Scharping-FVB 11 Geschrieben Gestern um 08:51 Melden Geschrieben Gestern um 08:51 Liebes Forum, ich habe versucht RCG für einen Server und einen Client einzurichten. Für den Client habe ich diese GPO eingestellt: System/Credentials Delegation Policy Setting Restrict delegation of credentials to remote servers: Enabled Use the following restricted mode: Require Remote Credential Guard Für den Server: System/Credentials Delegation Policy Setting Remote host allows delegation of non-exportable credentials: Enabled Der zu testende AD-User ist Mitglied einer AD-Gruppe, die wiederum Mitglied der lokalen Gruppe "Remote Desktop Users" ist. Wenn ich mich mit einem AD-User anmelde, dann erhalte ich: "the requested session access is denied". Ist der AD-User Mitglied der lokalen Gruppe der Administratoren, funktioniert die Anmeldung. Im ersteren Fall kommt im Event Log, "successfully", obwohl die Anmeldung abgewiesen wird: An account was successfully logged on. Subject: Security ID: SYSTEM Account Name: SERVER$ Account Domain: YYY Logon ID: 0x3E7 Logon Information: Logon Type: 10 Restricted Admin Mode: No Virtual Account: No Elevated Token: No Impersonation Level: Impersonation New Logon: Security ID: YYY\xxxx Account Name: xxxx Account Domain: YYY Im zweiten Fall, als lokaler Admin kommt dieses Ereignis: An account was successfully logged on. Subject: Security ID: SYSTEM Account Name: SERVER$ Account Domain: YYY Logon ID: 0x3E7 Logon Information: Logon Type: 10 Restricted Admin Mode: No Virtual Account: No Elevated Token: No Impersonation Level: Impersonation New Logon: Security ID: YYY\addom-XXXX Account Name: addom-XXXX Account Domain: YYY Logon ID: 0x140036 Linked Logon ID: 0x13FFEE Network Account Name: - Network Account Domain: - Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x8b8 Process Name: C:\Windows\System32\svchost.exe Network Information: Workstation Name: SERVER Source Network Address: 10.x.x.x Source Port: 0 Detailed Authentication Information: Logon Process: User32 Authentication Package: Negotiate Transited Services: - Package Name (NTLM only): - Was kann ich tun, um RCG für Domänen-Administratoren zu erzwingen? Viele Grüße Davorin Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.