schroeder750 10 Geschrieben 11. Oktober 2005 Autor Melden Teilen Geschrieben 11. Oktober 2005 Hy Christoph, danke Dir fürs testen !!! Eben gehts ans Eingemachte... Ich hake da aber trotzdem nochmal nach: Dein Benutzer "tuser1" ist ja, wie Du schreibst, ein Domänenbenutzer... na klar ist der Mitglied der Gruppe "Users" (ist ja die lokale Domänengruppe, im deutschen heissen die ja "Benutzer"). Bis dahin alles ganz logisch. Komme ja selbst ich mit :D Nur der Schluss, daß man auch auf lokale Benutzer des Clients berechtigen kann ist mir in diesem Moment schleierhaft. Du hast die Berechtigungen in der Domain Policy auf eine lokale Domänengruppe vergeben und mit einem Domänenbenutzer getestet, d.h. bei der Anmeldung am Client mit dem Benutzer "tuser1" hast Du ja unten die Domäne angegeben gehabt, sehe ich das richtig ? Jetzt sei doch so gut und lege lokal auf Deinem Testclient mal einen Benutzer an, der z.B "tuser2" heißt und erklär mir, wie Du dem Benutzer verbieten willst, sich lokal am Rechner anzumelden, also unten in der Anmeldemaske den lokalen Rechnernamen ... Nicht das wir aneinander vorbeireden, ich meine keinen Domänenbenutzer einer lokalen Gruppe der Domäne, sondern wirklich einen lokalen Benutzer auf einem Rechner, so wie ich ihn auch zu Hause auf meinem XP ohne Domäne anlegen kann. Sorry, ich weiß ich nerve, aber ich habe echt immer noch kein Ergebnis, das ich erkennen könnte... Ganz davon ab werde ich hier echt noch wahnsinnig in meiner Testumgebung. Ich habe hier einen W2K-Client, da gibt es ja noch kein "gpupdate". Ich hatte irgendwas von "ipsec /refreshpolicy" in Erinnerung, aber das kennt der Client auch nicht. Ich habe die Domäne samt Rechner jetzt schon den ganzen Tag am Laufen, so daß sich die policy auch von selbst durchrepliziert haben müsste, auch den Client neu gestartet, wenn Du aber meinst, der Testbenutzer, dem ich ausdrücklich verboten habe, sich an der Domäne anzumelden, bekommt auf die Finger gehauen... Fehlanzeige ... Grüsse schroeder750 Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 11. Oktober 2005 Melden Teilen Geschrieben 11. Oktober 2005 Ok, also kurz zum Kommando bei W2K: das heißt secedit /refreshpolicy machine_policy bzw. ... user_policy. Das andere werde ich jetzt mal testen und melde mich dann wieder. Christoph Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 11. Oktober 2005 Melden Teilen Geschrieben 11. Oktober 2005 Und schon fertig mit testen... Also, wie gewünscht einen lokalen user tuser2 angelegt, ist nur mitglied der lokalen gruppe users. Änderungen in der Domain Policy: allow logon locally: users etc., deny logon locally: tuser2 Am client gpupdate /force und (trommelwirbel)............... tuser2 kann sich nicht lokal anmelden. Irgendwas stimmt bei dir noch nicht... oder es gibt hier einen unterschied zwischen W2K und XP..... Ich setze am besten mal einen 2K Client auf und probier das da auch noch mal... Christoph Nachtrag: ok, am W2K Client das gleiche getestet: lokaler user tuser6, mitglied von lokaler gruppe users, am DC Deny Logon Locally um tuser6 erweitert. Auch hier keine Anmeldung mit tuser6 möglich.... Was stimmt da nicht bei Dir, Schroeder? Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 12. Oktober 2005 Autor Melden Teilen Geschrieben 12. Oktober 2005 Moin Christoph35, zuerst wieder einmal Dank für Deine Bemühungen :D Und ich denke, jetzt kommen wir auch langsam zu dem Punkt, den ich meine: Also, wie gewünscht einen lokalen user tuser2 angelegt, ist nur mitglied der lokalen gruppe users. Und genau DA klemmt es bei mir: Du sagst "Mitglied der lokalen Gruppe Users". Ich hoffe, damit meinst Du die lokale Gruppe auf dem CLIENT, nicht die lokale Gruppe der Domäne... WIE bitte gibst Du diesen lokalen Benutzer, der ja nun auf ir-gend-einer Kiste, die zufällig Mitglied der Domäne ist in der Default Domain Policy bei Deny logon locally ein ? Genau daaaaa klemmt es bei mir :D :D Ich habe eben mal die default domain policy geöffnet, da bekomme ich doch nirgendwo diesen lokalen User eines Rechners aufgelöst, wenn ich ihn eingeben will ... Klar, ich kann da per Hand einfach den namen des Benutzers reinpinseln und OK klicken, mit dieser Info kann der DC jedoch überhaupt nix anfangen, der kennt diesen User ja nicht ... Buuuäääähhh... ich raffe es einfach nicht Gib mir´n Schubs in die richtige Richtung ... :wink2: Grüsse schroeder750 Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 12. Oktober 2005 Melden Teilen Geschrieben 12. Oktober 2005 Hi, schroeder, ja, ich meine die lokale Gruppe Users/Benutzer der Clients. Aufgelöst wird der Benutzername bei mir natürlich auch nicht. Ich gebe einfach den Usernamen ein bei Add/Hinzufügen. Der DC braucht den Namen nicht zu kennen, es reicht, dass der Client, der das GPO verpasst bekommt, den Usernamen kennt; et voilà, der user bekommt die Meldung: Die lokale Richtlinie erlaubt es ihnen nicht, sich anzumelden. (sinngemäß). Eigentlich ist es aber die Domain-Richtlinie, die es nicht erlaubt. Melde ich mich danach nämlich als lokaler Admin an und rufe GPedit.msc auf, hangele mich durch bis User Rights Assignment/Deny Logon Locally, steht da ein leeres Kästchen unterhalb von "Lokale Richtlinie", aber ein nicht editierbares aktiviertes Kästchen unter "Effektive Einstellung". D.h. aber ja nichts anderes, dass die Einstellung von der Def. Domain Policy übernommen wird. Christoph Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 12. Oktober 2005 Autor Melden Teilen Geschrieben 12. Oktober 2005 Hmmm... haut bei mir zwar nicht hin, aber ich scheine eh noch ein anderes Problemchen in meiner Testumgebung zu haben... werde da mal sauber was neues, nacktes aufbauen... und dann wieder berichten, O.K ? Hieße aber in letzter Konsequenz auch, daß ich mit diesem Eintrag alle lokalen User aller Workstations, die zufällig gleich heißen, aussperre, richtig ? Jetzt muss ich bei dem Kunden nur nochmal nachsehen, warum ich überhaupt diesen kleinen Kunstgriff machen musste, an diesem Punkt in der default domain policy überhaupt etwas zu konfigurieren... Als nichts konfiguriert war (standard) konnten sich ja die User der alten NT4-Domäne nicht mehr an den Rechnern anmelden, sobald diese ihr Computerkonto in der neuen Domäne hatten. Ist ja auch ein absolut untypisches Verhalten... die User der NT4-Domäne sind ja definitiv Mitglied der lokalen Gruppe der Benutzer der AD-Struktur... Wenn die alte Domäne gestorben ist und der Trust gekillt wurde, kann ich ja dann theoretisch wieder alles auf "nicht definiert" setzen, dann wird ja eh niemand mehr ausgesperrt... aber bis dahin ... :mad: O.K. danke Dir aber schonmal für Deine Hartnäckigkeit mir zu helfen !!!! :) Ich melde mich wieder !! Grüsse schroeder750 Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 12. Oktober 2005 Melden Teilen Geschrieben 12. Oktober 2005 Hieße aber in letzter Konsequenz auch, daß ich mit diesem Eintrag alle lokalen User aller Workstations, die zufällig gleich heißen, aussperre, richtig ? Jo, so ist das. Erstellst Du jetzt aber einen Domain User mit gleichem Namen kann der