Fehler: Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist
Hallo zusammen,
ich komme bei der Anmeldung über den Remotedesktopdienst nicht weiter.
Problem (bisherige Vorgehensweise weiter unten):
Bei der Anmeldung an einen Windows Rechner bekomme ich die Fehlermedung (0x3, 0x9) "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist."
Der Benutzer ist (wie unten beschrieben) Teil der GPO "Anmelden über Remotedesktopdienst zulassen".
Mein bisheriges Verständnis der hinzugezogenen Quellen ist eigentlich, dass die verwendete GPO ein Anmelden erlauben sollte und "State of the art" sein sollte.
Habe ich was grundlegendes verpasst? Muss ich zusätzlich doch noch die Domänen-Gruppe der jeweiligen lokalen Remotedesktopbenutzer-Gruppe (also am Windows Klienten) hinzufügen?
Was habe ich bisher gemacht?
Win2k19 Server (GUI), Win11 Desktop (Teilnehmer in der Domäne, s. unten), beide frisch installiert in einem isoliertem eigenen Netzwerk.
Der Server liefert DHCP, DNS und läuft als AD (mit aktuellen GPO Adm. Vorlagen), Netzwerk funktioniert, Ping, nslookup, Domänen Beitritt und Mitgliedschaft alls top.
Es gibt einen Admin "AdmUser" (mit dem wurden auch die AD angelegt, daher ohne Zutun Mitglied in der Domänen-Admin Gruppe) und einen einfachen Benutzer "StdUser", der über das AD-Verwaltungscenter nach Erstellung des AD angelegt wurde. Diese StdUser ist Mitglied der Gruppe "DomRemoted" (ebenfalls über das Verw. Center angelegt).
Eigene OU für Admins, Benutzer, Server und Client-Rechner. User / Computer in OU verschoben.
Firewall ist zu Testzwecken voll abgeschaltet, realisiert über GPO für beide Maschinen, was auch funktioniert.
Jetzt mein Vorgehen (nach learn.microsoft.com, Win Server 2019 Handbuch v. Kloep et al, Google und natürlich SuFu):
Ergebniss:
Vielen Dank für eurer Feedback!
VG, Fabian
ich komme bei der Anmeldung über den Remotedesktopdienst nicht weiter.
Problem (bisherige Vorgehensweise weiter unten):
Bei der Anmeldung an einen Windows Rechner bekomme ich die Fehlermedung (0x3, 0x9) "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist."
Der Benutzer ist (wie unten beschrieben) Teil der GPO "Anmelden über Remotedesktopdienst zulassen".
Mein bisheriges Verständnis der hinzugezogenen Quellen ist eigentlich, dass die verwendete GPO ein Anmelden erlauben sollte und "State of the art" sein sollte.
Habe ich was grundlegendes verpasst? Muss ich zusätzlich doch noch die Domänen-Gruppe der jeweiligen lokalen Remotedesktopbenutzer-Gruppe (also am Windows Klienten) hinzufügen?
Was habe ich bisher gemacht?
Win2k19 Server (GUI), Win11 Desktop (Teilnehmer in der Domäne, s. unten), beide frisch installiert in einem isoliertem eigenen Netzwerk.
Der Server liefert DHCP, DNS und läuft als AD (mit aktuellen GPO Adm. Vorlagen), Netzwerk funktioniert, Ping, nslookup, Domänen Beitritt und Mitgliedschaft alls top.
Es gibt einen Admin "AdmUser" (mit dem wurden auch die AD angelegt, daher ohne Zutun Mitglied in der Domänen-Admin Gruppe) und einen einfachen Benutzer "StdUser", der über das AD-Verwaltungscenter nach Erstellung des AD angelegt wurde. Diese StdUser ist Mitglied der Gruppe "DomRemoted" (ebenfalls über das Verw. Center angelegt).
Eigene OU für Admins, Benutzer, Server und Client-Rechner. User / Computer in OU verschoben.
Firewall ist zu Testzwecken voll abgeschaltet, realisiert über GPO für beide Maschinen, was auch funktioniert.
Jetzt mein Vorgehen (nach learn.microsoft.com, Win Server 2019 Handbuch v. Kloep et al, Google und natürlich SuFu):
- GPO-Richtlinie in der OU Gruppe mit der Client Maschine angelegt.
- 1. GPO Einträg "Computer -> Richtlinien -> Vorlagen -> Win-Komponenten -> Remotedesktopdienste -> R.-sitzungs-Host -> Verbindungen -> "Remoteverbindungen für Benutzer mithilfe ..." -> Zulassen
- 2. GPO Einträge "Computer -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> lokale Richtlinien -> Zuweisen von Benutzerrechten -> Anmelden über Remotedesktopdienst zulassen -> Gruppe DomRemoted (s. oben) hinzugefügt.
