fragmaster
Goto Top

Gruppenrichtlinie: Keiner kann sich mehr anmelden! Hab Mist gebaut!

Rechte sich lokal anzumelden eingeschränkt. Kein User kann sich mehr anmelden!

Hallo! Ich habe folgendes Problem:

Ich verwalte eine Aussenstelle in unserer Domäne und ich wollte sichergehen, dass sich keiner mehr lokal anmeldet sondern mit seinem Domänen-Benutzerkonto arbeitet. Dachte ich mir: Kein Problem, nimmste den Nutzern einfach die Möglichkeit, sich lokal anzumelden!

Die Aussenstelle hat eine eigene OU. Ich erstelle also in >MEINER< OU eine neue Gruppenrichtlinie. Dort definiere ich einzig die Funktion "Computerkonfiguration/Windows-Einst/Lokale Richtline/Zuweisen von Benutzerrechten/Lokale Anmeldung"
Dort trage ich ein "Administrator".
Damit die Richtlinie angewendet wird, trage ich bei "Sicherheit" eine Gruppe ein, die alle Nutzer meiner OU umfasst.

Meinem Verständniss nach dürfte sich ab jetzt nur noch der lokale Administrator >lokal< anmelden dürfen. Domänen-Anmeldung sollte unberührt bleiben. Ausserdem sollte die Einstellung sowieso nur in meiner, sowie untergeordneten OUs greifen!

Das ist passiert:

Zwei Stunden später läuft das Telefon heiß, Domänenweit(!!!) können sich die User nicht mehr anmelden: "Die Lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden!" Klasse!!! Schlimmeres konnte nur beherztes Eingreifen meines Mit-Admins verhindert werden. (Hat eingestellt, dass ComputerContainer keine GruRiLies erben). Was zum Teufel hab ich falsch gemacht?????

Da kann ich mich ja echt nichts mehr trauen, wenn ich bei jedem Scheiss, die Domäne abschieße!

Content-Key: 46085

Url: https://administrator.de/contentid/46085

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: 33425
33425 05.12.2006 um 19:27:40 Uhr
Goto Top
Die Richtlinie lokal anmelden besagt im Allgemeinen wer sich dort lokal anmelden darf!

Da dies eine Computer-Policy ist, dürfte sich dies nur auf Computer auswirken, die sich in der OU befinden.

Vielleicht solltest du beim nächsten Mal die Konfiguration in einem Testnetz ausprobieren, bevor du an ein Live System gehst.

Deinen letzten Satz möchte ich lieber nicht kommentieren...

mfg
Schnitzelchen
Mitglied: DaSam
DaSam 05.12.2006 um 20:43:55 Uhr
Goto Top
Hola,

ich nehme mal an, dass Du genauso sorgfältig, wie Du den Sinn der Gruppenrichtlinien-Option "lokale Anmeldung verbieten" geprüft hast, auch die GPO gelinkt hast.

(BTW: GPO's werden nicht in einer OU erstellt, sondern für die entsprechende OU verknüpft).

Bei UNS hat es auch immer so funktioniert, dass die GPOs nur auf OU's angewendet werden, für welche sie auch verlinkt waren.

Andere Frage: Habt Ihr in der OU auch Benutzerkonten? Waren mit der eingeschränkten lokalen Anmeldung ALLE Domain Benutzer betroffen oder nur die, deren Benutzerkonto in der Aussenstellen-OU waren?

cu,
Alex
Mitglied: Maik87
Maik87 06.12.2006 um 08:00:53 Uhr
Goto Top
sry für die blöde frage, aber was heisst OU?
Mitglied: gemini
gemini 06.12.2006 um 08:21:32 Uhr
Goto Top
sry für die blöde frage, aber was heisst OU?
Organizational Unit, ein Container zur Strukturierung in Verzeichnisdiensten (in FragMasters Fall wahrscheinlich Active Directory)
http://en.wikipedia.org/wiki/Organizational_Unit
Mitglied: FragMaster
FragMaster 06.12.2006 um 10:37:53 Uhr
Goto Top
Hallo nochmal!

