itbuxi
Goto Top

Lokale Anmeldung GPO - ausgesperrt :-(

Hi,
leider habe ich mich scheinbar ausgesperrt.
Ich habe mit der "lokale Anmeldung zulassen" rumgespielt, weil ich verhindern wollte, dass sich Domänen-benutzer an dem Server anmelden können.
Dummerweise bin ich jetzt damit auch betroffen face-wink

Kann ich die GPO der Domäne von einem anderen Domänen-Rechner auch bearbeiten?
Natürlich bin ich Domänen-admin.

Danke für Eure Hilfe.

Gruß

TB

Content-ID: 250553

Url: https://administrator.de/forum/lokale-anmeldung-gpo-ausgesperrt-250553.html

Ausgedruckt am: 24.12.2024 um 01:12 Uhr

Pjordorf
Pjordorf 30.09.2014 um 12:02:21 Uhr
Goto Top
Hallo,

Zitat von @ITBuxi:
weil ich verhindern wollte, dass sich Domänen-benutzer an dem Server anmelden können.
Ist doch normalerweise schon so....Oder haben deine Benutzer alle Admin Rechte der Domäne?

Kann ich die GPO der Domäne von einem anderen Domänen-Rechner auch bearbeiten?
RSAT installiert? RDP?

Server OS und was haben der Client welche deine GPOs wieder richten soll?

Gruß,
Peter
Chonta
Chonta 30.09.2014 um 12:13:49 Uhr
Goto Top
Zitat von @ITBuxi:


Ich habe mit der "lokale Anmeldung zulassen" rumgespielt, weil ich verhindern wollte, dass sich Domänen-benutzer an

GPO lokale Aneldung verbeiten auf Domänenebene für Autentifizierte Benutzer verlinkt? face-smile

Wie Pjordorf schon schieb: DC können nur Domänen-Admins eine lokale Anmeldung machen.
Über die Verwaltungstools wenn auf einem anderen Server installiert kannst Du dich mit dem DC verbinden und die GPO rückgängig machen 15 Minuten Warten und es geht wieder (hoffentlich face-wink )

Gruß

Chonta
templier
templier 30.09.2014 aktualisiert um 12:40:21 Uhr
Goto Top
Zitat von @ITBuxi:

Hi,
leider habe ich mich scheinbar ausgesperrt.
Das ist sehr Unschön, kann aber passieren.
Ich habe mit der "lokale Anmeldung zulassen" rumgespielt, weil ich verhindern wollte, dass sich Domänen-benutzer an
dem Server anmelden können.
Deshalb sollte man nur innert einer Testumgebung "herumspielen". Wobei ich mich Frage welches System Du nutzt, wo es (offenbar) möglich ist, das sich Domänenbenutzer an einem Server lokal Anmelden können/dürfen?
Dummerweise bin ich jetzt damit auch betroffen face-wink
Unüberlegtes "Herumspielen" kann sich nun mal auch Rächen.
Kann ich die GPO der Domäne von einem anderen Domänen-Rechner auch bearbeiten?
Natürlich bin ich Domänen-admin.
Klar, sobald Du auf dem Client/Server ggf. die Admintools hast oder nachinstallierst ist das kein Problem. Zumal Du Dich ja "nur" für das lokale Anmelden ausgesperrt hast. Hier sollte übrigens aber dann noch die RDP-Connection gehen, wenn diese eingerichtet ist. Hoffentlich... hast Du nicht noch mehr "Herumgespielt", sonst wird's aufwendig face-wink

Danke für Eure Hilfe.
Gerne geschehen.

Viele liebe Grüsse
Ralph
templier
templier 30.09.2014 um 12:36:33 Uhr
Goto Top
Zitat von @Chonta:
Über die Verwaltungstools wenn auf einem anderen Server installiert kannst Du dich mit dem DC verbinden und die GPO
rückgängig machen 15 Minuten Warten und es geht wieder (hoffentlich face-wink )

Über "gpupdate /force" geht es schneller und da entfallen die 15 Minuten.
Pjordorf
Pjordorf 30.09.2014 um 12:40:24 Uhr
Goto Top
Hallo,

Zitat von @templier:
Über "gpupdate /force" geht es schneller und da entfallen die 15 Minuten.
Nicht wirklich. Er kommt auf das System ja nicht drauf um ein "gpudate /force" machen zu können face-smile (außer evtl. RDP.......aber wir wissen es ja nicht)

Und 15 Minuten Strafe ist doch auch nicht schlimm....

