6
Mitglied der Gruppe Administratoren kann sich nicht remote anmelden
Ich habe einen neuen Benutzer angelegt und der Gruppe "Administratoren" (Domain/Builtin) zugewiesen. Außerdem ist er der Gruppe "Domänen-Benutzer" zugewiesen.
Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).
Die Fehlermeldung lautet "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".
Es ist nur ein kleine Installation; außer dem Domänen-Admin gibt es bisher keine weiteren Admin-Rollen. Auf dem Hyper-V Host, auf dem der Anmeldeversuch ausgeführt wurde, wird auch angezeigt, dass der neue Benutzer Mitglied in der Gruppe Administratoren ist:
([ADSISEARCHER]"samaccountname=myuser").Findone().Properties.memberof
CN=Administratoren,CN=Builtin,DC=mydomain,DC=local
Soweit ich weiß, sollten sich die Mitglieder der Gruppe Administratoren remote auf allen Member-Servern anmelden können. Auf dem DC ist die GPO "Anmelden über Remotedesktopdienste zulassen" nicht konfiguriert. Ich habe testweise einmal die Gruppe Administratoren eingetragen und mit gpupdate /force übernommen - keine Änderung.
Im Eventlog kann ich auch nichts finden.
Wo kann ich sonst noch nachsehen - oder mache ich grundsätzlich etwas falsch?
Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).
Die Fehlermeldung lautet "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".
Es ist nur ein kleine Installation; außer dem Domänen-Admin gibt es bisher keine weiteren Admin-Rollen. Auf dem Hyper-V Host, auf dem der Anmeldeversuch ausgeführt wurde, wird auch angezeigt, dass der neue Benutzer Mitglied in der Gruppe Administratoren ist:
([ADSISEARCHER]"samaccountname=myuser").Findone().Properties.memberof
CN=Administratoren,CN=Builtin,DC=mydomain,DC=local
Soweit ich weiß, sollten sich die Mitglieder der Gruppe Administratoren remote auf allen Member-Servern anmelden können. Auf dem DC ist die GPO "Anmelden über Remotedesktopdienste zulassen" nicht konfiguriert. Ich habe testweise einmal die Gruppe Administratoren eingetragen und mit gpupdate /force übernommen - keine Änderung.
Im Eventlog kann ich auch nichts finden.
Wo kann ich sonst noch nachsehen - oder mache ich grundsätzlich etwas falsch?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 662763
Url: https://administrator.de/contentid/662763
Printed on: April 18, 2024 at 05:04 o'clock
6 Comments
Latest comment
Zitat von @kpieper:
Ich habe einen neuen Benutzer angelegt und der Gruppe "Administratoren" (Domain/Builtin) zugewiesen. Außerdem ist er der Gruppe "Domänen-Benutzer" zugewiesen.
Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).
Die Fehlermeldung lautet "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".
Es ist nur ein kleine Installation; außer dem Domänen-Admin gibt es bisher keine weiteren Admin-Rollen. Auf dem Hyper-V Host, auf dem der Anmeldeversuch ausgeführt wurde, wird auch angezeigt, dass der neue Benutzer Mitglied in der Gruppe Administratoren ist:
([ADSISEARCHER]"samaccountname=myuser").Findone().Properties.memberof
CN=Administratoren,CN=Builtin,DC=mydomain,DC=local
Soweit ich weiß, sollten sich die Mitglieder der Gruppe Administratoren remote auf allen Member-Servern anmelden können.
Das ist auch so, alle Mitglieder der lokalen Gruppe Administratoren (des jeweiligen Servers) können sich remote anmelden.Ich habe einen neuen Benutzer angelegt und der Gruppe "Administratoren" (Domain/Builtin) zugewiesen. Außerdem ist er der Gruppe "Domänen-Benutzer" zugewiesen.
Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).
Die Fehlermeldung lautet "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".
Es ist nur ein kleine Installation; außer dem Domänen-Admin gibt es bisher keine weiteren Admin-Rollen. Auf dem Hyper-V Host, auf dem der Anmeldeversuch ausgeführt wurde, wird auch angezeigt, dass der neue Benutzer Mitglied in der Gruppe Administratoren ist:
([ADSISEARCHER]"samaccountname=myuser").Findone().Properties.memberof
CN=Administratoren,CN=Builtin,DC=mydomain,DC=local
Soweit ich weiß, sollten sich die Mitglieder der Gruppe Administratoren remote auf allen Member-Servern anmelden können.
Und wenn du in die lokale Gruppe Administratoren deines Server schaust, wirst du sehen, dort ist die Gruppe Domänen-Admins Mitglied, nicht die (domänenlokale) Gruppe Administratoren.
Gruß
Martin
Danke für den Hinweis.
Ich habe den Benutzer jetzt auf dem Server zur Gruppe der (lokalen) Administratoren hinzugefügt und kann mich damit anmelden.
Aber dazu noch zwei Fragen:
1. Offenbar kann ich die Gruppe "mydomain\Administratoren" nicht zur Gruppe der lokalen Administratoren hinzufügen. In der grafischen Benutzerverwaltung wird die Gruppe nicht angezeigt, und auf der Kommandozeile kommt folgende Meldung:
net localgroup "Administratoren" "mydomain\Administratoren" /add
Das globale Benutzer- oder Gruppenkonto ist nicht vorhanden: mydomain\Administratoren
2. Warum greift die Gruppenrichtlinie "Anmelden über Remotedesktopdienste zulassen" nicht?
Ich habe in diese richtlinie jetzt auf dem DC noch einmal die Gruppe hinzugefügt, auf den betreffenden Servern gpupdate /force ausgeführt und auch eine Weile gewartet - ohne Erfolg.
Ich habe den Benutzer jetzt auf dem Server zur Gruppe der (lokalen) Administratoren hinzugefügt und kann mich damit anmelden.
