24
Lokale Anmeldung GPO - ausgesperrt :-(
Hi,
leider habe ich mich scheinbar ausgesperrt.
Ich habe mit der "lokale Anmeldung zulassen" rumgespielt, weil ich verhindern wollte, dass sich Domänen-benutzer an dem Server anmelden können.
Dummerweise bin ich jetzt damit auch betroffen
Kann ich die GPO der Domäne von einem anderen Domänen-Rechner auch bearbeiten?
Natürlich bin ich Domänen-admin.
Danke für Eure Hilfe.
Gruß
TB
leider habe ich mich scheinbar ausgesperrt.
Ich habe mit der "lokale Anmeldung zulassen" rumgespielt, weil ich verhindern wollte, dass sich Domänen-benutzer an dem Server anmelden können.
Dummerweise bin ich jetzt damit auch betroffen
Kann ich die GPO der Domäne von einem anderen Domänen-Rechner auch bearbeiten?
Natürlich bin ich Domänen-admin.
Danke für Eure Hilfe.
Gruß
TB
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 250553
Url: https://administrator.de/contentid/250553
Ausgedruckt am: 20.11.2024 um 01:11 Uhr
24 Kommentare
Neuester Kommentar
Hallo,
Server OS und was haben der Client welche deine GPOs wieder richten soll?
Gruß,
Peter
Zitat von @ITBuxi:
weil ich verhindern wollte, dass sich Domänen-benutzer an dem Server anmelden können.
Ist doch normalerweise schon so....Oder haben deine Benutzer alle Admin Rechte der Domäne?weil ich verhindern wollte, dass sich Domänen-benutzer an dem Server anmelden können.
Kann ich die GPO der Domäne von einem anderen Domänen-Rechner auch bearbeiten?
RSAT installiert? RDP?Server OS und was haben der Client welche deine GPOs wieder richten soll?
Gruß,
Peter
1
Ich habe mit der "lokale Anmeldung zulassen" rumgespielt, weil ich verhindern wollte, dass sich Domänen-benutzer an
GPO lokale Aneldung verbeiten auf Domänenebene für Autentifizierte Benutzer verlinkt?
Wie Pjordorf schon schieb: DC können nur Domänen-Admins eine lokale Anmeldung machen.
Über die Verwaltungstools wenn auf einem anderen Server installiert kannst Du dich mit dem DC verbinden und die GPO rückgängig machen 15 Minuten Warten und es geht wieder (hoffentlich
)Gruß
Chonta
Das ist sehr Unschön, kann aber passieren.
Danke für Eure Hilfe.
Gerne geschehen.
Viele liebe Grüsse
Ralph
Ich habe mit der "lokale Anmeldung zulassen" rumgespielt, weil ich verhindern wollte, dass sich Domänen-benutzer an
dem Server anmelden können.
Deshalb sollte man nur innert einer Testumgebung "herumspielen". Wobei ich mich Frage welches System Du nutzt, wo es (offenbar) möglich ist, das sich Domänenbenutzer an einem Server lokal Anmelden können/dürfen?dem Server anmelden können.
Dummerweise bin ich jetzt damit auch betroffen
Unüberlegtes "Herumspielen" kann sich nun mal auch Rächen.Kann ich die GPO der Domäne von einem anderen Domänen-Rechner auch bearbeiten?
Natürlich bin ich Domänen-admin.
Klar, sobald Du auf dem Client/Server ggf. die Admintools hast oder nachinstallierst ist das kein Problem. Zumal Du Dich ja "nur" für das lokale Anmelden ausgesperrt hast. Hier sollte übrigens aber dann noch die RDP-Connection gehen, wenn diese eingerichtet ist. Hoffentlich... hast Du nicht noch mehr "Herumgespielt", sonst wird's aufwendig Natürlich bin ich Domänen-admin.
Danke für Eure Hilfe.
Viele liebe Grüsse
Ralph
Zitat von @Chonta:
Über die Verwaltungstools wenn auf einem anderen Server installiert kannst Du dich mit dem DC verbinden und die GPO
rückgängig machen 15 Minuten Warten und es geht wieder (hoffentlich )
Über die Verwaltungstools wenn auf einem anderen Server installiert kannst Du dich mit dem DC verbinden und die GPO
rückgängig machen 15 Minuten Warten und es geht wieder (hoffentlich
)Über "gpupdate /force" geht es schneller und da entfallen die 15 Minuten.
