Remote Desktop Anmeldung in AD für User geht nicht?

hans-tu-was
Goto Top
Hallo Leute!
Möchte gerne in Zukunft Win2008R2 Server einsetzen, teste eine Demoversion. Bei der User Remotedesktop Verbindung, erhalte folgende Meldung.

539df21e6e2e84eb0ee30e70ec1c30ab

Diese Meldung wurde schon einmal hier im Forum behandelt, die allerdings für eine alte Serverversion.

Daten:
WIN2008R2 Server inkl. AD Rolle, DNS Rolle und einen AD Benutzer hinzugefügt inkl. das Recht/Gruppe "Remotedesktopbenutzer".
Rollen auf empfohlene Standards belassen.
Remotedesktop ist auf der selben CPU (Ich weiss ist nicht empfohlen, würde aber nicht mehr als Dateifreigabe, 5 Remotes machen wollen )

Kann mich aber nur als Admin per Remote anmelden, der neue User eben nicht. Und den Usern Adminrechte - nö - das geht nicht.
Ich finde die Berechtigung nicht wo man das sonst noch einstellen könnte. Sooft ich auch die Meldung lese, ich komm´nicht drauf.

Mehr als beim AD Benutzer -> die Gruppe "Remotedesktopbenutzer" hinzufügen sollte es doch nicht sein, oder?

Bitte um einen Tip für meine Blockade!
Liebe Grüße - Hans

Content-Key: 163405

Url: https://administrator.de/contentid/163405

Ausgedruckt am: 28.06.2022 um 19:06 Uhr

Mitglied: Suppi250
Suppi250 26.03.2011 um 18:55:18 Uhr
Goto Top
Hallo Hans,

schau mal im Active-Directory direkt in den Eigenschaften des User-Accounts nach. Auch hier muss erlaubnis gesetzt werden.

LG
Suppi250
Mitglied: bibi52
bibi52 26.03.2011 um 19:24:36 Uhr
Goto Top
Hallo,

zum einem musst Du die jeweiligen User in
die Gruppe der Remotedesktop Benutzer reinheben.
Die Gruppe findest Du bei "Builtin" im Active Directory.
Aber das hast ja wohl schon gemacht.

Soweit ich mich noch erinnern kann muss man in den
Gruppenrichtlinien noch etwas einstellen um diversen
das Recht zu geben sich am Server anmelden zu dürfen.

Normalen Domänenbenutzern ist das ja nicht gestattet.

Gruß
Christian
Mitglied: hans-tu-was
hans-tu-was 28.03.2011 um 11:17:45 Uhr
Goto Top
Hallo Suppi250!

Danke für Deinen Tip. Das habe ich gemacht, User angelegt, Remotedesktopbenutzer als Gruppe hinzugefügt. Unter Eigenschaften -> Reiter: Remotedesktopdiense-Profil nachgeschaut ob "Anmeldung bei Remotedesktop-Sitzungshostserver für diesen Benutzer nicht zulassen" ausgeklickt ist (also zugelassen).


Du schreibt in Deiner Formulierung - man muss aktiv was freischalten. Hast Du meine beschriebene Sache gemeint, weil hier war das zulassen gleich aktiv (also nicht verweigert)?

LG - Hans

Also der AD Benutzer ist in der Gruppe: Domänen-Benutzer und Remotedesktopbenutzer
Mitglied: hans-tu-was
hans-tu-was 28.03.2011 um 11:50:55 Uhr
Goto Top
Hallo Christian!
Danke für die Antwort. Ja, den AD Benutzer habe ich in die Gruppe der Remotedesktopbenutzer hinzugefügt.
Du beschreibst es umgekehrt. In der RDP Gruppe den Benutzer hinzufügen. Habs geprüft - dort ist er eingetragen.

Gruppenrichtlinie: Guter Tip - geht aber trotzdem nicht, auch nach Neustart oder zuvor gpudate /force.
Default Doamin Policy - Computerkonfig.. - Richtlinien - Amdinistrat... Windsows Komp..- Remotedesktopdien... -
Remotedesktopsitzungs-Host -> Verbindungen -> "Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen" -> aktiviert.

Vielleicht ist es da aber gar nicht. Ich tu mir mit der GPU etwas schwer (überhaupt etwas zu finden und zu wissen was für was ist).

LG - Hans
Mitglied: hans-tu-was
hans-tu-was 28.03.2011 um 12:42:39 Uhr
Goto Top
Habe im Server-Manager auch eine Meldung die ich nicht nachvollziehen kann:
Problem:
Die Gruppe "Remotedesktopbenutzer" auf dem Remotedesktop-Sitzungshostserver enthält keine Domänenbenutzer oder -gruppen.

Auswirkung:
Wenn die Gruppe "Remotedesktopbenutzer" auf dem Remotedesktop-Sitzungshostserver keine Domänenbenutzer oder -gruppen enthält, können Benutzer zurzeit keine Verbindungen mit dem Remotedesktop-Sitzungshostserver herstellen.

Lösung:
Verwenden Sie die Registerkarte "Remote" im Dialogfeld "Systemeigenschaften", um der Gruppe "Remotedesktopbenutzer" Domänenbenutzer oder -gruppen auf dem Remotedesktop-Sitzungshostserver hinzuzufügen.
---
Das stimmt doch nicht, im AD Benutzer ist die Gruppe "Remotedesktopbenutzer" hinzugefügt worden. In der Gruppe selbst ist auch der User Mitglied.

Verzweiflung naht - Hans
Mitglied: bibi52
bibi52 28.03.2011 um 17:40:28 Uhr
Goto Top
Hallo Hans,

ich glaube jetzt habe ich es gefunden.

Dein Terminalserver läuft doch auf einem DC, oder?

Bei diesem ist standardmäßig eine GPO vorhanden die
besagt, dass sich ein normaler User nicht dort anmelden darf.

Ruf mal Deine GPO auf und klick Dich hier durch :
Computerkonfiguration-> Windows-Einstellungen-> Sicherheitseinstellungen-> Lokale Richtlinien-> Zuweisen von Benutzerrechten

Bei den einzelnen Punkten suchst Dir folgenden Eintrag raus:
Anmelden über Terminaldienste zulassen

Auf einem DC dürfte hier nur die Gruppe der Administratoren stehen.
Hier trägst jetzt die Gruppe der RDP-User ein.

Falls Du danach eine andere Fehlermeldung bekommen solltest
Irgendwas wegen einer interaktiven Anmeldung dann schau noch mal in den GPO´s rein ob
an diesen Einstellungen etwas ändern kannst.
Computerkonfiguration-> Windows-Einstellungen-> Sicherheitseinstellungen-> Lokale Richtlinien-> Sicherheitsoptionen

Dort suchst nach Einträgen die mit "interaktives Anmelden..." beginnen.

Gruß
Christian
Mitglied: hans-tu-was
hans-tu-was 28.03.2011 um 20:18:26 Uhr
Goto Top
Hallo Christian!

Super, genau das war es.

Tausend Dank.

LG - Hans