bizzy1
Goto Top

Remote Desktop nicht möglich - Domäne A zu Domäne B

Hallo zusammen,

ich schwirre hier schon etwas länger herum, aber bisher war es nie nötig mich zu registrieren, weil ich alle Problemfälle schon mal in Diskussionen im Board lösen konnte.

Diesmal ist es etwas anders, ich habe leider keinen Ansatz gefunden und weiß auch nicht wonach ich da suchen sollte, deshalb einfach meine Frage.

Falls ich in diesem Thema falsch bin, bitte ich von doofen Sprüchen abzusehen und diese Frage in das entsprechende Thema zu verschieben.

Ich habe an einem Standort einen Server eingerichtet mit einer Domäne (DomäneA), welcher schon eine ganze Weile steht und auch funktioniert wie er soll.

Jetzt kam allerdings ein Server an einem entfernten Standort dazu, der für sich auch perfekt läuft. Auf ihm habe ich ebenfalls eine Domäne eingerichtet (DomäneB).

Ich war bisher völlig zufrieden, bis es dazu kam per Windows Remote Desktop auf den Server mit DomäneA zuzugreifen.

Mein Problem ist nun, dass ich mit den Clients an Standort B zwar durch die Anmeldung für Remote Desktop komme, dann aber bei der Anmeldung am Computer selbst gesagt wird, der Benutzer hätte nicht die nötige Berechtigung (siehe Bild). Das hat bisher aber immer gut funktioniert, nur seitdem DomäneB eingerichtet ist und die Clients im Netzwerk auch dieser beigetreten sind tritt dieses Problem auf.
Es handelt sich an beiden Standorten um Windows Server 2012 R2.

unbenannt

Ich hoffe ihr habt eine Lösung dafür.

Danke schonmal.
bizzy

Content-Key: 309307

Url: https://administrator.de/contentid/309307

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: itisnapanto
itisnapanto 08.07.2016 um 14:36:45 Uhr
Goto Top
Mal ganz blöd gefragt .

Wenn du dich von Domäne A an als Admin an einen PC an Domäne B anmeldest . Gibst du dann auch die Domäne von Domäne B mit an.
klappt es mit dem Administratorkonto auch nicht ?

Gruss
Michael
Mitglied: rzlbrnft
rzlbrnft 08.07.2016 um 20:24:53 Uhr
Goto Top
Hast du denn einen Trust eingerichtet und wenn ja funktioniert der auch?
Mitglied: bizzy1
bizzy1 08.07.2016 aktualisiert um 21:31:48 Uhr
Goto Top
Ja, ich habe mittlerweile alle Möglichkeiten ausprobiert...mit, ohne, DomäneA, DomäneB...

Was man da halt aus verzweiflung tut :D

Das habe ich vergessen zu erwähnen, mit dem Administrator Konto klappt das einloggen ganz ohne Probleme, aber ich möchte die Mitarbeiter ja nur als Benutzer haben.

Edit:
Ich weiß nicht was damit gemeint ist, rzlbrnft. Wie richtet man denn einen Trust ein?
Mitglied: Pjordorf
Pjordorf 09.07.2016 um 01:27:12 Uhr
Goto Top
Hallo,

Zitat von @bizzy1:
Ja, ich habe mittlerweile alle Möglichkeiten ausprobiert
Glaube ich nicht.... sonst wärst du reingekommen.

