Terminal-Server Anmeldung nicht möglich

[Crockett 10]

Hallo !

 

Ich habe hier einen Terminal-Server auf Windows2003 Server (Standard-Edition) installiert. Vorweg der Server ist ein DC.

 

In der Gruppenrichtline habe ich der Gruppe Remotedesktopbenutzer und Domänen-Benutzer die Rechte für die lokale Anmeldung gegeben. Ebenfalls in der Gruppenrichtlinie das Recht für "Anmelden über Terminaldienste" gewährt.

 

Wenn ich mich nun am Terminal-Server anmelden will, mit einem User der in der Gruppe der Domänen-Benutzer und der RemoteDesktop Benutzer ist, kommt die Fehlermeldung

 

"Die lokale Sicherheitsrichtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden".

 

Im Profil des Users ist unter Terminal-Sitzung auch der Haken für Terminal-Sitzung zulassen drin.

 

 

Weiß jemand einen Rat ?

 

Mfg

 

Christian

[Stragami 10]

In welcher Gruppenrichtlinie hast du die lokale Anmeldung erlaubt???

[Crockett 10]

@Stragami

 

 

Einmal unter Start-Programme-Verwaltung-Active Directory Benutzer und Computer. Dann Eingeschaften auf Server und Gruppenrichtlinie. Dort dann lokale Anmeldung und Anmelden über Terminal-Dienste.

 

Ebenfalls unter Verwaltung. dann bei Sicherheitsrichtlinie für Domänencontroller. Dort das selbe eingestellt.

 

Geht leider immer noch nicht.

 

Gruß

 

Christian

[ITMike 10]

Was sagt denn die lokale Sicherheitsrichtlinie für DC -> zuweisen von Benutzerrechten ?

 

Ist dort die Gruppe der Remotebenutzer unter -> Anmelden über Terminaldienste zulassen eingetragen?

 

Gruß

 

Mike

 

Nachtrag:

 

Sollte dann eine Meldung kommen -> Sie dürfen sich an dieser Sitzung nicht anmelden. <-

 

Dann liegt das daran, das der derzeitige Remoteadmindmodus nur den DomAdmins zur Verfügung steht. Hier dürfen auch nur 2 Verbindungen gleichzeitig Afgebaut werden (+ zusätzliche Verbindung über /console). Also bei dieser Meldung Terminalserver Clientzugriffslizenzen installieren und dann dürfte das funktionieren.

 

Außerdem wirst Du für jeden TS Nutzer (Benutzer oder Computer) eine TS CAL kaufen müssen.

 

Mike

[Crockett 10]

@ITMike

 

 

Hallo !

 

Ja das ist dort eingetragen. Rechte für RemoteDesktopbenutzer, Administratoren, Domänen-Benutzer.

 

Nimm ich den Admin da raus, gehts auch nicht mehr mit Admin. Setzte ich ihn wieder rein, dann gehts mit dem Admin auch wieder. Nur mit dem "normalen" Benutzer gehts nicht.

 

Gruß

 

Christian

[ITMike 10]

Ja das ist richtig weil sobald du die Richtlinie definierst die Standarteinstellung nicht mehr gilt. Das heist der Administrator muss dann auch dort aufgeführt werden da er sonst nicht mehr zugreifen kann. Aber das passt ja alles wie du schreibst.

 

OK also noch mal langsam.

 

Der User XY ist angelegt und befindet sich in der Gruppe Remote

 

Die Gruppe Remote ist hier (am DC)

 

->Start -> Einstellungen -> Systemsteuerung -> Verwaltung -> Sicherheitsrichtlinie für Domänenkontroller -> Sicherheitseinstellungen -> Lokale Richtlinie -> Zuweisen von Benutzerrechten -> Anmelden über Terminaldienste zulassen

 

eingetragen.

 

Wenn sich ein Admin verbindet dann funktioniert es und wenn der User XY versucht kommt:

 

Die lokale Sicherheitsrichtlinie erlaubt es nicht sich interaktiv anzumelden (so in etwa)

 

 

Was passiert wenn sich der User XY mit der /console Verbindet?

(wahrscheinlich die selbe Meldung)

 

Ich tippe auf eine GPO die das Anmelden untersagt. Prüf mal die GPOs die du erstellt oder verändert hast ob dort Rechte bezüglich der Remotverbindung eingeschrängt sind.

 

Mike

[Crockett 10]

@ ITMike

 

 

Ich habe jetzt alle Einstellungen bei der Gruppenrichtline und Sicherheitsrichtlinie durch. Dort ist niergendwo etwas eingeschränkt.

 

Was meinst du mir wenn sich der User mit /console connected ?

 

Muss evlt. der Terminal Lizenzserver aktiverit sein damit eine Anmeldung möglich ist ? Dieses habe ich noch nicht gemacht. Das ist doch erst nach 60 Tagen notwendig oder ?

