watislos
Goto Top

RDP - restrictedAdmin geht nicht

Ich möchte auf den Server per /restrictedAdmin zugreifen, aber es klappt einfach nicht.
Dabei ist doch die Einrichtung recht Simpel!


Server:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"DisableRestrictedAdmin"=dword:00000000


Client, siehe Screenshot:
-> Delegierung von Anmeldeinformationen.
-> Eingeschränkte Verwaltung anfordern


gestartet wird per Konsole oder RDP Verknüpfung:

mstsc.exe /restrictedAdmin

Ich habe auf beiden /gpupdate force ausgeführt, auch neugestartet bringt aber nichts, laut Protokoll auf den Server steht beim "Eingeschränkter Administratormodus" immer noch nichts....


Sowohl der Client als auch der Server sind auf dem aktuellen Stand was MS-Patches betrifft.

Hat jemand eine Idee, oder hatte auch mal das Problem?`
2
1

Content-Key: 4872576687

Url: https://administrator.de/contentid/4872576687

Printed on: July 20, 2024 at 18:07 o'clock

Member: watIsLos
watIsLos Dec 06, 2022 at 09:48:21 (UTC)
Goto Top
Ergänzung
Bei der RDP Anmeldung vom Client auf dem Server kommt beim login diese Fehlermeldung.

Im Internet gibt es zu der Fehlermeldungen einige Ratschläge, aber die treffen hier nicht zu wenn es tatsächlich hier nur um die Einrichtung handelt.
3
Member: DerWoWusste
DerWoWusste Dec 06, 2022 at 09:57:44 (UTC)
Goto Top
Stell bitte auf "remote credential guard verwenden", schließe mstsc und starte mstsc ohne den Parameter neu.
RemoteCredentialguard ist besser.
Member: watIsLos
watIsLos Dec 06, 2022 updated at 10:02:10 (UTC)
Goto Top
Habe ich, leider die gleiche Meldung.

Protokoll, sieht so aus.


Zitat von @DerWoWusste:
4
Member: DerWoWusste
DerWoWusste Dec 06, 2022 at 10:08:27 (UTC)
Goto Top
Wenn Du gemacht hast, was ich vorgeschlagen habe, wird in mstsc die Zeile "Nutzername" ausgegraut und auf deinen Nutzer gesetzt - ist das denn der Fall?
Member: papapishu
papapishu Dec 06, 2022 at 10:15:35 (UTC)
Goto Top
Hi,

was für Windows Versionen versuchst du zu verbinden?
Das letzte mal, dass ich den CredSSP Error gesehen habe, ging es um Verbindungsprobleme bei Windows 10 1809 und kleiner bzw Server 2016 und es haben wirklich Updates gefehlt. Ich würde nochmal die Updates checken ggf. mal schauen ob der WSUS wenn in Benutzung die CredSSP Updates nicht freigegeben hat.

Grüße
Member: watIsLos
watIsLos Dec 06, 2022 at 10:17:26 (UTC)
Goto Top
Ja, das ist korrekt nur ist dieser Benutzer nicht previligiert auf den Server per RDP zuzugreifen, deswegen wird das per "Credentialguard" nicht funktionieren.

Kurz zu Erklärung, ich arbeite an meinem Client als normaler Benutzer!
Nun möchte ich per /restrictedAdmin vom Client auf dem Server mit dem Admin Konto mich anmelden, das geht natürlich mit /remoteGuard nicht, da wie Du schon sagtest der Automatisch den Benutzer auswählt der Angemeldet ist . Deswegen die Lösung über /restrictedAdmin
Member: DerWoWusste
DerWoWusste Dec 06, 2022 at 10:19:03 (UTC)
Goto Top
Setze remote credential guard uns starte mstsc als administrator, mit dem du dich verbinden willst - das geht.
Member: watIsLos
watIsLos Dec 06, 2022 at 10:19:38 (UTC)
Goto Top
Es ist ein Win 2016 STD, 1607 aktueller Stand.