Hallo,
Nicht wirklich. Er kommt auf das System ja nicht drauf um ein "gpudate /force" machen zu können (außer evtl. RDP.......aber wir wissen es ja nicht)
Und 15 Minuten Strafe ist doch auch nicht schlimm....
Gruß,
Peter
Nicht wirklich. Er kommt auf das System ja nicht drauf um ein "gpudate /force" machen zu können
(außer evtl. RDP.......aber wir wissen es ja nicht)Und 15 Minuten Strafe ist doch auch nicht schlimm....
Gruß,
Peter
Hallo,
RDP wird als lokale Anmeldung gewertet.
Aber Netzstecker ziehen und neu starten könnte schneller gehen aber andere Probleme bereiten.
Gruß
Chonta
RDP wird als lokale Anmeldung gewertet.
Aber Netzstecker ziehen und neu starten könnte schneller gehen aber andere Probleme bereiten.
Gruß
Chonta
Seit wann das denn, wird das etwa für Windows 3025 forciert werden? Wo ist denn hier dann der Sinn von "Remote"? Bitte überdenke Deinen Eintrag nochmal
Aber Netzstecker ziehen und neu starten könnte schneller gehen aber andere Probleme bereiten.
??? Dieser Satz ist für mich persönlich irgendwie "Sinnfrei".Zitat von @Pjordorf:
> Zitat von @templier:
> Über "gpupdate /force" geht es schneller und da entfallen die 15 Minuten.
Nicht wirklich. Er kommt auf das System ja nicht drauf um ein "gpudate /force" machen zu können (außer
evtl. RDP.......aber wir wissen es ja nicht)
Stimmt nicht so ganz - Ich kann "gpupdate" auch einen anderen PC/Server als Parameter (unter Target) mitgeben. Das ist ein Befehl,> Zitat von @templier:
> Über "gpupdate /force" geht es schneller und da entfallen die 15 Minuten.
Nicht wirklich. Er kommt auf das System ja nicht drauf um ein "gpudate /force" machen zu können
(außerevtl. RDP.......aber wir wissen es ja nicht)
der nicht nur Lokal ausgeführt werden kann. Ähnlich wie "shutdown.exe".
Und 15 Minuten Strafe ist doch auch nicht schlimm....
Das stimmt Peter. Wo Du Recht hast, hast Du Recht. Und mit 15 Minuten ist er dann noch sehr gut bedient. Wenn er uns allen dann noch einen Kaffe (oder ein Bier) spendiert, dann ist er mit einem blauen Auge davongekommen Viele Grüsse
Ralph
Tja, wie Ihr ja seht, bin ich kein Admin (was ja auch nicht schwer zu erkennen war)
Nee, RDP ist nicht freigegeben.
Dass sich nur Admins an dem DC anmelden dürfen wusste ich nicht. Hätte mir dann ja auch diesen Ärger erspart.
Tja, scheint wohl so als wärs das jetzt gewesen ;-((. Mist.
Danke für Eure Hilfe trozdem
Nee, RDP ist nicht freigegeben.
Dass sich nur Admins an dem DC anmelden dürfen wusste ich nicht. Hätte mir dann ja auch diesen Ärger erspart.
Tja, scheint wohl so als wärs das jetzt gewesen ;-((. Mist.
Danke für Eure Hilfe trozdem
Hallo,
Und RSAT installieren?
Gruß,
Peter
Und RSAT installieren?
Dass sich nur Admins an dem DC anmelden dürfen
Das dürfen bezieht sich aber nur auf die Einschränkung mittels einer GPO, sonst dürfen die schon das was ihr Chef ihnen erlaubt Tja, scheint wohl so als wärs das jetzt gewesen ;-((. Mist.
Gibt es noch andere Server? Über welches Betriebssysteme reden wir denn hier und was steht als Client zur Verfügung? Du bist der Domänen Admin bzw. hast dessen Passwort?Gruß,
Peter
1
Hallo Pjördorf,
leider weder RSAT noch RDP.
Ja es gibt noch weitere Server. Die beiden Domänencontroller sind windows 2012 server.
