theuncle
Goto Top

Lokale Anmeldung am Windows 2003 Server mit einem User ohne Admin-Rechte

Userkonto ohne Adminrechte zum lokalen Anmelden direkt am Windows 2003 Server

Einen wunderschönen ...,

habe folgendes Problem und muss ehrlich sagen, das habe ich noch nicht erlebt. Wir haben nun schon diverse Server eingerichtet und dieses Problem kann ansich erst mit dieser Version aufgetaucht sein.

Problembeschreibung:
Ich möchte einen Verwaltungsaccount für den Server einrichten (z.B. User Server mit einfach
zu merkendem Passwort), welcher NICHT über Admin-Rechte verfügt und dem User die Möglichkeit gibt z.B. DIREKT am Server sich lokal anzumelden (NICHT ÜBER NETZWERK, um jetzt wirklich allen Spekulationen vorzubeugen - am Rechner Server direkt).

Dem User sind bereits lokale Benutzerrechte - Domainenbenutzerrechte etc. zugeordnet, bis auf Gäste und Administrator hat er jetzt fast alles (zum Testen)

Dies soll den Sinn haben, dass einfache Verwaltungsaufgaben, über die ich dem User bereits die Rechte vergeben habe, von diesem ausgeführt werden können, ohne dass mir jemand an meiner Konfig rumpfuscht.

Leider erscheint am Server beim Versuch sich anzumelden folgende Meldung
"Die lokale Sicherheitsrichtlinien lassen ein Anmelden etc. nicht zu...."


Systembeschreibung:
Fertig installierter Server als Domaincontroller MIT Active Directory. BS ist Windows 2003
Server Premium Edition (mit SQL 2000). Es funktioniert alles und ist wunschlos glücklich konfiguriert. Ich wollte jetzt eine Sicherung ziehen und die Kiste ausliefern. Man loggt sich ja nur als letztes mit dem Verwaltungsuser noch einmal ein -- aber von wegen....

Ich habe mir die lokalen Sicherheitsrichtlinien angesehen aber so auf Anhieb keine Einstellung gefunden, die das ganze unterbindet. Ansich ist da alles i.O.

Ich habe leider jetzt nicht mehr die Zeit intensiv zu suchen, da die Kiste zum Kunden muss, aber ich denke Ihr habt die Lösung evtl. so parat.

Vielen Dank im voraus

Onkel Olli face-smile

Content-ID: 26870

Url: https://administrator.de/forum/lokale-anmeldung-am-windows-2003-server-mit-einem-user-ohne-admin-rechte-26870.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

cykes
cykes 25.02.2006 um 09:53:25 Uhr
Goto Top
Hi,

im Prinzip sagt Dir der Windows Server ja schon, wo das Problem liegt face-wink
Schau mal unter "START->Systemsteuerung->Verwaltung->Lokale Sicherheitsrichtlinie"
dann unter "Lokale Richtlinien->Zuweisung von Benutzerrechten" und dort die Einstellung
für "Lokale Anmeldung". Am besten trägst Du da den Benutzer direkt ein, oder alternativ
eine neu angelegte Gruppe mit Benutzern, die sich lokal am Server anmelden dürfen.

Nach einem Neustart sollte es dann klappen.

Gruss

cykes
theuncle
theuncle 25.02.2006 um 10:10:55 Uhr
Goto Top
Hay Cykes,

das ist ja etwas, was mich so verwundert. Ich habe nun schon so oft ne ADS eingerichtet,
aber hier scheint alles "anders" zu sein.

In den Sicherheitsrichtlinien im Bereich "Lokal anmelden zulassen" ist das Feld Benutzer und Gruppen hinzufügen sowie entfernen gegraut. Es lässt sich demnach kein neuer User bzw. Gruppen hinzufügen.

Vielleicht hast noch ne Idee?

Cu Olli
cykes
cykes 25.02.2006 um 10:41:32 Uhr
Goto Top
Hmm,

hab hier "nur" einen Win2k Server griffbereit, wo das problemlos funktioniert, aber vielleicht schaust Du mal in der übergeordneten Domänenrichtlinie (sicherheitsrichtlinie für Domänen).

Gruss

cykes
theuncle
theuncle 25.02.2006 um 12:36:35 Uhr
Goto Top
Erstmal danke für die Tipps.

Ich habe dem User sowohl in den Sicherheitsrichtlinien für Domänen, als auch für Domänen-Controller die Anmelderechte gegeben (Lokal Anmelden zulassen). Der Neustart für das Übernehmen dieser Einstellungen ist auch durchgeführt worden.

Leider brachte auch dies nicht den erwünschten Effekt.
Krieg hier gleich die Krise, solche Probleme sind mir nicht aus anderen Windows 2000 bzw. auch 2003 Serverinstallationen bekannt. Wo kann es hier bzw. bei der Einrichtung vorher noch einen Unterschied geben.
theuncle
theuncle 25.02.2006 um 20:29:05 Uhr
Goto Top
@cykes and rest of the world,

nochmals danke für Deine schnelle Antwort, wir haben das Problem jetzt nach einem
sehr bescheidenem Tag vor Ort in der Firma des Kunden in den Griff bekommen. Gott sei
Dank hat dort heute niemand mehr gearbeitet, die hätten uns eingewiesen .... face-smile

Mehrere untypische Phaenomene traten noch vor Ort auf. Dazu muss man sagen, ist das
leider Gottes aufgrund des Wachstums der Firma eine gemischte Umgebung. Insg. ca. 20 PCs mit Win NT 4.0, Windows 2000, WINXP, einem Proxyserver mit KEN und Windows 2000 sowie dem Domaincontroller mit Windows 2003 Server und SQL-Server 2000.

Drucker konnten teilweise nicht richtig angesteuert werden, die Freigaben klappten nicht einwandfrei (Rechte nicht eindeutig, trotz korrekter Vergabe konnten einige Zugreifen und andere nicht) und die Anmeldung am Server machte wie oben beschrieben Ärger.

Diverse Lösungen waren nötig. Zum einen brauchten einige PCs sowie einige Drucker in der Umgebung anscheinend noch zwingend unser Opa-Protokoll NETBEUI. Wie installiert man das auf einem 2003 Server ?

MiniExkurs:
ZIP-----------------
NETBUI von einer normalen Windows XP Prof. -CD holen
\valueadd\msft\net\netbeui und in der Netzwerkumgebung hinzufügen (wie gewohnt).

Zusätzlich muss jedoch noch handarbeit geleistet werden (ebenfalls in o.a. Verzeichnis):
Die Datei nbf.sys nach \%systemroot%\system32\drivers kopieren.
Die Datei netnbf.inf nach \%systemroot%\inf kopieren.

Server neu starten.
ZIP-----------------
Hiernach hatten sich bereits Anmelde- und Freigabenprobleme der NT4-Maschinen erledigt. Des weiteren funktionierten (erstaunlicher Weise) wieder sämtliche Druckeransteuerungen
(z.B. Eigenschaften eines auf dem Server freigegebenen Druckers anschauen).

Nun zu den verquerten Freigabeproblemen und dem eigentlichen Anmeldeproblem lokal am Server. Diese Punkte waren anscheinend miteinander verknüpft.

Vielen Dank auch hier noch einmal für Deinen Tip. Es musste schliesslich sowohl bei den
"Sicherheitsrichtlinien für Domänen" ALS AUCH bei den "Sicherheitsrichtlinien für Domänencontroller" der besagte User bei der Regel "Lokales Anmelden zulassen"
hinzugefügt werden.

(Dann erscheint dieser User auch bei der Übersicht der Sicherheitsrichtlinien - gähn, hätte man sich auch denken können.)

Das ansich hatte es allerdings noch nicht gebracht. Irgendwas war anscheinend bei der Gruppenzuweisung des Users schief gelaufen. Also habe ich dem User sämtliche Gruppenzugehörigkeiten entfernt (Domänenbenutzer blieb vorhanden) und nachträglich nur Benutzer und Druckoperatoren NEU hinzugefügt.

und siehe da, man konnte sich lokal anmelden ... face-smile

Einige User haben wir nachher gelöscht und NICHT über die Benutzersteuerung für
Domänencontroller hinzugefügt, sondern über den Benutzermanager der Serververwaltungskonsole. Dieser benutzt anscheinend eine Art Usertemplate als
Vorlage für die Erstellung. Damit klappten die Anmeldungen erheblich besser, die
User sämtlicher Systeme konnten von nun an auch einwandfrei auf die für sie freigegebenen
Bereiche zugreifen.

Sowas habe ich noch nicht erlebt, ob das an der Premium Edition des 2003 oder an den
installierten Updates lag, weiss nur Gott und MS-<#*&% ...

Auf jeden Fall kann ich heute gut schlafen und hoffe mit dieser Beschreibung auch anderen weiter helfen zu können ...

Cu Onkel Olli aus Emden face-smile
cykes
cykes 26.02.2006 um 08:32:45 Uhr
Goto Top
Dann biete ihnen mal eine saubere Migration, zumindest bei den Clients, an face-wink

Schönes Wochenende

cykes
meinereiner
meinereiner 26.02.2006 um 11:01:19 Uhr
Goto Top
Auch NT braucht kein Netbeui mehr.
vielleicht hilft das hier weiter: http://support.microsoft.com/kb/555038/en-us