Zitat von @papapishu:
Member: watIsLos
watIsLos Dec 06, 2022 at 10:21:12 (UTC)
Goto Top
Zitat von @DerWoWusste:

Setze remote credential guard uns starte mstsc als administrator, mit dem du dich verbinden willst - das geht.

gerade ausprobiert, dann kommt genau die gleiche Meldung
Member: DerWoWusste
DerWoWusste Dec 06, 2022 at 10:25:24 (UTC)
Goto Top
Dann ist auf dem Server was faul. Oder, auch sehr gut möglich, du hast auf deinen DCs noch nicht die Korrekturupdates (out-of-band) drauf.
Member: watIsLos
watIsLos Dec 06, 2022 at 10:31:05 (UTC)
Goto Top
sind das spezielle Korrekturupdates die nicht automatisch runtergeladen werden?
Member: DerWoWusste
DerWoWusste Dec 06, 2022 at 10:33:18 (UTC)
Goto Top
So ist es!
Member: DerWoWusste
DerWoWusste Dec 06, 2022 at 10:34:12 (UTC)
Goto Top
Aber ich sehe gerade: du nutzt ja die IP. Teste es bitte mal mit dem FQDN server.dom.local z.B.
Member: watIsLos
watIsLos Dec 06, 2022 at 10:40:55 (UTC)
Goto Top
ja, habe es auch über den Namen probiert genau das gleiche...
Member: watIsLos
watIsLos Dec 06, 2022 at 10:45:13 (UTC)
Goto Top
Ob das eventuell doch an dem Server hängt wie Du schon sagtest mit den Korrekturupdates...
Nur welches Update genau?
Member: DerWoWusste
DerWoWusste Dec 06, 2022 at 10:52:43 (UTC)
Goto Top
"Nur welches Update genau?" - es gibt immer und zu jeder Zeit nur ein Update für das OS. Das letzte kumulative Update. Such es dir hier raus: https://support.microsoft.com/en-us/topic/windows-10-update-history-e605 ... (ich kenne das OS deines DCs noch nicht9.
Member: papapishu
papapishu Dec 06, 2022 at 10:55:18 (UTC)
Goto Top
Check mal mit winver die genaue Windows Version von Client und Server.
Ich würde das noch über einen anderen Client und Server testen, so kannst du ausschließen, dass es am Client oder Server liegt.

Ansonsten ist vielleicht die Datei, die hier für CredSSP angegeben ist nicht die korrekte Version auf dem Server oder beschädigt? Gleiches auch mal auf dem Client testen.
Mal anschauen und mit sfc prüfen. Die Version müsste ja neuer sein als die angegebene: TSpkg.dll version with CredSSP update: 10.0.14393.2248

https://learn.microsoft.com/en-us/troubleshoot/azure/virtual-machines/cr ...
Member: watIsLos
watIsLos Dec 06, 2022 at 10:56:10 (UTC)
Goto Top
Ich lasse mal meinen Client nochmal komplett was Updates geht checken, kann ja nicht sein...
Member: watIsLos
watIsLos Dec 06, 2022 at 12:06:56 (UTC)
Goto Top
Habe es gerade auch auf einem Neuen Win 2019 STD Server ausprobiert, genau das gleiche es wird kein Eingeschränkter Administrationsmodus angezeigt obwohl auch hier der Regedit eingetragen ist.
6
5
Member: DerWoWusste
DerWoWusste Dec 06, 2022 updated at 12:42:45 (UTC)
Goto Top
Wenn remotecredentialguard verwendet wird, steht im Log auch nichts von restrictedadminmode. Ist was anderes, ich finde es so besser.
Member: watIsLos
watIsLos Dec 06, 2022 at 13:31:49 (UTC)
Goto Top
Ich habe das Problem gefunden... es ist wirklich unglaublich....
Beim Regedit Eintrag war zum Schluß noch eine Leerzeile drin, deswegen hat er dieses DisableRestrictedAdmin nicht als solches erkannt....

Ich gehe wieder schlafen...
Danke
7