tuxilla 10 Geschrieben 29. November 2005 Melden Teilen Geschrieben 29. November 2005 Hallo, ich muss (eher unfreiwillig und ohne große Kenntnisse im Bereich Windows-Server) einen SBS2003 administrieren, der (soweit ich das feststellen kann) zwar als Domänencontroller konfiguriert ist, aber nicht als DC arbeitet, sondern nur den sich an den Clients lokal anmeldenden (sic!) Benutzern eine große Freigabe als Datengrab zu Verfügung stellt. Das voraus, nun zum Problem. Wie kann ich einem einzelnen Benutzer das Recht geben, sich am Server anzumelden? Ich möchte ihn nicht in eine der Gruppen *-Operatoren oder Administratoren stecken, sondern ihm möglichst wenig Rechte geben. Hintergrund: Auf dem Server läuft ein sshd, der zum Tunneln von eingehenden VNC-Verbindungen (sowohl zum Server als auch zu weiteren Client-PCs) genutzt wird. Die Anmeldung per SSH scheint vom Server wie eine lokale Anmeldung behandelt zu werden. Außerdem würde ich gerne einem weiteren Benutzer die lokale Anmeldung am Server gestatten, ebenfalls mit möglichst wenig Rechten, allerdings soll dieser Benutzer den Server (z.B. am Wochenende) auch herunterfahren dürfen. Falls es dafür eine andere Möglichkeit als die lokale Anmeldung gibt, würde ich sie auch gerne hören. Meine bisherigen Versuche: Mit Suchen bin ich auf gpedit.msc ("lokales Anmelden zulassen") gestoßen, aber dort kann ich keine weiteren Benutzer/Gruppen hinzufügen, der entsprechende Button ist ausgegraut. Außerdem habe ich http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/02e1b4dc-00a7-41b1-8610-38d43d5e5d5d.mspx gefunden, scheitere aber schon daran, die richtige Stelle zum Klicken für den ersten Schritt zu finden. Falls dieses Dokument die Lösung darstellt, würde ich mich sehr freuen, an die Hand genommen und Schritt für Schritt durchgeführt zu werden. Ich bin (ohne OS-Wars starten zu wollen) halt jemand, der lieber mit Betriebssystemen arbeitet, die ihre Konfigurationen in plaintext-Dateien ablegen, und daher vom System des ActiveDirectory und der GPO usw. ziemlich... "herausgefordert" ;), ich kann so schlecht eine Volltextsuche über alle Konfigurationsdateien laufen lassen :(. Ich bemühe mich, die Lösungen selber zu finden, aber mir fehlen oft die richtigen Stichworte. Vielen Dank im voraus, Antje Zitieren Link zu diesem Kommentar
tuxilla 10 Geschrieben 29. November 2005 Autor Melden Teilen Geschrieben 29. November 2005 Ok, ich glaube, ich habe die richtige Stelle gefunden: Serververwaltungskonsole - Erweiterte Verwaltung - Gruppenrichtlinienverwaltung - Gesamtstruktur: blabla.local - Domänen - blabla.local - Default Domain Policy (-> bearbeiten) - Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - Herunterfahren des Systems - Lokal anmelden zulassen Wäre jemand so lieb, mir das zu bestätigen? Jetzt kommt meine nächste Frage dazu: Wenn ich meinen Benutzer "fernwartung" bei "Herunterfahren des Systems" hinzufüge, teilt das System mir mit, dass sich Administratoren auch lokal anmelden können müssen. Daraus schließe ich, dass eine Konfiguration an dieser Stelle alle alten Einstellungen entfernt und ausschließlich die hier konfigurierten Benutzer zulässt. Ist das richtig? Wenn ja: Gibt es irgendwie[tm] die Möglichkeit, die alten Einstellungen zu erben und den hier angegebenen Benutzer nur hinzuzufügen, nicht zu ersetzen? Wie stelle ich fest, welche Benutzer sich zur Zeit lokal anmelden dürfen? Wenn nein: Wie geht es dann? Nochmals vielen Dank im voraus, Antje Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 29. November 2005 Melden Teilen Geschrieben 29. November 2005 Hallo Antje und ein Willkommen an Board, schön, dass du versuchst einen SBS zu administrieren. Aber dies kann ich nicht nachvollziehen: ich muss (eher unfreiwillig und ohne große Kenntnisse im Bereich Windows-Server) einen SBS2003 administrieren, der (soweit ich das feststellen kann) zwar als Domänencontroller konfiguriert ist, aber nicht als DC arbeitet, sondern nur den sich an den Clients lokal anmeldenden (sic!) Ein SBS muss immer als DC fungieren! Ist eine Grundvoraussetzung des SBS. DCs erlauben keine lokalen Benutzergruppen. Daher wird es schwer werden, lokale Benutzer einzurichten. Benutzergruppen in AD einzurichten, die das Recht haben, sich remote am Server anzumelden ist was anderes. Diesen kann man auch das Recht geben, den Server herunterzufahren. Gruß Goscho Zitieren Link zu diesem Kommentar
