kpieper
Goto Top

Mitglied der Gruppe Administratoren kann sich nicht remote anmelden

Ich habe einen neuen Benutzer angelegt und der Gruppe "Administratoren" (Domain/Builtin) zugewiesen. Außerdem ist er der Gruppe "Domänen-Benutzer" zugewiesen.

Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).

Die Fehlermeldung lautet "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".

Es ist nur ein kleine Installation; außer dem Domänen-Admin gibt es bisher keine weiteren Admin-Rollen. Auf dem Hyper-V Host, auf dem der Anmeldeversuch ausgeführt wurde, wird auch angezeigt, dass der neue Benutzer Mitglied in der Gruppe Administratoren ist:

([ADSISEARCHER]"samaccountname=myuser").Findone().Properties.memberof
CN=Administratoren,CN=Builtin,DC=mydomain,DC=local

Soweit ich weiß, sollten sich die Mitglieder der Gruppe Administratoren remote auf allen Member-Servern anmelden können. Auf dem DC ist die GPO "Anmelden über Remotedesktopdienste zulassen" nicht konfiguriert. Ich habe testweise einmal die Gruppe Administratoren eingetragen und mit gpupdate /force übernommen - keine Änderung.
Im Eventlog kann ich auch nichts finden.

Wo kann ich sonst noch nachsehen - oder mache ich grundsätzlich etwas falsch?

Content-ID: 662763

Url: https://administrator.de/forum/mitglied-der-gruppe-administratoren-kann-sich-nicht-remote-anmelden-662763.html

Ausgedruckt am: 26.12.2024 um 14:12 Uhr

AlbertMinrich
Lösung AlbertMinrich 14.03.2021 um 15:58:29 Uhr
Goto Top
Zitat von @kpieper:

Ich habe einen neuen Benutzer angelegt und der Gruppe "Administratoren" (Domain/Builtin) zugewiesen. Außerdem ist er der Gruppe "Domänen-Benutzer" zugewiesen.

Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).

Die Fehlermeldung lautet "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".

Es ist nur ein kleine Installation; außer dem Domänen-Admin gibt es bisher keine weiteren Admin-Rollen. Auf dem Hyper-V Host, auf dem der Anmeldeversuch ausgeführt wurde, wird auch angezeigt, dass der neue Benutzer Mitglied in der Gruppe Administratoren ist:

([ADSISEARCHER]"samaccountname=myuser").Findone().Properties.memberof
CN=Administratoren,CN=Builtin,DC=mydomain,DC=local

Soweit ich weiß, sollten sich die Mitglieder der Gruppe Administratoren remote auf allen Member-Servern anmelden können.
Das ist auch so, alle Mitglieder der lokalen Gruppe Administratoren (des jeweiligen Servers) können sich remote anmelden.
Und wenn du in die lokale Gruppe Administratoren deines Server schaust, wirst du sehen, dort ist die Gruppe Domänen-Admins Mitglied, nicht die (domänenlokale) Gruppe Administratoren.

Gruß
Martin
kpieper
kpieper 14.03.2021 um 16:44:18 Uhr
Goto Top
Danke für den Hinweis.

Ich habe den Benutzer jetzt auf dem Server zur Gruppe der (lokalen) Administratoren hinzugefügt und kann mich damit anmelden.

Aber dazu noch zwei Fragen:
1. Offenbar kann ich die Gruppe "mydomain\Administratoren" nicht zur Gruppe der lokalen Administratoren hinzufügen. In der grafischen Benutzerverwaltung wird die Gruppe nicht angezeigt, und auf der Kommandozeile kommt folgende Meldung:

net localgroup "Administratoren" "mydomain\Administratoren" /add
Das globale Benutzer- oder Gruppenkonto ist nicht vorhanden: mydomain\Administratoren

2. Warum greift die Gruppenrichtlinie "Anmelden über Remotedesktopdienste zulassen" nicht?
Ich habe in diese richtlinie jetzt auf dem DC noch einmal die Gruppe hinzugefügt, auf den betreffenden Servern gpupdate /force ausgeführt und auch eine Weile gewartet - ohne Erfolg.
jsysde
Lösung jsysde 14.03.2021 um 16:44:31 Uhr
Goto Top
Servus.

Zitat von @kpieper:
Ich habe einen neuen Benutzer angelegt und der Gruppe "Administratoren" (Domain/Builtin) zugewiesen. Außerdem ist er der Gruppe "Domänen-Benutzer" zugewiesen.
Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).[...]
Völlig korrekt - die Gruppe "Administratoren" (Domain(Builtin) entsteht, wenn du einen Server zum DC machst. DCs haben keine lokalen Gruppen, nur Domänen-Gruppen. Entsprechend haben Mitglieder dieser Administratoren-Gruppe diese Rechte auch nur auf den DCs nur dort.

Cheers,
jsysde
jsysde
jsysde 14.03.2021 um 16:48:13 Uhr
Goto Top
Servus.

Zitat von @kpieper:
[...]1. Offenbar kann ich die Gruppe "mydomain\Administratoren" nicht zur Gruppe der lokalen Administratoren hinzufügen. In der grafischen Benutzerverwaltung wird die Gruppe nicht angezeigt, und auf der Kommandozeile kommt folgende Meldung:
Beschäftige dich mal mit den Gruppentypen im AD und wie man diese verschachteln kann.

[...]2. Warum greift die Gruppenrichtlinie "Anmelden über Remotedesktopdienste zulassen" nicht?
Ich habe in diese richtlinie jetzt auf dem DC noch einmal die Gruppe hinzugefügt, auf den betreffenden Servern gpupdate /force ausgeführt und auch eine Weile gewartet - ohne Erfolg.
Kann viele Gründe haben. Einer wäre z.B. falsche Verlinkung der GPO.

Cheers,
jsysde
em-pie
em-pie 14.03.2021 um 17:15:10 Uhr
Goto Top
Zitat von @AlbertMinrich:
Das ist auch so, alle Mitglieder der lokalen Gruppe Administratoren (des jeweiligen Servers) können sich remote anmelden.
Und wenn du in die lokale Gruppe Administratoren deines Server schaust, wirst du sehen, dort ist die Gruppe Domänen-Admins Mitglied, nicht die (domänenlokale) Gruppe Administratoren.

Gruß
Martin

Ich würde die User aber eher der Gruppe "Remotedesktopbenutzer" hinzufügen.. so aus sicherheitstechnischen Gründen!?

Gruß
em-pie
kpieper
kpieper 14.03.2021 um 17:56:02 Uhr
Goto Top
Ich habe es jetzt so gelöst:

  • Eine Globale Gruppe "Server-Admins" angelegt und den Benutzer hinzugefügt
  • Auf den beiden betreffenden Servern diese Gruppe der jeweiligen lokalen Administratoren-Gruppe zugefügt

Zitat von @em-pie:
Ich würde die User aber eher der Gruppe "Remotedesktopbenutzer" hinzufügen.. so aus sicherheitstechnischen Gründen!?

Hintergrund der Übung ist ein Backup-Job für die VMs (QNAP Hyper Data Protector - benötigt offenbar einen RDP-Zugang, muss den VM-Export anstoßen können). Mit der Gruppe "Administratoren" funktioniert es jetzt. Ob es noch eine besser geeignete Gruppe (mit weniger Rechten) gibt, weiß ich nicht.

Danke für alle Antworten.