 

 

Mfg

 

Christian

[ITMike 10]

Das könnte der Fehler sein.

 

Console ist eine Art der Terminalsitzung mit der es Möglich ist sich an exakt der gleichen Sitzung anzumelden die lokal läuft.

 

Dazu muss die Sitzung mit -> mstsc.exe /console gestartet werden.

 

Das ermöglicht eine weitere Sitzung zu den 2 eigentlich Möglichen administrativen Sitzungen zu öffnen.

 

Aber wenn es sich hier um Lizenz Probleme handelt dann kommt eigentlich nicht der Hinweis auf ein Rechteproblem soweit ich weiss.

 

Du solltes aber auf jeden Fall die Fehlerquelle beseitigen und den Server aktivieren.

 

Gruß

 

Mike

[Crockett 10]

@all

 

habe jetzt wirklich alles dreimal probiert. Ich bekomme keinen normalen User am Termial Server angemeldet.

 

Lokale Sicherheitsrichtlinie und Gruppenrichtlinie bin ich jetzt x mal durch. Es kann sich nur der Administrator mit dem Terminal Server verbinden. Das kanns doch nicht sein.

 

Oder ist es bei 2003 Server wirklich so das wenn der Server DC ist es mit dem Temrinal nicht geht ???

 

Optimal ist es nicht, das weiß ich, aber gehen muss es doch ??

 

Gruß

 

Christian

[ITMike 10]

Ob DC oder nicht. Terminal Server läuft da ohne Probleme drauf und das funktioniert auch. Ich denke es wird an Lizenzen liegen.

 

Das einzige was mich dabei stutzig macht ist die Fehlermeldung die du bekommst. Das deutet auf ein Rechteproblem hin aber wenn du alles so konfigurierst hast dann dürfte das eigentlich nicht sein.

 

Da kann ich so auch nicht mehr zu sagen. Ich werde das ganze im laufe der Woche bei mir noch mal nachstellen und wenn mir da noch was auffällt dann schreib ich noch mal.

 

Gruss

 

Mike

[Crockett 10]

@ITMike

 

Danke nochmal für deine Antwort. Habe es jetzt hinbekommen. Allerdings ist die Lösung nicht wirklich logisch.

 

Habe mich heute mit jedem Domänen-Benutzer versucht anzumelden. Bei einem ging es dann. Habe dann die beiden User verglichen. Der einzige Unterschied war, das mein User der sich anmelden sollte und nicht konnte in 2 Gruppen drin war (Domänen-Benutzer, RemoteDesktop Benutzer). Habe ihn dann nur in der Gruppe der Domänen-Benutzer gelassen, und siehe da dann ging es. Soweit so gut.

 

Gibt es eine Möglichkeit bei den Usern den Desktop zu bearbeiten ? Standardmäßíg ist bei dem Terminal-User Desktop eine Verknüpfung zur Backup-Exec des Server. Die soll weg. Weiterhin soll der User unter Arbeitsplatz nicht alle Laufwerke sehen und auch im Startmenü nichts drin haben. Gibt es dafür eine Lösung ?

 

Mfg

 

Christian

[Crockett 10]

@all

 

Das mit dem angepassten Desktop / Startmenü habe ich nun eingerichet bekommen. Gibt es eine Möglichkeit dem TS_User bestimmte Laufwerke im Arbeitsplatz nicht anzeigen zu lassen ?

 

Gruß

 

Christian

[ITMike 10]

Du erstellst eine GPO wo du die Sachen ausblendest und weist sie der Gruppe der Remotebenutzer zu.

 

Gruss

 

Mike

[Crockett 10]

@ITMike

 

Habe jetzt eine eigene OU erstellt und dort die User reingepackt die sich über Terminal anmelden drüfen. Dort habe ich dann eine eigene Richtlinie vergeben die auch gut funktoniert. Die Funktion Laufwerke ausblenden kann ich leider nicht benutzen, da dort nur die falschen Laufwerke zur Auswahl stehen. Ich müsste LW D;F;G ausblenden lassen.

 

Habe dort keine Möglichkeit gefunden die Auswahl zu modifizieren.

 

Habe es jetzt so gemacht das ich untern Sicherheit der Laufwerke den Usern verboten habe darauf zuzugreifen.

 

 

Mfg

 

Christian

[ITMike 10]

Wenn das funktioniert ist es ja ok. Sonst gibt es da eine etwas kompliziertere Möglichkeit. Müsste mich dann aber erst drum kümmern das ich die Infos noch mal zusammen bekomme weil ich das erst einmal gemacht habe. Da müssen dann binäre Zeichenfolgen editiert werden um bestimmte Laufwerke auszublenden.

 

Gruss

 

Mike