Benutzer aus Domäne A will RDP Auf Rechner Domäne B dazu muss er sich mit Benutzerdaten von Domäne B anmelden z.B. "DomäneB\Meier" und dessen Passworrt und schwupps... (sofern der benutzer "DomäneB\Meier" auch berechtigt ist RDP dort zu machen. Umgekehrt genau das gleiche - ein Benutzer der RDP zu einen Rechner DomäneA machen will muss sich folglich mit Benutzerdaten aus DomäneA anmelden - z.B. "DomäneA\Meier" und dessen Passwort und schwupps ist er drin - sofern der benutzer "DomäneA\Meier" berechtigt ist RDP zu machen. Beide Benutzer "Meier" können sogar anders lautende Passwörter haben - sind ja schließlich zwei komplett verschiedene Benutzer.
Alternative:
Trust oder im deutschen "Vertrauensstellung", Dann Vertraut DomäneA eben alles aus der DomäneB und DomäneB vertraut darauf das alles aus DomäneA korrekt ist. Ist halt alles eine vertrauensfrage face-smile

Das habe ich vergessen zu erwähnen, mit dem Administrator Konto klappt das einloggen ganz ohne Probleme, aber ich möchte die Mitarbeiter ja nur als Benutzer haben.
Deutet daraufhin das die Benutzer eben kein RDP machen dürfen. Am Server dürfen nur Administratoren RDP im Normalfall, alles andere erfordert dein gezieltes erlauben. Am Terminal Server bzw. wenn dessen Rolle Installiert ist, dürfen auch Domänen-Benutzer per RDP - also die Anwendungen nutzen. Admins machen fast nur Verwaltung und Wartung - daher dürfen die immer. Hast du eine Terminal Server bzw. RDS - braucht natürlich noch zusätzlich zu erwerbende Lizenzen?

Nur weil man einen Server besitzt und eine Domäne eingerichtet hat hat man noch lange kein TS bzw. RDS. TS bzw. RDS wird auch nicht auf DC mehr laufen - war auch noch nie von MS ein supportetes Szenario. da braucht es neben deiner 2 DCs noch 2 Server (Bleche/VMs) für dein TS / RDS.

Gruß,
Peter
Mitglied: bizzy1
bizzy1 10.04.2017 um 11:14:16 Uhr
Goto Top
Nur zur Aufklärung:
Diese Meldung, die erschienen ist als ich mich per RDP "lokal" einloggen wollte, kommt wenn die Rechte, wie schon angezeigt, nicht genügen.

Es gab eine einfache Lösung zur komplizierten Frage.
In der Grouppolicy gibt es einen Eintrag "Anmelden über Remotedesktopdienste zulassen" bzw "...verweigern".
Bei zulassen stand ein Benutzer. Dadurch wurden alle anderen als verweigert angesehen.
Diesen einzelnen Nutzer herausgenommen und eine Gruppe eingefügt.
Voilá.


Bei Interesse der Pfad zum Richtlinien-Eintrag:
Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten
Mitglied: Pjordorf
Pjordorf 10.04.2017 um 11:25:51 Uhr
Goto Top
Hallo,

Danke für deine Rückmeldung.

Zitat von @bizzy1:
Bei zulassen stand ein Benutzer. Dadurch wurden alle anderen als verweigert angesehen.
Diesen einzelnen Nutzer herausgenommen und eine Gruppe eingefügt.
Wir können nicht wissen das ihr dort einzelne benutzer einträgt. Normalerweise werden dort immer nur Gruppen eingetargen (So wird es halt seit Windows 2000 gemacht). Wir Admins arbeiten halt mit Gruppen und nicht mit Benutzer wenn es sich vermeiden lässt. Und es ist nicht unsere Aufgabe jedes einzelne gestzte Bit in deiner Umgebung abzufragen zumal du
Das hat bisher aber immer gut funktioniert,
geschrieben hast. Selbst auf so einfache Fehler kommt dann ein Systemadmin nicht auch wenn die meisten von uns schon fast alle existierende Fehlermeldungen gesehen hat.Mir fällt auch grad keine Anleitung ein wo drin steht "dort einen Benutzer einzutragen" ....

Aber trotzdem danke für die Aufklärung und das aufzeigen das auch wir nicht alles berücksichtigen und mitunter auch die Fehlerbeschreibung oder Antworten nicht akribisch auswerten... face-smile

Gruß,
Peter
Voilá.


Bei Interesse der Pfad zum Richtlinien-Eintrag:
Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten