit denen man lokale User verwaltet. Das war zu NT-Zeiten die einzige Schnittstelle. Das führt nicht nur hier manchmal zu Verwirrung. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.