Aber dazu noch zwei Fragen:
1. Offenbar kann ich die Gruppe "mydomain\Administratoren" nicht zur Gruppe der lokalen Administratoren hinzufügen. In der grafischen Benutzerverwaltung wird die Gruppe nicht angezeigt, und auf der Kommandozeile kommt folgende Meldung:
net localgroup "Administratoren" "mydomain\Administratoren" /add
Das globale Benutzer- oder Gruppenkonto ist nicht vorhanden: mydomain\Administratoren
2. Warum greift die Gruppenrichtlinie "Anmelden über Remotedesktopdienste zulassen" nicht?
Ich habe in diese richtlinie jetzt auf dem DC noch einmal die Gruppe hinzugefügt, auf den betreffenden Servern gpupdate /force ausgeführt und auch eine Weile gewartet - ohne Erfolg.
Servus.
Cheers,
jsysde
Zitat von @kpieper:
Ich habe einen neuen Benutzer angelegt und der Gruppe "Administratoren" (Domain/Builtin) zugewiesen. Außerdem ist er der Gruppe "Domänen-Benutzer" zugewiesen.
Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).[...]
Völlig korrekt - die Gruppe "Administratoren" (Domain(Builtin) entsteht, wenn du einen Server zum DC machst. DCs haben keine lokalen Gruppen, nur Domänen-Gruppen. Entsprechend haben Mitglieder dieser Administratoren-Gruppe diese Rechte auch nur auf den DCs nur dort.Ich habe einen neuen Benutzer angelegt und der Gruppe "Administratoren" (Domain/Builtin) zugewiesen. Außerdem ist er der Gruppe "Domänen-Benutzer" zugewiesen.
Auf einem Member-Server (Hyper-V Host, Server 2019) kann er sich aber nicht remote (also über RDP) anmelden. Auch nicht auf einem anderen Server, der kein Hyper-V Host ist (Server 2012 R2).[...]
Cheers,
jsysde
Servus.
Cheers,
jsysde
Zitat von @kpieper:
[...]1. Offenbar kann ich die Gruppe "mydomain\Administratoren" nicht zur Gruppe der lokalen Administratoren hinzufügen. In der grafischen Benutzerverwaltung wird die Gruppe nicht angezeigt, und auf der Kommandozeile kommt folgende Meldung:
Beschäftige dich mal mit den Gruppentypen im AD und wie man diese verschachteln kann.[...]1. Offenbar kann ich die Gruppe "mydomain\Administratoren" nicht zur Gruppe der lokalen Administratoren hinzufügen. In der grafischen Benutzerverwaltung wird die Gruppe nicht angezeigt, und auf der Kommandozeile kommt folgende Meldung:
[...]2. Warum greift die Gruppenrichtlinie "Anmelden über Remotedesktopdienste zulassen" nicht?
Ich habe in diese richtlinie jetzt auf dem DC noch einmal die Gruppe hinzugefügt, auf den betreffenden Servern gpupdate /force ausgeführt und auch eine Weile gewartet - ohne Erfolg.
Kann viele Gründe haben. Einer wäre z.B. falsche Verlinkung der GPO.Ich habe in diese richtlinie jetzt auf dem DC noch einmal die Gruppe hinzugefügt, auf den betreffenden Servern gpupdate /force ausgeführt und auch eine Weile gewartet - ohne Erfolg.
Cheers,
jsysde
Zitat von @AlbertMinrich:
Das ist auch so, alle Mitglieder der lokalen Gruppe Administratoren (des jeweiligen Servers) können sich remote anmelden.
Und wenn du in die lokale Gruppe Administratoren deines Server schaust, wirst du sehen, dort ist die Gruppe Domänen-Admins Mitglied, nicht die (domänenlokale) Gruppe Administratoren.
Gruß
Martin
Das ist auch so, alle Mitglieder der lokalen Gruppe Administratoren (des jeweiligen Servers) können sich remote anmelden.
Und wenn du in die lokale Gruppe Administratoren deines Server schaust, wirst du sehen, dort ist die Gruppe Domänen-Admins Mitglied, nicht die (domänenlokale) Gruppe Administratoren.
Gruß
Martin
Ich würde die User aber eher der Gruppe "Remotedesktopbenutzer" hinzufügen.. so aus sicherheitstechnischen Gründen!?
Gruß
em-pie
Ich habe es jetzt so gelöst:
Hintergrund der Übung ist ein Backup-Job für die VMs (QNAP Hyper Data Protector - benötigt offenbar einen RDP-Zugang, muss den VM-Export anstoßen können). Mit der Gruppe "Administratoren" funktioniert es jetzt. Ob es noch eine besser geeignete Gruppe (mit weniger Rechten) gibt, weiß ich nicht.
Danke für alle Antworten.
- Eine Globale Gruppe "Server-Admins" angelegt und den Benutzer hinzugefügt
- Auf den beiden betreffenden Servern diese Gruppe der jeweiligen lokalen Administratoren-Gruppe zugefügt
Zitat von @em-pie:
Ich würde die User aber eher der Gruppe "Remotedesktopbenutzer" hinzufügen.. so aus sicherheitstechnischen Gründen!?
Ich würde die User aber eher der Gruppe "Remotedesktopbenutzer" hinzufügen.. so aus sicherheitstechnischen Gründen!?
Hintergrund der Übung ist ein Backup-Job für die VMs (QNAP Hyper Data Protector - benötigt offenbar einen RDP-Zugang, muss den VM-Export anstoßen können). Mit der Gruppe "Administratoren" funktioniert es jetzt. Ob es noch eine besser geeignete Gruppe (mit weniger Rechten) gibt, weiß ich nicht.
Danke für alle Antworten.