Ja, das mit der GPO war mir nicht klar, dass sich nur die Admins daran anmelden dürfen.
Auf dem DC läuft eigentlich nix anderes außer dem AD (und Teamviewer, der mir ja so leider auch nicht weiterhilft).
Gruß
TB
leider weder RSAT noch RDP.
Ja es gibt noch weitere Server. Die beiden Domänencontroller sind windows 2012 server.
Ja, das mit der GPO war mir nicht klar, dass sich nur die Admins daran anmelden dürfen.
Auf dem DC läuft eigentlich nix anderes außer dem AD (und Teamviewer, der mir ja so leider auch nicht weiterhilft).
Gruß
TB
ja, ich bin Domänen Admin und habe auch das Passwort
Ich habs!
Hab über die Registry (remote) den TerminServer gesetzt und mich dann dort angemeldet.
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections von 1 auf 0)
jetzt kann ich die GPO wieder ändern.
Vielen Vielen Dank!
Hab über die Registry (remote) den TerminServer gesetzt und mich dann dort angemeldet.
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections von 1 auf 0)
jetzt kann ich die GPO wieder ändern.
Vielen Vielen Dank!
muss ich die RSAT nicht erst explizit freigeben?
Ok ich revidiere die Aussage mit der RDP-Anmeldung, die geht wenn die lokale Anmeldung nicht gestattet ist.
Gruß
Chonta
Gruß
Chonta
1
Hallo,
Schön.
Aber du hast uns doch gesagt das RDP eben NICHT geht bei euch. Jetzt schreibst du das du genau den genutzt hast?
Da uns partout nicht erzählen willst welche OS dein Client nutzt und wir mühsam rausbekamen das du mehrere Server 2012 (mit oder ohne R2) nutzt sei mir nicht böse wenn ich dir rate dich mit den RSAT selbst zu beschäftigen und nachzulesen. Ich weiß nicht was du da explizit freigeben willst oder damit meinst.
RSAT Win 7
http://www.microsoft.com/de-de/download/details.aspx?id=7887
RSAT Win8.1
http://www.microsoft.com/de-de/download/details.aspx?id=39296
Du musst schon nachlesen welche OS du nutzt um dir die passenden RSAT zu besorgen. Es gibt verschiedene, achte auf Server und Client Betriebssysteme und wer was wo kann.
Gruß,
Peter
Schön.
Aber du hast uns doch gesagt das RDP eben NICHT geht bei euch. Jetzt schreibst du das du genau den genutzt hast?
Da uns partout nicht erzählen willst welche OS dein Client nutzt und wir mühsam rausbekamen das du mehrere Server 2012 (mit oder ohne R2) nutzt sei mir nicht böse wenn ich dir rate dich mit den RSAT selbst zu beschäftigen und nachzulesen. Ich weiß nicht was du da explizit freigeben willst oder damit meinst.
RSAT Win 7
http://www.microsoft.com/de-de/download/details.aspx?id=7887
RSAT Win8.1
http://www.microsoft.com/de-de/download/details.aspx?id=39296
Du musst schon nachlesen welche OS du nutzt um dir die passenden RSAT zu besorgen. Es gibt verschiedene, achte auf Server und Client Betriebssysteme und wer was wo kann.
Gruß,
Peter
1
Hallo Peter. Remotedesktop war nicht freigegeben. Ohne den Umweg über die Registry konnte ich ihn halt auch nicht aktivieren.
Sorry, dass ich für Verwirrung gesorgt habe und danke nochmals für Deine Unterstützung.
OS Clients sind Win7Prof.
Gruss
TB
Sorry, dass ich für Verwirrung gesorgt habe und danke nochmals für Deine Unterstützung.
OS Clients sind Win7Prof.
Gruss
TB
Zitat von @ITBuxi:
Tja, wie Ihr ja seht, bin ich kein Admin (was ja auch nicht schwer zu erkennen war)
Du sag mal - Willst Du uns jetzt hier veräppeln? WAS schraubst DU denn dann an solchen System herum und raubst uns hier unsere Freizeit, die wir gerne für (echte!) Probleme zur Verfügung stellen?Tja, wie Ihr ja seht, bin ich kein Admin (was ja auch nicht schwer zu erkennen war)
Schämst Du Dich nicht? Also, mir fehlen hier gerade die Worte...
