Mitglied der Gruppe Administratoren kann sich nicht remote anmelden
Ich habe einen neuen Benutzer angelegt und der Gruppe "Administratoren" (Domain/Builtin) zugewiesen. Außerdem ist er der Gruppe "Domänen-Benutzer" zugewiesen.
Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).
Die Fehlermeldung lautet "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".
Es ist nur ein kleine Installation; außer dem Domänen-Admin gibt es bisher keine weiteren Admin-Rollen. Auf dem Hyper-V Host, auf dem der Anmeldeversuch ausgeführt wurde, wird auch angezeigt, dass der neue Benutzer Mitglied in der Gruppe Administratoren ist:
([ADSISEARCHER]"samaccountname=myuser").Findone().Properties.memberof
CN=Administratoren,CN=Builtin,DC=mydomain,DC=local
Soweit ich weiß, sollten sich die Mitglieder der Gruppe Administratoren remote auf allen Member-Servern anmelden können. Auf dem DC ist die GPO "Anmelden über Remotedesktopdienste zulassen" nicht konfiguriert. Ich habe testweise einmal die Gruppe Administratoren eingetragen und mit gpupdate /force übernommen - keine Änderung.
Im Eventlog kann ich auch nichts finden.
Wo kann ich sonst noch nachsehen - oder mache ich grundsätzlich etwas falsch?
Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).
Die Fehlermeldung lautet "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".
Es ist nur ein kleine Installation; außer dem Domänen-Admin gibt es bisher keine weiteren Admin-Rollen. Auf dem Hyper-V Host, auf dem der Anmeldeversuch ausgeführt wurde, wird auch angezeigt, dass der neue Benutzer Mitglied in der Gruppe Administratoren ist:
([ADSISEARCHER]"samaccountname=myuser").Findone().Properties.memberof
CN=Administratoren,CN=Builtin,DC=mydomain,DC=local
Soweit ich weiß, sollten sich die Mitglieder der Gruppe Administratoren remote auf allen Member-Servern anmelden können. Auf dem DC ist die GPO "Anmelden über Remotedesktopdienste zulassen" nicht konfiguriert. Ich habe testweise einmal die Gruppe Administratoren eingetragen und mit gpupdate /force übernommen - keine Änderung.
Im Eventlog kann ich auch nichts finden.
Wo kann ich sonst noch nachsehen - oder mache ich grundsätzlich etwas falsch?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 662763
Url: https://administrator.de/contentid/662763
Ausgedruckt am: 25.11.2024 um 05:11 Uhr
6 Kommentare
Neuester Kommentar
Zitat von @kpieper:
Ich habe einen neuen Benutzer angelegt und der Gruppe "Administratoren" (Domain/Builtin) zugewiesen. Außerdem ist er der Gruppe "Domänen-Benutzer" zugewiesen.
Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).
Die Fehlermeldung lautet "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".
Es ist nur ein kleine Installation; außer dem Domänen-Admin gibt es bisher keine weiteren Admin-Rollen. Auf dem Hyper-V Host, auf dem der Anmeldeversuch ausgeführt wurde, wird auch angezeigt, dass der neue Benutzer Mitglied in der Gruppe Administratoren ist:
([ADSISEARCHER]"samaccountname=myuser").Findone().Properties.memberof
CN=Administratoren,CN=Builtin,DC=mydomain,DC=local
Soweit ich weiß, sollten sich die Mitglieder der Gruppe Administratoren remote auf allen Member-Servern anmelden können.
Das ist auch so, alle Mitglieder der lokalen Gruppe Administratoren (des jeweiligen Servers) können sich remote anmelden.Ich habe einen neuen Benutzer angelegt und der Gruppe "Administratoren" (Domain/Builtin) zugewiesen. Außerdem ist er der Gruppe "Domänen-Benutzer" zugewiesen.
Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).
Die Fehlermeldung lautet "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".
