martin.thomann 10 Geschrieben 4. März 2010 Melden Teilen Geschrieben 4. März 2010 Hallo Ich habe neue Windows 7 Clients in ein Windows 2008 SBS Netzwerk mit AD integriert. Nun versuche ich auf dem Client mit einem Standard User mit seinem Domänenaccount anzumelden. Dann erfolgt die Fehlermeldung: "Sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem Computer nicht zugelassen ist." Bei der Integration des PCs in die Domäne habe ich in der lokalen Richtlinie den Domänen-Usern den lokalen Zugriff erlaubt. Jetzt sehe ich aber nur noch die IDs der Domänen Accounts oder Gruppen. Gebe ich dem Benutzer PC lokale Administratoren Rechte, dann kann er ohne Probleme einloggen. In der Domäne habe ich die entsprechende Richtlinie nicht gefunden. Da liegt do der Hund begraben oder ist dies ein Bug? Könnt ihr mir einen Tipp geben? Gruss Martin Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 4. März 2010 Melden Teilen Geschrieben 4. März 2010 Hi Martin und willkommen an Board, :) nicht immer gleich mit der Vermutung "Bug" um sich werfen - in wahrsheinlich 99% der Fälle sitzt der Bug vor dem Rechner. :p Scherz beiseite: Du kannst einschränken, wer sich an einem System anmelden darf und auf welche Art und Weise. Prüfe doch einmal mittels GPMC RSOP Group Policy Resulsts Report auf dem SBS mit Ziel Windows 7 Client, welche Security Options festgelegt wurden. Unter Umständen wurde etwas an einer Policy wie "Interaktive Anmeldung verweigern" (muß nicht genau so heißen) gedreht o.ä. Siehe dazu auch: http://technet.microsoft.com/de-de/library/cc756809%28WS.10%29.aspx Viele Grüße olc Zitieren Link zu diesem Kommentar
martin.thomann 10 Geschrieben 5. März 2010 Autor Melden Teilen Geschrieben 5. März 2010 Hallo olc Vielen Dank für den Input und die Willkommensglückwünsche. Ist denn nicht alles ein Bug das nicht funktioniert wie es sollte? :) und glücklicherweise liegt mein PC nicht vor sondern neben mir. D.h. ich bin nicht vor dem Rechner. :) Aber du hast ja völlig Recht. Dies hatte ich schon vorher gesichtet. http://technet.microsoft.com/de-de/l...8WS.10%29.aspx Und leider hat mein Vorgänger den Server in Deutsch aufgesetzt. Würde ich ja auch in der heutigen Zeit nie machen! Somit muss man immer mehrere Begriffe kennen. (GPMC RSOP Group Policy Resulsts) Bis jetzt habe ich erst gesehen, dass nichts verweigert wird. Den Hund aber noch nicht gefunden. Gruss Martin Zitieren Link zu diesem Kommentar
martin.thomann 10 Geschrieben 5. März 2010 Autor Melden Teilen Geschrieben 5. März 2010 Jetzt habe ich noch einen Test mit XP gemacht. Hier habe ich das selbe Problem. Die Fehlermeldung ist jedoch etwas präziser. "Die lokale Richtlinie erlaubt es nicht sich interaktiv anzumelden." Ich habe auch eine Policy Richtlinie für lokalen Computer "Lokal anmelden zulassen" gefunden, da sind diverse Admins/Operatoren aber keine normale Benutzer. (Computerconfig/Windows-Einst./Lokale Richtli./Zuweisen von Benutzerrechten/..) Diese kann ich aber nicht ändern obwohl ich DomänenAdmin bin. Gruss Martin Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 5. März 2010 Melden Teilen Geschrieben 5. März 2010 Hi Martin, die Richtlinie "Lokal anmelden zulassen" nur für Admins/Operatoren ist in Ordnung, solange es dabei um den SBS geht. Der Client hat da natürlich Probleme mit... In welcher Gruppenrichtlinie hast Du diese EInstellung denn genau gefunden - in der Default Domain Policy oder direkt im RSOP des Clients? Was heißt, Du kannst es nicht ändern? Wie genau bist Du vorgegangen? Viele Grüße olc Zitieren Link zu diesem Kommentar
martin.thomann 10 Geschrieben 12. März 2010 Autor Melden Teilen Geschrieben 12. März 2010 Hallo Olc Ich setzte die Policy in den Gruppenrichtlinien auf dem Server. (Auf dem PC lässt sich nichts verändern). Die Richtlinie: Computerconfig/Windows-Einst./Lokale Richtli./Zuweisen von Benutzerrechten/Lokal Anmelden zulassen gibt es ja zwei Male: die Richtlinie unter: _Benutzerkonfiguration\Computerconfiguration\... greift nicht, (bzw. hat eine tiefere Prio) diejenige unter: Update Services Client Computer Policy [s01.kklba.local]Richtlinie\Computerconfiguration\... jedoch schon. D.h. Wenn ich diese Setze, dann kann sich auch ein Domänen Benutzer einloggen. Danach beginnt aber das nächste Problem. Der Benutzer kann den PC nicht herunterfahren. Dazu musste ich auch die Richtlinie Herunterfahren des Systems setzen. Ob nun noch weitere Probleme bestehen muss ich erst noch überprüfen. Martin Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. März 2010 Melden Teilen Geschrieben 12. März 2010 Hast Du auf einem Client mal RSOP.MSC ausgeführt und dann die relevanten Einträge in den Benutzerrechten überprüft ? Dort kannst Du auch sehen, von welcher AD-Richtlinie eine Einstellung kommt. Wenn Benutzerrechtseinstellungen bezüglich der interaktiven Anmeldung tatsächlich aus der Domäne kommen, dann frage ich mich, aus welchem Grund das passiert ... Zitieren Link zu diesem Kommentar
martin.thomann 10 Geschrieben 12. März 2010 Autor Melden Teilen Geschrieben 12. März 2010 Hallo Olc Super, vielen Dank für den Input. Die Rangfolge der Policies ist: - Update Services Client Computer Policy - Default Domain Controller Policy Genau dort liegt der Hund begraben. Default Domain Controller Policy/Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Lokal anmelden zulassen. Hier sind die Werte gesetzt welche auf dem Client erscheinen und dabei sind keine Benutzer. (Und sind als VORDEFINIERT gekennzeichnet). Die Default Domain Controller Policy ist mit der Domäne verknüpft und greift so. Dies ist doch falsch, oder? Gruss Martin Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. März 2010 Melden Teilen Geschrieben 12. März 2010 Naja, falsch ... Es ist jedenfalls kein Standard und würde alles erklären. Diese Richtlinie ist normalerweise nur auf der Domain Controllers OU verlinkt und hat deswegen schärfere Sicherheitseinstellungen ... Zitieren Link zu diesem Kommentar
martin.thomann 10 Geschrieben 24. März 2010 Autor Melden Teilen Geschrieben 24. März 2010 Hallo Olc Super, nach dem Umhängen der Richtlinie funktioniert alles tip top. Nochmals vielen Dank. Martin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.