codoc
Goto Top

Lokale Anmeldung als Benutzer an einem Windows Server 2003

Wer hat einen Lösungsvorschlag ?

Hallo,

ich möchte ermöglichen mich als ein Benutzer lokal an dem Windows Server 2003 anzumelden. Bislang bekomme ich die Meldung: "Eine lokalen Richtlinie lässt ihnen nicht zu, sich interaktiv anzumelden".

Hebe ich den Benutzer in die Gruppe Administratoren oder einer niedrigeren Admin-Gruppe funzt es logischerweise.

Wie bekomme ich dies umgesetzt ? Ich weiss das es über GP's den Punkt Lokale Anmeldung zulassen gibt... Habe dort auch schon in den Standard Domänen Richtilinien und Lokalen Richtilinien verschiedenes versucht - doch kein Erfolg !!

Vorallem ist mir aufgefallen das ich dort nur dann einen User eintragen bzw. hinzufügen kann, wenn ich zuerst die Administratoren-Gruppe hinzufüge oder einen Admin.

Ich freue mich auf Beiträge die mir in diesem Punkt helfen.

Merci !

Codoc

Content-ID: 8180

Url: https://administrator.de/forum/lokale-anmeldung-als-benutzer-an-einem-windows-server-2003-8180.html

Ausgedruckt am: 25.12.2024 um 04:12 Uhr

elzschiko
elzschiko 16.03.2005 um 10:09:44 Uhr
Goto Top
soweit ich weiss, können sich nur admins an einem server anmelden. imho - normale user können das überhaupt nicht...
Codoc
Codoc 16.03.2005 um 12:50:44 Uhr
Goto Top
Ja, dachte ich auch, bis ich im MSPress Buch 70 - 290 Verwalten und Warten einer Microsoft Windows Server 2003 Umgebung gelesen habe, dass man die Benutzer in die Admin Gruppe "Druck-Operatoren" heben kann und diese somit sich lokal anmelden können. Dies habe ich umgesetzt und es hat trotzdem nicht funktioniert !

Also gibt es keine Möglichkeit die GP auszuhebeln (lokale Anmeldung zulassen > nur für Admin's) >>> schliesse ich daraus.

Aber dann sollte es doch wenigsten über Aufnahme in Gruppe "Druck-Operatoren" funzen ! face-smile

Für weitere Tipps bin ich dankbar !

Danke !

Codoc
meinereiner
meinereiner 16.03.2005 um 13:44:21 Uhr
Goto Top
in den Gruppenrichtlinien gibts unter--Computereinstellungen - Win.Einst. --Sicherheitseinstellungen - Lokale Richtlinie - Zuweisen von Benutzerrechten-- eine Richtlinie "Lokale Anmeldung zulassen". Da muss dein User/Gruppe rein.
Codoc
Codoc 16.03.2005 um 13:58:17 Uhr
Goto Top
Hi danke,

aber das habe ich schon versucht. Zum einem konnte ich dort erst einen Benutzer eintragen nach dem ich einen Administrator als erstes hinzugefügt habe. Vorallem sollte das hinzufügen des Benutzer in die Gruppe "Druck-Operatoren" bereits schon ausreichen...

Ich probiere mal weiter...

gracias
meinereiner
meinereiner 16.03.2005 um 14:14:13 Uhr
Goto Top
aber das habe ich schon versucht. Zum einem

Hmm.. das müsste ein Domänencontroller sein, auf dem du das versuchst?!

Dann musst du das in der Domänencontrollerpolicy einstellen.


konnte ich dort erst einen Benutzer
eintragen nach dem ich einen Administrator

Für solche sachen braucht mal nun mal Adminrechte.

die Gruppe "Druck-Operatoren"
bereits schon ausreichen...

Soll der User auch Drucker verwalten??
Wenn du ein Schnitzel willst kaufst du ja auch nicht gleich ein ganzes Schwein.. face-wink
Codoc
Codoc 16.03.2005 um 22:02:04 Uhr
Goto Top
dann musst du das in der Domänencontrollerpolicy einstellen

das habe ich schon durchgeführt > ich kenne die Abarbeitungsreihenfolge der GP's...


konnte ich dort erst einen Benutzer
eintragen nach dem ich einen Administrator

Zu diesem Zeitpunkt war ich bereits als Domänen-Admin angemeldet - das reichte also vollkommen. Ich meinte das ich in der StandardDomänenPolicy "Lokale Anmeldung zulassen" > einen Benutzer hinzufügen wollte (es stand noch keiner drinnen..). Ich versuchte also die Gruppe "Benutzer" aufzunehmen > dann erscheinte folgende Meldung = Administratoren müssen über lokale Anmeldeberechtigungen verfügen. Also kam ich auf die Hammer-Idee einfach mal einen Admin als erstes hinzuzufügen und danach die Gruppe "Benutzer" hinzuzufügen > das lief dann > meine Berechtigung mich als Benutzer lokal am Domaincontroller anzumelden jedoch nicht !! face-wink

Also nun noch mal die Frage > für was gibt es bei der Policy "Lokale Anmeldung zulassen" > die Möglichkeit "Benutzer" hinzuzufügen ?? Oder welche andere Policy schliesst dies aus ?

Zum anderen wenn nur Admin dies dürfen > dann sollte das hinzufügen in die Gruppe "Druck-Operatoren" doch reichen ?!! Ich wollte für eine Übung nur nicht einen Benutzer zum Domain-Admin gleich machen, sondern ein bisschen mehr als Admin einschränken... Vorallem war dies im Übungsbuch so beschrieben > Benutzer einfach in die Druck-Operatoren als Mitglied hinzufügen...

Geht also mal wieder nur um Verständnis ! face-smile)

Vielleicht können Sie mein Problem jetzt auflösen...? face-smile

Danke auf jeden Fall schonmal für die vorigen Beiträge - im Ernst !

Grüsse aus Kaltenkirchen,

Codoc
meinereiner
meinereiner 16.03.2005 um 22:44:20 Uhr
Goto Top
Zu diesem Zeitpunkt war ich bereits als
Domänen-Admin angemeldet - das reichte
also vollkommen. Ich meinte das ich in der
StandardDomänenPolicy "Lokale

Das ist die falsche Policy!
Für DCs gibts eine extra Policy, die Domänencontrollerpolicy. Sie liegt auf der OU Domänencontroller.

In der StandardDomänenPolicy ist da nichts definiert, da diese Berechtigungen bis auf die DCs nur in der Lokalen Richtlinie definiert sind.

Wenn man in der StandardDomänenPolicy jetzt die Benutzer aufnehmen würde, würde diese Policy die lokale überschreiben und ein Admin (der nicht in der Gruppe Benutzer ist) dürfte sich an keinem Rechner mehr anmelden..deswegen die Weigerung da die Benutzer aufzunnehmen.


Die StandardDomänenPolicy solltest du wieder in den Ursprungszustand zurücksetzen.

Also nun noch mal die Frage > für
was gibt es bei der Policy "Lokale
Anmeldung zulassen" > die
Möglichkeit "Benutzer"

s.o. es war die falsche Policy.

hinzuzufügen ?? Oder welche andere
Policy schliesst dies aus ?

Die gibt es prinzipiell schon..lokale anmeldung verweigern..macht z.B. bei Dienstekonten Sinn.

Geht also mal wieder nur um Verständnis
! face-smile)

was heisst nur?!
Zum einen ist es eine grundlegende Verständnissache, zum anderen muss man sich ja nicht Sicherheitslücken ins System reissen wo es nicht nötig ist.

In einem produktiven System würden die Einstellungen wahrscheinlich zu netten Effekten führen. face-wink


Grüße aus dem heute mal wärmeren Allgäu
meinereiner
medion1804
medion1804 17.08.2010 um 08:45:09 Uhr
Goto Top
hi,

habe ein ähnliches problem beim w2k8 server ... bekomme es auch nicht hin, dass sich ein domain user auf dem server einloggt --> "You cannot log on because the logon method you are using is not allowed on this computer"

habe über GPMC in der Domänencontrollerpolicy (der server fungiert als DC) die demensprechende Policy auch abgeändert, dass dieser eine spezielle domain user das recht hat, sich lokal an dem server anzumelden ... und trotzdem bleibt diese meldung bestehen!?!?! trotz gpupdate /force und neustart des servers ...

desweiteren bin ich den weg über GPMC gegangen, da es bei mir komischerweise im snapin ad benutzer und computer bei einem rechtsklick --> eigenschaften auf die ou domain controllers keine reiterkarte "group policies" gibt!?!? warum ist diese nicht vorhanden?

danke für eure antworten face-smile

grüße
christian
medion1804
medion1804 23.08.2010 um 16:27:13 Uhr
Goto Top
Zitat von @medion1804:
hi,

habe ein ähnliches problem beim w2k8 server ... bekomme es auch nicht hin, dass sich ein domain user auf dem server einloggt
--> "You cannot log on because the logon method you are using is not allowed on this computer"

habe über GPMC in der Domänencontrollerpolicy (der server fungiert als DC) die demensprechende Policy auch
abgeändert, dass dieser eine spezielle domain user das recht hat, sich lokal an dem server anzumelden ... und trotzdem bleibt
diese meldung bestehen!?!?! trotz gpupdate /force und neustart des servers ...

desweiteren bin ich den weg über GPMC gegangen, da es bei mir komischerweise im snapin ad benutzer und computer bei einem
rechtsklick --> eigenschaften auf die ou domain controllers keine reiterkarte "group policies" gibt!?!? warum ist
diese nicht vorhanden?

danke für eure antworten face-smile

grüße
christian


... also fast eine woche später ist meine frage entweder in der vielzahl der themen unter gegangen oder keiner der "admins" hier weiss darüber bescheid ;)

oder vllt doch? face-smile

grüße medion
NoLimits
NoLimits 14.12.2011 um 12:50:21 Uhr
Goto Top
Es gibt versch. Administratoren. Bei mir klappte zb Admin, Administrators, etc nicht.

Irgendwann habe ich den "richtigen" Admin getroffen. Ist besonders bei Hetereogenen und Multilingualen System problematisch.