sich anmelden, wenn du ihm die Anmeldung nicht über Deny Logon locally verbietest. ;) Christoph Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 12. Oktober 2005 Melden Teilen Geschrieben 12. Oktober 2005 Ist ja auch ein absolut untypisches Verhalten... die User der NT4-Domäne sind ja definitiv Mitglied der lokalen Gruppe der Benutzer der AD-Struktur... Wenn die alte Domäne gestorben ist und der Trust gekillt wurde, kann ich ja dann theoretisch wieder alles auf "nicht definiert" setzen, dann wird ja eh niemand mehr ausgesperrt... aber bis dahin ... :mad: Auch hier mal ein kleines Stop-Schild: Wenn du vorher eine Einstellung getroffen hast, und es hinterher auf "nicht definiert" stellst, bedeutet das nicht unbedingt, dass die Einstellung rückgängig gemacht wird. Es kann sein, dass die Einstellung wirksam bleibt, die gültig war, bevor du eine Policy auf "nicht definiert" gesetzt hast. Ggf. musst du die Policy dann z.B. von Enabled auf Disabled setzen. Christoph Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 12. Oktober 2005 Melden Teilen Geschrieben 12. Oktober 2005 Hi, mir fällt da gerade noch was ein. Die userkonten sind noch auf dem NT4-PDC, die Computerkonten im AD? Könnte sein, dass du an den Security Options herumschrauben und den LAN Manager-Authentication Level heruntersetzen mußt (Stichwort Kerberos/NTLM). Wenn das immer noch nicht hilft, schalt mal (auch in den Security Options) das SMB-Signing ab, bzw. stelle es auf Disabled. Im Englischen: - Microsoft Network Client: Digitally Sign Communications (Always) - Microsoft Network Client: Digitally Sign Communications (If Server Agrees) - Microsoft Network Server: Digitally Sign Communications (Always) - Microsoft Network Server: Digitally Sign Communications (If Server Agrees) Mehr fällt mir im Moment zu dem Thema nicht mehr ein. Christoph Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 17. Oktober 2005 Autor Melden Teilen Geschrieben 17. Oktober 2005 Hy Christoph, habe das jetzt endlich mal in einer sauberen Umgebung testen können, hast wirklich recht, das funzt wunderbar, einfach die Namen der lokalen User anzugeben, auch wenn der DC selber damit im Moment nichts anfangen kann. Der Client interpretiert es dann entsprechend und erlaubt/verbietet die lokale Anmaledung. Danke für diesen Tip, daß es so funktioniert, hätte ich nicht erwartet. Super !!! Und danke auch nochmal für den letzten Tip, das werde ich dann mal in Ruhe durchschauen, wenn ich beim Kunden draussen bin... Grüsse schroeder750 Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 21. Oktober 2005 Autor Melden Teilen Geschrieben 21. Oktober 2005 ... kleines Zwischenupdate: auch beim Kunden funktioniert die lokale Anmeldung auf diese Art und Weise. Da ist jetzt erstmal der Druck ein wenig raus. Werde demnächst über weiteres berichten, wenn ich wieder vor Ort war ;) Grüsse schroeder750 Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 21. Oktober 2005 Melden Teilen Geschrieben 21. Oktober 2005 Hi, danke für s Feedback. Habe den Thread hier schon fast vergessen gehabt ;) Jetzt bin ich mal gespannt, was nun letztendlich bei der Geschichte herauskommt... Christoph Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 21. Oktober 2005 Melden Teilen Geschrieben 21. Oktober 2005 daß es so funktioniert, hätte ich nicht erwartet. Super !!! Auf diese Weise funktioniert das dann auch mit den "Restricted Groups". Da muss man ja auch ggf. lokale User/Gruppen angeben können. Christoph Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.