Ergebniss:
- Lokale Client-Anmeldung von AdmUser und StdUser möglich, Remote Anmeldung AdmUser ja / StdUser nein, o. genannter Fehler
- Vom Server vergegebene GPO finden sich lokal am Clienten wieder, über die klientseitige GPO kann ich die vorgegebenen Server GPO sehen.
- Füge ich am Win11 Rechner die Domänen-Gruppe DomRemoted ein, ist der Remotezugriff auch für den StdUser möglich.
Vielen Dank für eurer Feedback!
VG, Fabian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7309057087
Url: https://administrator.de/forum/fehler-die-verbindung-wurde-abgelehnt-da-das-benutzerkonto-nicht-zur-remoteanmeldung-autorisiert-ist-7309057087.html
Ausgedruckt am: 26.12.2024 um 19:12 Uhr
5 Kommentare
Neuester Kommentar
Hi.
Ich erinnere mich dunkel, dass ich das Problem kenne.
Ich meine, es ist ein Bug in Windows, der abhängig davon auftritt, ob man Windows frisch installiert hat, oder upgegradet hat: frische Installationen mit Win10 20H2 und höher hatten das Problem, upgegradete hatten es nicht.
Ich habe es damals umgangen und die Nutzer nur noch in die Gruppe der Remotedesktopbenutzer gelegt.
Ich erinnere mich dunkel, dass ich das Problem kenne.
Ich meine, es ist ein Bug in Windows, der abhängig davon auftritt, ob man Windows frisch installiert hat, oder upgegradet hat: frische Installationen mit Win10 20H2 und höher hatten das Problem, upgegradete hatten es nicht.
Ich habe es damals umgangen und die Nutzer nur noch in die Gruppe der Remotedesktopbenutzer gelegt.
Also ich kenne das nur via Restricted Groups
Je nachdem welche Anleitung dir mehr liegt:
Lässt sich meiner Ansicht nach wesentlich besser administrieren und kann dann auch ganz granuar in OUs, im Scoping, usw. weiterverarbeitet werden. Man will ja einem User nicht generell RemoteDesktop-Rechte geben.
Je nachdem welche Anleitung dir mehr liegt:
- https://www.grouppolicy.biz/2010/01/how-to-use-group-policy-preferences- ...
- https://social.technet.microsoft.com/wiki/contents/articles/7833.active- ...
- https://thesysadminchannel.com/add-local-administrators-via-gpo-group-po ...
- https://learn.microsoft.com/en-us/answers/questions/673832/how-to-allow- ...
Lässt sich meiner Ansicht nach wesentlich besser administrieren und kann dann auch ganz granuar in OUs, im Scoping, usw. weiterverarbeitet werden. Man will ja einem User nicht generell RemoteDesktop-Rechte geben.
Hallo an Euch Alle.
Hat jetzt funktioniert. Ich musste zunächst nur für die Kollegin noch den Remotezugriff auf den Server ermöglichen (Über die lokalen Gruppeneinstellungen) und jetzt kann sie problemlos über eine RDP-Verbindung auf den Server drauf und dort auch das Zeiterfassungsprogramm öffnen.
Danke und viele Grüße,
BN
Hat jetzt funktioniert. Ich musste zunächst nur für die Kollegin noch den Remotezugriff auf den Server ermöglichen (Über die lokalen Gruppeneinstellungen) und jetzt kann sie problemlos über eine RDP-Verbindung auf den Server drauf und dort auch das Zeiterfassungsprogramm öffnen.
Danke und viele Grüße,
BN
Hatte das gleiche Problem, ein Nutzer konnte zugreifen, ein anderer nicht. Bei mir lag es daran, dass ich auf dem Client - auf den zugegriffen werden sollte - den Zugriff für den zweiten Nutzer nicht freigegeben hatte, einzustellen unter
Systemeinstellungen – Remote – Remotebenutzer
Die Fehlermeldung hatte mich dazu verleitet, nur im Profil des Nutzers zu suchen. Hilfreich bei der Einstellung war auch
https://learn.microsoft.com/de-de/troubleshoot/windows-server/remote/rdp ...
Vielleicht nützt irgend jemand noch die Info.
AS
Systemeinstellungen – Remote – Remotebenutzer
Die Fehlermeldung hatte mich dazu verleitet, nur im Profil des Nutzers zu suchen. Hilfreich bei der Einstellung war auch
https://learn.microsoft.com/de-de/troubleshoot/windows-server/remote/rdp ...
Vielleicht nützt irgend jemand noch die Info.
AS