theepoch
Goto Top

Fehler: Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist

Hallo zusammen,

ich komme bei der Anmeldung über den Remotedesktopdienst nicht weiter.

Problem (bisherige Vorgehensweise weiter unten):

Bei der Anmeldung an einen Windows Rechner bekomme ich die Fehlermedung (0x3, 0x9) "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist."

Der Benutzer ist (wie unten beschrieben) Teil der GPO "Anmelden über Remotedesktopdienst zulassen".

Mein bisheriges Verständnis der hinzugezogenen Quellen ist eigentlich, dass die verwendete GPO ein Anmelden erlauben sollte und "State of the art" sein sollte.
Habe ich was grundlegendes verpasst? Muss ich zusätzlich doch noch die Domänen-Gruppe der jeweiligen lokalen Remotedesktopbenutzer-Gruppe (also am Windows Klienten) hinzufügen?

Was habe ich bisher gemacht?

Win2k19 Server (GUI), Win11 Desktop (Teilnehmer in der Domäne, s. unten), beide frisch installiert in einem isoliertem eigenen Netzwerk.
Der Server liefert DHCP, DNS und läuft als AD (mit aktuellen GPO Adm. Vorlagen), Netzwerk funktioniert, Ping, nslookup, Domänen Beitritt und Mitgliedschaft alls top.

Es gibt einen Admin "AdmUser" (mit dem wurden auch die AD angelegt, daher ohne Zutun Mitglied in der Domänen-Admin Gruppe) und einen einfachen Benutzer "StdUser", der über das AD-Verwaltungscenter nach Erstellung des AD angelegt wurde. Diese StdUser ist Mitglied der Gruppe "DomRemoted" (ebenfalls über das Verw. Center angelegt).

Eigene OU für Admins, Benutzer, Server und Client-Rechner. User / Computer in OU verschoben.

Firewall ist zu Testzwecken voll abgeschaltet, realisiert über GPO für beide Maschinen, was auch funktioniert.

Jetzt mein Vorgehen (nach learn.microsoft.com, Win Server 2019 Handbuch v. Kloep et al, Google und natürlich SuFu):

  • GPO-Richtlinie in der OU Gruppe mit der Client Maschine angelegt.
  • 1. GPO Einträg "Computer -> Richtlinien -> Vorlagen -> Win-Komponenten -> Remotedesktopdienste -> R.-sitzungs-Host -> Verbindungen -> "Remoteverbindungen für Benutzer mithilfe ..." -> Zulassen
  • 2. GPO Einträge "Computer -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> lokale Richtlinien -> Zuweisen von Benutzerrechten -> Anmelden über Remotedesktopdienst zulassen -> Gruppe DomRemoted (s. oben) hinzugefügt.

Ergebniss:

  • Lokale Client-Anmeldung von AdmUser und StdUser möglich, Remote Anmeldung AdmUser ja / StdUser nein, o. genannter Fehler
  • Vom Server vergegebene GPO finden sich lokal am Clienten wieder, über die klientseitige GPO kann ich die vorgegebenen Server GPO sehen.
  • Füge ich am Win11 Rechner die Domänen-Gruppe DomRemoted ein, ist der Remotezugriff auch für den StdUser möglich.

Vielen Dank für eurer Feedback!

VG, Fabian

Content-ID: 7309057087

Url: https://administrator.de/contentid/7309057087

Printed on: November 12, 2024 at 07:11 o'clock

DerWoWusste
Solution DerWoWusste Sep 26, 2023 at 10:42:52 (UTC)
Goto Top
Hi.

Ich erinnere mich dunkel, dass ich das Problem kenne.
Ich meine, es ist ein Bug in Windows, der abhängig davon auftritt, ob man Windows frisch installiert hat, oder upgegradet hat: frische Installationen mit Win10 20H2 und höher hatten das Problem, upgegradete hatten es nicht.

Ich habe es damals umgangen und die Nutzer nur noch in die Gruppe der Remotedesktopbenutzer gelegt.
mayho33
Solution mayho33 Sep 26, 2023 at 11:56:27 (UTC)
Goto Top
Also ich kenne das nur via Restricted Groups

Je nachdem welche Anleitung dir mehr liegt:

Lässt sich meiner Ansicht nach wesentlich besser administrieren und kann dann auch ganz granuar in OUs, im Scoping, usw. weiterverarbeitet werden. Man will ja einem User nicht generell RemoteDesktop-Rechte geben.
TheEPOCH
TheEPOCH Sep 26, 2023 at 22:00:56 (UTC)
Goto Top
Hallo zusammen,

danke für eure Infos.

Das mit dem Bug wäre natürlich eine Erklärung, auch wenn man diese natürlich nicht gerne hört.
Ich habe allerdings so ziemlich jede Option durchprobiert und so wie es in nahezu fast alle Quellen beschreiben wurde, funktioniert es halt eben nicht.

Am Ende habe ich per GPO über die "Restricted Groups" die Domänen-Gruppen in die lokale RDBenutzer Gruppe eingefügt und so hat es am Ende dann auch funktioniert.

Danke für eure Beiträge, vG, Fabian
BN2023
BN2023 Feb 09, 2024 at 09:11:37 (UTC)
Goto Top
Hallo an Euch Alle.

Hat jetzt funktioniert. Ich musste zunächst nur für die Kollegin noch den Remotezugriff auf den Server ermöglichen (Über die lokalen Gruppeneinstellungen) und jetzt kann sie problemlos über eine RDP-Verbindung auf den Server drauf und dort auch das Zeiterfassungsprogramm öffnen.

Danke und viele Grüße,
BN
A.Senna
A.Senna Mar 09, 2024 at 14:09:45 (UTC)
Goto Top
Hatte das gleiche Problem, ein Nutzer konnte zugreifen, ein anderer nicht. Bei mir lag es daran, dass ich auf dem Client - auf den zugegriffen werden sollte - den Zugriff für den zweiten Nutzer nicht freigegeben hatte, einzustellen unter

Systemeinstellungen – Remote – Remotebenutzer

Die Fehlermeldung hatte mich dazu verleitet, nur im Profil des Nutzers zu suchen. Hilfreich bei der Einstellung war auch

https://learn.microsoft.com/de-de/troubleshoot/windows-server/remote/rdp ...

Vielleicht nützt irgend jemand noch die Info.

AS