Gruß,
Peter
Chonta
Chonta 30.09.2014 um 12:43:31 Uhr
Goto Top
Hallo,

RDP wird als lokale Anmeldung gewertet. face-smile
Aber Netzstecker ziehen und neu starten könnte schneller gehen aber andere Probleme bereiten. face-big-smile

Gruß

Chonta
templier
templier 30.09.2014 aktualisiert um 12:58:29 Uhr
Goto Top
Zitat von @Chonta:
RDP wird als lokale Anmeldung gewertet. face-smile
Seit wann das denn, wird das etwa für Windows 3025 forciert werden? Wo ist denn hier dann der Sinn von "Remote"? Bitte überdenke Deinen Eintrag nochmal face-wink

Aber Netzstecker ziehen und neu starten könnte schneller gehen aber andere Probleme bereiten. face-big-smile
??? Dieser Satz ist für mich persönlich irgendwie "Sinnfrei".
templier
templier 30.09.2014 aktualisiert um 13:22:38 Uhr
Goto Top
Zitat von @Pjordorf:
> Zitat von @templier:
> Über "gpupdate /force" geht es schneller und da entfallen die 15 Minuten.
Nicht wirklich. Er kommt auf das System ja nicht drauf um ein "gpudate /force" machen zu können face-smile (außer
evtl. RDP.......aber wir wissen es ja nicht)
Stimmt nicht so ganz - Ich kann "gpupdate" auch einen anderen PC/Server als Parameter (unter Target) mitgeben. Das ist ein Befehl,
der nicht nur Lokal ausgeführt werden kann. Ähnlich wie "shutdown.exe".
Und 15 Minuten Strafe ist doch auch nicht schlimm....
Das stimmt Peter. Wo Du Recht hast, hast Du Recht. Und mit 15 Minuten ist er dann noch sehr gut bedient. Wenn er uns allen dann noch einen Kaffe (oder ein Bier) spendiert, dann ist er mit einem blauen Auge davongekommen face-wink

Viele Grüsse
Ralph
ITBuxi
ITBuxi 30.09.2014 um 13:53:39 Uhr
Goto Top
Tja, wie Ihr ja seht, bin ich kein Admin (was ja auch nicht schwer zu erkennen war)
Nee, RDP ist nicht freigegeben.

Dass sich nur Admins an dem DC anmelden dürfen wusste ich nicht. Hätte mir dann ja auch diesen Ärger erspart.

Tja, scheint wohl so als wärs das jetzt gewesen ;-((. Mist.

Danke für Eure Hilfe trozdem
Pjordorf
Pjordorf 30.09.2014 um 14:11:12 Uhr
Goto Top
Hallo,

Zitat von @ITBuxi:
Nee, RDP ist nicht freigegeben.
Und RSAT installieren?

Dass sich nur Admins an dem DC anmelden dürfen
Das dürfen bezieht sich aber nur auf die Einschränkung mittels einer GPO, sonst dürfen die schon das was ihr Chef ihnen erlaubt face-smile

Tja, scheint wohl so als wärs das jetzt gewesen ;-((. Mist.
Gibt es noch andere Server? Über welches Betriebssysteme reden wir denn hier und was steht als Client zur Verfügung? Du bist der Domänen Admin bzw. hast dessen Passwort?

Gruß,
Peter
ITBuxi
ITBuxi 30.09.2014 um 14:17:52 Uhr
Goto Top
Hallo Pjördorf,

leider weder RSAT noch RDP.
Ja es gibt noch weitere Server. Die beiden Domänencontroller sind windows 2012 server.

Ja, das mit der GPO war mir nicht klar, dass sich nur die Admins daran anmelden dürfen.

Auf dem DC läuft eigentlich nix anderes außer dem AD (und Teamviewer, der mir ja so leider auch nicht weiterhilft).

Gruß

TB
ITBuxi
ITBuxi 30.09.2014 um 14:18:40 Uhr
Goto Top
ja, ich bin Domänen Admin und habe auch das Passwort face-wink
Pjordorf
Lösung Pjordorf 30.09.2014 aktualisiert um 14:23:11 Uhr
Goto Top
Hallo,

Zitat von @ITBuxi:
leider weder RSAT
Und was hindert dich RSAT zu nutzen?

Gruß,
Peter
ITBuxi
ITBuxi 30.09.2014 um 14:22:58 Uhr
Goto Top
Ich habs!

Hab über die Registry (remote) den TerminServer gesetzt und mich dann dort angemeldet.

(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections von 1 auf 0)

jetzt kann ich die GPO wieder ändern.

Vielen Vielen Dank!
ITBuxi
ITBuxi 30.09.2014 um 14:23:47 Uhr
Goto Top
muss ich die RSAT nicht erst explizit freigeben?
Chonta
Chonta 30.09.2014 um 14:26:22 Uhr
Goto Top
Ok ich revidiere die Aussage mit der RDP-Anmeldung, die geht wenn die lokale Anmeldung nicht gestattet ist.

Gruß

Chonta
Pjordorf
Pjordorf 30.09.2014 um 14:36:25 Uhr
Goto Top
Hallo,

Zitat von @ITBuxi:
Ich habs!
Schön.