Es ist nur ein kleine Installation; außer dem Domänen-Admin gibt es bisher keine weiteren Admin-Rollen. Auf dem Hyper-V Host, auf dem der Anmeldeversuch ausgeführt wurde, wird auch angezeigt, dass der neue Benutzer Mitglied in der Gruppe Administratoren ist:
([ADSISEARCHER]"samaccountname=myuser").Findone().Properties.memberof
CN=Administratoren,CN=Builtin,DC=mydomain,DC=local
Soweit ich weiß, sollten sich die Mitglieder der Gruppe Administratoren remote auf allen Member-Servern anmelden können.
Und wenn du in die lokale Gruppe Administratoren deines Server schaust, wirst du sehen, dort ist die Gruppe Domänen-Admins Mitglied, nicht die (domänenlokale) Gruppe Administratoren.
Gruß
Martin
Servus.
Cheers,
jsysde
Zitat von @kpieper:
Ich habe einen neuen Benutzer angelegt und der Gruppe "Administratoren" (Domain/Builtin) zugewiesen. Außerdem ist er der Gruppe "Domänen-Benutzer" zugewiesen.
Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).[...]
Völlig korrekt - die Gruppe "Administratoren" (Domain(Builtin) entsteht, wenn du einen Server zum DC machst. DCs haben keine lokalen Gruppen, nur Domänen-Gruppen. Entsprechend haben Mitglieder dieser Administratoren-Gruppe diese Rechte auch nur auf den DCs nur dort.Ich habe einen neuen Benutzer angelegt und der Gruppe "Administratoren" (Domain/Builtin) zugewiesen. Außerdem ist er der Gruppe "Domänen-Benutzer" zugewiesen.
Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).[...]
Cheers,
jsysde
Servus.
Cheers,
jsysde
Zitat von @kpieper:
[...]1. Offenbar kann ich die Gruppe "mydomain\Administratoren" nicht zur Gruppe der lokalen Administratoren hinzufügen. In der grafischen Benutzerverwaltung wird die Gruppe nicht angezeigt, und auf der Kommandozeile kommt folgende Meldung:
Beschäftige dich mal mit den Gruppentypen im AD und wie man diese verschachteln kann.[...]1. Offenbar kann ich die Gruppe "mydomain\Administratoren" nicht zur Gruppe der lokalen Administratoren hinzufügen. In der grafischen Benutzerverwaltung wird die Gruppe nicht angezeigt, und auf der Kommandozeile kommt folgende Meldung:
[...]2. Warum greift die Gruppenrichtlinie "Anmelden über Remotedesktopdienste zulassen" nicht?
Ich habe in diese richtlinie jetzt auf dem DC noch einmal die Gruppe hinzugefügt, auf den betreffenden Servern gpupdate /force ausgeführt und auch eine Weile gewartet - ohne Erfolg.
Kann viele Gründe haben. Einer wäre z.B. falsche Verlinkung der GPO.Ich habe in diese richtlinie jetzt auf dem DC noch einmal die Gruppe hinzugefügt, auf den betreffenden Servern gpupdate /force ausgeführt und auch eine Weile gewartet - ohne Erfolg.
Cheers,
jsysde
Zitat von @AlbertMinrich:
Das ist auch so, alle Mitglieder der lokalen Gruppe Administratoren (des jeweiligen Servers) können sich remote anmelden.
Und wenn du in die lokale Gruppe Administratoren deines Server schaust, wirst du sehen, dort ist die Gruppe Domänen-Admins Mitglied, nicht die (domänenlokale) Gruppe Administratoren.
Gruß
Martin
Das ist auch so, alle Mitglieder der lokalen Gruppe Administratoren (des jeweiligen Servers) können sich remote anmelden.
Und wenn du in die lokale Gruppe Administratoren deines Server schaust, wirst du sehen, dort ist die Gruppe Domänen-Admins Mitglied, nicht die (domänenlokale) Gruppe Administratoren.
Gruß
Martin
Ich würde die User aber eher der Gruppe "Remotedesktopbenutzer" hinzufügen.. so aus sicherheitstechnischen Gründen!?
Gruß
em-pie