Remote Desktop nicht erlaubt, Berechtigung per GPO aber vergeben
Geschätzte Community!
Mir ist die Frage hochunangenehm, aber ich finde einfach meinen Fehler nicht. Vielleicht sieht ihn ja jemand von euch. Auch diversen Anleitungen des Internets, die ich in meiner Verzweiflung schon befragt habe, zufolge sollte das eigentlich so funktionieren, tut es aber nicht.
Folgendes Setup: Es wird über eine Gruppenrichtlinie die Einstellung Anmelden über Terminaldienste zulassen auf eine OU gesetzt. Hier wird die Gruppe GLOBAL_RD_USERS eingesetzt. Anmelden über Terminaldienste verweigern ist gemäß Microsoft Security Baseline auf "Lokales Konto" gesetzt.
Über gpresult ist zu sehen, dass diese Einstellungen am Client auch ankommt.
Möchte sich aber nun ein Benutzer, der Mitglied ebendieser GLOBAL_RD_USERS-Gruppe ist an diesem PC remote anmelden, so erhält er den Fehler "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".
Die Ereignisanzeige sagt:
- 4624: Konto wurde erfolgreich angemeldet (eben das Konto dieses Benutzers)
- 4627: Informationen zur Gruppenmitgliedschaft (ebendieses Kontos, enthält die GLOBAL_RD_USERS-Gruppe)
- 4825: Einem Benutzer wurde Der Zugriff auf Remotedesktop verweigert. Die Verbindung wird standardm,äßig nur Benutzern erlaubt, die Mitglied der Gruppe "Remotedesktopbenutzer" oder Administratoren sind.
Die Anmeldung via RDP von Administratoren auf den Maschinen ist aber ohne Probleme möglich.
Meinem Verständnis nach müsste ich die Gruppe durch die Einstellung Anmelden über Terminaldienste zulassen doch zu dieser Anmeldung zulassen, oder missverstehe ich da etwas?
Vielen Dank bereits im Vorhinein für eure Hilfe und Inputs!
Mir ist die Frage hochunangenehm, aber ich finde einfach meinen Fehler nicht. Vielleicht sieht ihn ja jemand von euch. Auch diversen Anleitungen des Internets, die ich in meiner Verzweiflung schon befragt habe, zufolge sollte das eigentlich so funktionieren, tut es aber nicht.
Folgendes Setup: Es wird über eine Gruppenrichtlinie die Einstellung Anmelden über Terminaldienste zulassen auf eine OU gesetzt. Hier wird die Gruppe GLOBAL_RD_USERS eingesetzt. Anmelden über Terminaldienste verweigern ist gemäß Microsoft Security Baseline auf "Lokales Konto" gesetzt.
Über gpresult ist zu sehen, dass diese Einstellungen am Client auch ankommt.
Möchte sich aber nun ein Benutzer, der Mitglied ebendieser GLOBAL_RD_USERS-Gruppe ist an diesem PC remote anmelden, so erhält er den Fehler "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist".
Die Ereignisanzeige sagt:
- 4624: Konto wurde erfolgreich angemeldet (eben das Konto dieses Benutzers)
- 4627: Informationen zur Gruppenmitgliedschaft (ebendieses Kontos, enthält die GLOBAL_RD_USERS-Gruppe)
- 4825: Einem Benutzer wurde Der Zugriff auf Remotedesktop verweigert. Die Verbindung wird standardm,äßig nur Benutzern erlaubt, die Mitglied der Gruppe "Remotedesktopbenutzer" oder Administratoren sind.
Die Anmeldung via RDP von Administratoren auf den Maschinen ist aber ohne Probleme möglich.
Meinem Verständnis nach müsste ich die Gruppe durch die Einstellung Anmelden über Terminaldienste zulassen doch zu dieser Anmeldung zulassen, oder missverstehe ich da etwas?
Vielen Dank bereits im Vorhinein für eure Hilfe und Inputs!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7560783276
Url: https://administrator.de/forum/remote-desktop-nicht-erlaubt-berechtigung-per-gpo-aber-vergeben-7560783276.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
5 Kommentare
Neuester Kommentar
@HansWurst22 Sofern der RDP Zugriff von anderen Clients aus funktioniert solltest du ggf mal die Firewall-Einstellungen auf den Clients vergleichen. Da muss auch einiges für passend stimmen.
Kreuzberger
Kreuzberger
Hi,
ich hoffe doch mal, Du hast in dieser GPO nicht bloß diese Gruppe "GLOBAL_RD_USERS"sondern auch "Remotedesktopbenutzer" bzw. "Remote Desktop Users".
Die Richtlinie "Anmelden über Terminaldienste zulassen" ist nicht additiv sondern ersetzend. Standardmäßig steht dort drin "Administratoren" und "Remotedesktopbenutzer". Wenn Du jetzt in der GPO nur noch "GLOBAL_RD_USERS" stehen haben solltest, dann können sich noch nicht mal mehr die in der Gruppe "Remotedesktopbenutzer" stehenden anmelden, sofern sie nicht gleichzeitig Mitglieder der lokalen Administratoren sind.
Ich empfehle, das nicht über diese Richtlinie zu machen sondern nur über die Mitgliedschaft in den "Remotedesktopbenutzer". Deren Mitglieder kann man auch über GPO steuern. Entweder über die Richtlinie "eingeschränkte Gruppen" oder über die Einstellung "lokale Benutzer und Gruppen".
E.
ich hoffe doch mal, Du hast in dieser GPO nicht bloß diese Gruppe "GLOBAL_RD_USERS"sondern auch "Remotedesktopbenutzer" bzw. "Remote Desktop Users".
Die Richtlinie "Anmelden über Terminaldienste zulassen" ist nicht additiv sondern ersetzend. Standardmäßig steht dort drin "Administratoren" und "Remotedesktopbenutzer". Wenn Du jetzt in der GPO nur noch "GLOBAL_RD_USERS" stehen haben solltest, dann können sich noch nicht mal mehr die in der Gruppe "Remotedesktopbenutzer" stehenden anmelden, sofern sie nicht gleichzeitig Mitglieder der lokalen Administratoren sind.
Ich empfehle, das nicht über diese Richtlinie zu machen sondern nur über die Mitgliedschaft in den "Remotedesktopbenutzer". Deren Mitglieder kann man auch über GPO steuern. Entweder über die Richtlinie "eingeschränkte Gruppen" oder über die Einstellung "lokale Benutzer und Gruppen".
E.