Aber du hast uns doch gesagt das RDP eben NICHT geht bei euch. Jetzt schreibst du das du genau den genutzt hast?

Da uns partout nicht erzählen willst welche OS dein Client nutzt und wir mühsam rausbekamen das du mehrere Server 2012 (mit oder ohne R2) nutzt sei mir nicht böse wenn ich dir rate dich mit den RSAT selbst zu beschäftigen und nachzulesen. Ich weiß nicht was du da explizit freigeben willst oder damit meinst.

RSAT Win 7
http://www.microsoft.com/de-de/download/details.aspx?id=7887

RSAT Win8.1
http://www.microsoft.com/de-de/download/details.aspx?id=39296

Du musst schon nachlesen welche OS du nutzt um dir die passenden RSAT zu besorgen. Es gibt verschiedene, achte auf Server und Client Betriebssysteme und wer was wo kann.

Gruß,
Peter
ITBuxi
ITBuxi 30.09.2014 um 16:11:07 Uhr
Goto Top
Hallo Peter. Remotedesktop war nicht freigegeben. Ohne den Umweg über die Registry konnte ich ihn halt auch nicht aktivieren.
Sorry, dass ich für Verwirrung gesorgt habe und danke nochmals für Deine Unterstützung.
OS Clients sind Win7Prof.
Gruss
TB
templier
templier 30.09.2014 um 16:15:46 Uhr
Goto Top
Zitat von @ITBuxi:

Tja, wie Ihr ja seht, bin ich kein Admin (was ja auch nicht schwer zu erkennen war)
Du sag mal - Willst Du uns jetzt hier veräppeln? WAS schraubst DU denn dann an solchen System herum und raubst uns hier unsere Freizeit, die wir gerne für (echte!) Probleme zur Verfügung stellen?

Schämst Du Dich nicht? Also, mir fehlen hier gerade die Worte...

Beste Grüsse an alle
Ralph
ITBuxi
ITBuxi 30.09.2014 um 16:39:03 Uhr
Goto Top
Oh entschuldigen Sie Eure Majestät......

Bist doch noch ganz knusprig?
Du bist wohl schon als Admin rausgeschlüpft?
Und wenn Du in Deiner Freizeit nichts anderes zu tun hast, dann tust Du mir echt leid. Entweder man macht das gerne oder man sollte sich in eine dunkle Kammer (ohne Internetanschluss) verkriechen.
Auf solche Typen kann man wenn man ein Problem hat echt verzichten. Ich wünsch Dir, dass Du auch mal vor einem Problem stehst, keine Ahnung hast und irgendein superschlauer ganz toller Typ Dich so anmacht.
templier
templier 30.09.2014 aktualisiert um 17:49:09 Uhr
Goto Top
Oh,

Entschuldige bitte höflichst "Calimero" (der noch die Eierschale auf dem Kopf trägt). Ich bitte Dich dennoch in diesem Forum um etwas mehr Respekt. Denn sonst wird Dir hier kein "Superschlauer ganz toller Typ" mehr helfen wollen. Ich habe Dich in keiner Weise "angemacht". Ich bin mir nur von Dir veräppelt vorgekommen.

Das verwöhnte Küken bekommt eben mal nicht Recht vom bösen Wolf.

Namensbedeutung von Ralph/Ralf = Wolf

» rat = der Rat, der Ratschlag, der Ratgeber (Althochdeutsch); wolf = der Wolf (Althochdeutsch)

Ich Danke Dir dafür schon im voraus, das Du Dich künftig bitte etwas höflicher Ausdrückst. Dann werden wir Dir alle immer gerne helfen.

Viele Grüsse
Ralph
(Der böse Wolf)

Tante Edith:

Und wenn man keine Kritik ertragen kann, dann sollte man sich nicht in Foren herumtreiben. Denn da kann man auch "Ausgesperrt" werden, OHNE das man das selbst getan hat durch "Herumspielen".
templier
templier 30.09.2014 aktualisiert um 17:49:52 Uhr
Goto Top
Zitat von @Chonta:

Ok ich revidiere die Aussage mit der RDP-Anmeldung, die geht wenn die lokale Anmeldung nicht gestattet ist.
Ein Wunder ist geschehen? face-wink
templier
templier 30.09.2014 um 18:22:13 Uhr
Goto Top
Zitat von @ITBuxi:

ja, ich bin Domänen Admin und habe auch das Passwort face-wink

Man sollte Dir beides umgehend entziehen.
117471
Lösung 117471 02.10.2014 aktualisiert um 08:13:44 Uhr
Goto Top
Naja. In einem Punkt hat er Recht - aus Fehlern lernt man und es ist noch kein Admin vom Himmel gefallen. Wohl aber aus allen Wolken.

Amen.