tuxilla 10 Geschrieben 29. November 2005 Autor Melden Teilen Geschrieben 29. November 2005 Moin goscho, vielen Dank für Dein herzliches Willkommen hier. Aber dies kann ich nicht nachvollziehen: Ein SBS muss immer als DC fungieren! Ist eine Grundvoraussetzung des SBS. DCs erlauben keine lokalen Benutzergruppen. Daher wird es schwer werden, lokale Benutzer einzurichten. Sorry, ich habe mich wahrscheinlich falsch/missverständlich ausgedrückt. Der SBS läuft fröhlich vor sich hin. Die Benutzer sind in der Gruppe Benutzer (nicht Domänen-Benutzer) eingerichtet. Ein Ordner ist im Netz freigegeben. An den Client-PCs sind lokal ebenfalls die entsprechenden Benutzer eingerichtet, sie loggen sich dort lokal ein und haben \\sbsserver\whatever als ein Netzlaufwerk gemappt. Ist das verständlicher bzw. richtiger ausgedrückt? Gruß Antje P.S.: Es ist geplant, dass ich die gesamte Struktur nächstes Jahr auf "anständigen" Domänenbetrieb umstelle :shock: , wie es sich gehört. Wenn in dem Zusammenhang jemand Tipps für mich hat, wie man die jetzigen rein lokalen Profile der Nutzer für den Domänenbetrieb übernimmt, höre ich gerne zu. Aber in Angriff genommen wird das Umstellen frühestens im Januar. Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 29. November 2005 Melden Teilen Geschrieben 29. November 2005 Der SBS läuft fröhlich vor sich hin. Die Benutzer sind in der Gruppe Benutzer (nicht Domänen-Benutzer) eingerichtet. Ein Ordner ist im Netz freigegeben. An den Client-PCs sind lokal ebenfalls die entsprechenden Benutzer eingerichtet, sie loggen sich dort lokal ein und haben \\sbsserver\whatever als ein Netzlaufwerk gemappt. Wo sind die Benutzer in der Gruppe Benutzer angelegt, doch wohl am DC in AD Gruppe Benutzer > ergo hast du Domänenbenutzer. Schön soweit. Die Client-PCs müssen in die Domäne. lokaler admin > Arbeistplatz>rechte Maustaste>Eigenschaften>Netzwerkidentifikation>Netzwerkkennung>in Domäne bringen dann musst du dich mit einem Benutzeraccount der Domäne anmelden und nicht mit einem lokalen Account Dann gehts weiter. Ich würde mir aber vorher mehr Wissen zum Thema aneignen. Gruß Goscho Zitieren Link zu diesem Kommentar
tuxilla 10 Geschrieben 30. November 2005 Autor Melden Teilen Geschrieben 30. November 2005 Wo sind die Benutzer in der Gruppe Benutzer angelegt, doch wohl am DC in AD Gruppe Benutzer > ergo hast du Domänenbenutzer. Schön soweit.Die Client-PCs müssen in die Domäne. lokaler admin > Arbeistplatz>rechte Maustaste>Eigenschaften>Netzwerkidentifikation>Netzwerkkennung>in Domäne bringen dann musst du dich mit einem Benutzeraccount der Domäne anmelden und nicht mit einem lokalen Account Dann gehts weiter. Die Benutzer habe ich über die Serververwaltungskonsole angelegt, also werden sie wohl im AD sein. Wie ich die Clients in die Domäne bekomme, ist mir prinzipiell klar. Aber zur Zeit soll noch gar keine Domänenanmeldung benutzt werden, sondern erst Anfang nächsten Jahres. Ich würde mir aber vorher mehr Wissen zum Thema aneignen. Das habe ich definitiv vor! Gruß Antje Zitieren Link zu diesem Kommentar
tuxilla 10 Geschrieben 30. November 2005 Autor Melden Teilen Geschrieben 30. November 2005 Ok, ich glaube, ich habe die richtige Stelle gefunden: Serververwaltungskonsole - Erweiterte Verwaltung - Gruppenrichtlinienverwaltung - Gesamtstruktur: blabla.local - Domänen - blabla.local - Default Domain Policy (-> bearbeiten) - Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - Herunterfahren des Systems - Lokal anmelden zulassen Nein, leider funktioniert das so nicht. Ich habe an den beiden Stellen meinen Benutzer "fernwartung" (basiert auf dem Standard-Benutzer-Template) eingetragen sowie die Gruppen, die sich laut Hilfe standardmäßig lokal anmelden dürfen: Administratoren und [server|Konten|Sicherheits|Druck]-Operatoren. Wenn ich mich mit Benutzer "fernwartung" lokal anmelden will, bekomme ich trotzdem weiterhin die Meldung, "Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden". Wie stelle ich fest, welche Benutzer sich zur Zeit lokal anmelden dürfen? Gibt es dafür keinen Befehl? Antje Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.