Beste Grüsse an alle
Ralph
Oh entschuldigen Sie Eure Majestät......
Bist doch noch ganz knusprig?
Du bist wohl schon als Admin rausgeschlüpft?
Und wenn Du in Deiner Freizeit nichts anderes zu tun hast, dann tust Du mir echt leid. Entweder man macht das gerne oder man sollte sich in eine dunkle Kammer (ohne Internetanschluss) verkriechen.
Auf solche Typen kann man wenn man ein Problem hat echt verzichten. Ich wünsch Dir, dass Du auch mal vor einem Problem stehst, keine Ahnung hast und irgendein superschlauer ganz toller Typ Dich so anmacht.
Bist doch noch ganz knusprig?
Du bist wohl schon als Admin rausgeschlüpft?
Und wenn Du in Deiner Freizeit nichts anderes zu tun hast, dann tust Du mir echt leid. Entweder man macht das gerne oder man sollte sich in eine dunkle Kammer (ohne Internetanschluss) verkriechen.
Auf solche Typen kann man wenn man ein Problem hat echt verzichten. Ich wünsch Dir, dass Du auch mal vor einem Problem stehst, keine Ahnung hast und irgendein superschlauer ganz toller Typ Dich so anmacht.
Oh,
Entschuldige bitte höflichst "Calimero" (der noch die Eierschale auf dem Kopf trägt). Ich bitte Dich dennoch in diesem Forum um etwas mehr Respekt. Denn sonst wird Dir hier kein "Superschlauer ganz toller Typ" mehr helfen wollen. Ich habe Dich in keiner Weise "angemacht". Ich bin mir nur von Dir veräppelt vorgekommen.
Das verwöhnte Küken bekommt eben mal nicht Recht vom bösen Wolf.
Namensbedeutung von Ralph/Ralf = Wolf
» rat = der Rat, der Ratschlag, der Ratgeber (Althochdeutsch); wolf = der Wolf (Althochdeutsch)
Ich Danke Dir dafür schon im voraus, das Du Dich künftig bitte etwas höflicher Ausdrückst. Dann werden wir Dir alle immer gerne helfen.
Viele Grüsse
Ralph
(Der böse Wolf)
Tante Edith:
Und wenn man keine Kritik ertragen kann, dann sollte man sich nicht in Foren herumtreiben. Denn da kann man auch "Ausgesperrt" werden, OHNE das man das selbst getan hat durch "Herumspielen".
Entschuldige bitte höflichst "Calimero" (der noch die Eierschale auf dem Kopf trägt). Ich bitte Dich dennoch in diesem Forum um etwas mehr Respekt. Denn sonst wird Dir hier kein "Superschlauer ganz toller Typ" mehr helfen wollen. Ich habe Dich in keiner Weise "angemacht". Ich bin mir nur von Dir veräppelt vorgekommen.
Das verwöhnte Küken bekommt eben mal nicht Recht vom bösen Wolf.
Namensbedeutung von Ralph/Ralf = Wolf
» rat = der Rat, der Ratschlag, der Ratgeber (Althochdeutsch); wolf = der Wolf (Althochdeutsch)
Ich Danke Dir dafür schon im voraus, das Du Dich künftig bitte etwas höflicher Ausdrückst. Dann werden wir Dir alle immer gerne helfen.
Viele Grüsse
Ralph
(Der böse Wolf)
Tante Edith:
Und wenn man keine Kritik ertragen kann, dann sollte man sich nicht in Foren herumtreiben. Denn da kann man auch "Ausgesperrt" werden, OHNE das man das selbst getan hat durch "Herumspielen".
Zitat von @Chonta:
Ok ich revidiere die Aussage mit der RDP-Anmeldung, die geht wenn die lokale Anmeldung nicht gestattet ist.
Ein Wunder ist geschehen? Ok ich revidiere die Aussage mit der RDP-Anmeldung, die geht wenn die lokale Anmeldung nicht gestattet ist.
Man sollte Dir beides umgehend entziehen.
Naja. In einem Punkt hat er Recht - aus Fehlern lernt man und es ist noch kein Admin vom Himmel gefallen. Wohl aber aus allen Wolken.
Amen.
Amen.
