4
MMC braucht Adminrechte
Hallo,
folgendes Problem: Wir haben zwei Domänecontroller wo bestimmte Aufgaben delegiert werden.
Auf dem DC01 kann sich der jeweilige Nutzer anmelden und das Active Directory starten ohne Probleme. Auf dem DC02 wird bei selben Einstellungen jedoch ein Adminpasswort verlangt. Die user sollen aber keine Adminrechte bekommen sondern nur im AD arbeiten.
Wo könnte der Fehler liegen? Die Domecontroller sind gespiegelt und haben die selben einstellen, aus irgendwelchen Gründen wird auf dem DC02 ein Admin Passwort gebraucht wenn man ein MMC snap in starten will
folgendes Problem: Wir haben zwei Domänecontroller wo bestimmte Aufgaben delegiert werden.
Auf dem DC01 kann sich der jeweilige Nutzer anmelden und das Active Directory starten ohne Probleme. Auf dem DC02 wird bei selben Einstellungen jedoch ein Adminpasswort verlangt. Die user sollen aber keine Adminrechte bekommen sondern nur im AD arbeiten.
Wo könnte der Fehler liegen? Die Domecontroller sind gespiegelt und haben die selben einstellen, aus irgendwelchen Gründen wird auf dem DC02 ein Admin Passwort gebraucht wenn man ein MMC snap in starten will
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 594476
Url: https://administrator.de/contentid/594476
Printed on: April 19, 2024 at 17:04 o'clock
4 Comments
Latest comment
Hi,
E.
- ein Nicht-Admin arbeitet überhaupt nicht auf einem DC! Dafür kann man am Client PC das RSAT installieren.
- Ist "DC02" überhaupt ein DC oder heißt er bloß so?
- DC02 gehört zu selben Domäne wie DC01? Wenn nein: Zur selben Gesamtstruktur? Wenn auch nein: Vertrauensstellung zwischen den Domänen vorhanden?
- Wenn auf DC02 diese Abfrage kommt: Was gibt der Benutzer dann da ein? Seine eigenen Anmeldedaten und dann funktionierts oder die Anmeldedaten eines Admins? Falls erstes, dann ist der Benutzer entweder doch Admin oder er hat irgendwelche Privilegien, wie z.B. Sicherungs-Operator. Dann fragt die MMC nach Anmelddaten für die Elevierung. Auch wenn er dann seine eigenen nocheinmal eingibt.
E.
Hi
danke für die Antwort.
zu 1.: funktioniert das auch wenn der client nicht in der domäne ist und sich per vpn verbindet? Hintergrund ist dass z.B. Standorte in Asien zugriff benötigen
2. ja ist ein DC
3. ja selbe domäne
4. ja man gibt seine selben Anmeldedaten ein und es geht dann; ich werde die Berechtigungen nochmal checken ... die bessere lösung wäre definitiv RSAT wenn das über VPN machbar ist
danke für die Antwort.
zu 1.: funktioniert das auch wenn der client nicht in der domäne ist und sich per vpn verbindet? Hintergrund ist dass z.B. Standorte in Asien zugriff benötigen
2. ja ist ein DC
3. ja selbe domäne
4. ja man gibt seine selben Anmeldedaten ein und es geht dann; ich werde die Berechtigungen nochmal checken ... die bessere lösung wäre definitiv RSAT wenn das über VPN machbar ist
Hallo Steffenw94
Für mich klingt das so, als hätte dein Benutzer auf DC1 und DC2 nicht die gleichen Berechtigungen... Offensichtlich...
Ich habe mal folgende zwei Tipps:
1. Prüfe doch mal, ob nicht doch unterschiedliche GPOs auf den Servern angewendet werden, welche Berechtigungen für Benutzer oder Gruppen setzen. In diesem Zusammenhang eben auch die lokalen Gruppenrichtlinien vergleichen.
2. Vergleiche die UAC Einstellungen beider Server... Das kann genau zu solchen Berechtigungsproblemen führen.
Grüsse
Plexi87
Für mich klingt das so, als hätte dein Benutzer auf DC1 und DC2 nicht die gleichen Berechtigungen... Offensichtlich...
Ich habe mal folgende zwei Tipps:
1. Prüfe doch mal, ob nicht doch unterschiedliche GPOs auf den Servern angewendet werden, welche Berechtigungen für Benutzer oder Gruppen setzen. In diesem Zusammenhang eben auch die lokalen Gruppenrichtlinien vergleichen.
2. Vergleiche die UAC Einstellungen beider Server... Das kann genau zu solchen Berechtigungsproblemen führen.
Grüsse
Plexi87
Ich glaube nicht. Aber man könnte versuchen, das am Client im CMDKEY zu hinterlegen.
Was mich da bloß irritiert: Das kann man nicht pro DC einstellen. DC's haben keine eigene lokale Sicherheitsdatenbank sondern "teilen" sich gemeinsam die der Domäne. Insofern müsste es auf beiden gleich auftreten. Vergleiche mal die aktuellen UAC-Einstellungen der beiden DC.
4. ja man gibt seine selben Anmeldedaten ein und es geht dann
Ok, dann tippe ich auf die Privilegien. Entweder direkt erteilt oder durch die Gruppenmitgliedschaft z.B. in "Sicherungs-Operatoren" oder "Server-Operatoren" o.ä.Was mich da bloß irritiert: Das kann man nicht pro DC einstellen. DC's haben keine eigene lokale Sicherheitsdatenbank sondern "teilen" sich gemeinsam die der Domäne. Insofern müsste es auf beiden gleich auftreten. Vergleiche mal die aktuellen UAC-Einstellungen der beiden DC.