Verlinkt oder verknüpft habe ich garnix. Habe ich auf Standardeinstellung gelassen -möglicherweise liegt hier der Fehler.

Es waren alle Benutzer betroffen, deren Computerkonten nicht im Standardcontainer "Computers" unterhalb der Domäne lagen.
Also alle, deren Computerkonto in anderen OUs lag (Auch wenn diese nicht meiner OU untergeordnet waren).

Die Tatsache, dass sich die GruRiLi auf alle OUs durchgebrochen hat ist schonmal die Erste komische Sache. Die Zweite ist der Fehler an sich!

Hätte ich nur bei der Vererbung was falsch gemacht, wärs ja nicht so tragisch gewesen. Gut, kann sich halt die nächste Zeit keiner mehr lokal anmelden - auch nicht so schlimm!
Aber warum bekam jeder diese kryptische Fehlermeldung? "Die Lokale Richtinie erlaubt es Ihnen nicht, sich anzumelden!"?

Geht diese Funktion vielleicht nur mit vollständig Serverbasierten Profilen?

Ich hab jedenfalls meine Lektion gelernt. In Zukunft teste jede Kleinigkeit!
Mitglied: gemini
gemini 06.12.2006 um 11:12:30 Uhr
Goto Top
Hallo FragMaster,

Verlinkt oder verknüpft habe ich garnix. Habe ich auf Standardeinstellung gelassen
Eine Policy die nicht auf ein Objekt verlinkt ist, ist auch wirkungslos.
Zum Verständnis: In der OU wird lediglich ein Verweis auf die Policy eingetragen, auch wenn es in der MMC optisch vielleicht anders aussieht.
Eine Policy kann auf mehrere, auch nicht kaskadierte, OUs wirken, ebenso können mehrere Policies auf eine OU wirken.

Es waren alle Benutzer betroffen, deren Computerkonten nicht im Standardcontainer
"Computers" unterhalb der Domäne lagen.
Also alle, deren Computerkonto in anderen OUs lag (Auch wenn diese nicht meiner OU
untergeordnet waren).
Sorry, kann ich nicht nachvollziehen. Kannst du die Struktur grafisch darstellen?

Die Tatsache, dass sich die GruRiLi auf alle OUs durchgebrochen hat ist schonmal die Erste komische Sache.
Das ist nicht komisch, sondern trifft auf grundlegend immer auf die Default Domain Policy zu.

Gut, kann sich halt die nächste Zeit keiner mehr lokal anmelden
- auch nicht so schlimm!
Du hast beim spielen in die Steckdose gelangt; wenn das nicht so schlimm ist, OK!

Aber warum bekam jeder diese kryptische Fehlermeldung? "Die Lokale Richtinie
erlaubt es Ihnen nicht, sich anzumelden!"?
Ist nicht kryptisch, sondern deutsch und auch noch logisch.
Der Domänencontroller setzt die Richtlinie in den entspr. OUs durch, d.h. der Clientrechner übernimmt sie. Versucht ein Benutzer sich lokal anzumelden, setzt der Rechner seine, nun lokale Richtlinie, gegenüber dem Benutzer durch. Genau das sagt die Meldung auch aus.

Geht diese Funktion vielleicht nur mit vollständig Serverbasierten Profilen?
Servergespeicherte Profile haben damit überhaupt nichts zu tun. Das ist ne ganz andere Baustelle.

Ich hab jedenfalls meine Lektion gelernt. In Zukunft teste jede Kleinigkeit!
Brav!! Bau dir irgendwo außerhalb der OU-Struktur der Firma eine kleine Teststruktur auf und spiele nur innerhalb dieser Teststruktur.
Besser mach dir eine Spielwiese in VMware.

Gruß,
gemini