Server 2008 R2 - ausgesperrt
Hallo,
mein Kollege ist auf die Idee gekommen unseren Windows Server 2008 R2 (Online) besser abzusichern. Erstmal nicht schlecht, leider hat er dabei einen gewaltigen Bock geschossen.
Als ich mich anmelden wollte erhalte ich nun als Admin folgende Meldung:
Sie müssen über das Recht "Anmeldung über Terminaldienste zulassen" verfügen, um sich an diesem Remotecomputer anmelden zu können.
Laut ihm hat er nur in den GPO beim Recht "Anmeldung über Terminaldienste verweigern" die Gruppe "Benutzer" hinzugefügt. Ich kann aktuell noch über Plesk auf die Dateistruktur zugreifen und auch sämtliche WebAnwendungen laufen noch ohne Probleme.
Kann ich irgendwie das Recht wieder rausnehmen, Skript in den Autostart schieben oder irgendwelche anderen Ideen? Oder einzelne Ordner aus dem letzten Snapshot ersetzen lassen? Ich bin hier auf 180... komplettes Backup will ich eigentlich nicht aufspielen.
mein Kollege ist auf die Idee gekommen unseren Windows Server 2008 R2 (Online) besser abzusichern. Erstmal nicht schlecht, leider hat er dabei einen gewaltigen Bock geschossen.
Als ich mich anmelden wollte erhalte ich nun als Admin folgende Meldung:
Sie müssen über das Recht "Anmeldung über Terminaldienste zulassen" verfügen, um sich an diesem Remotecomputer anmelden zu können.
Laut ihm hat er nur in den GPO beim Recht "Anmeldung über Terminaldienste verweigern" die Gruppe "Benutzer" hinzugefügt. Ich kann aktuell noch über Plesk auf die Dateistruktur zugreifen und auch sämtliche WebAnwendungen laufen noch ohne Probleme.
Kann ich irgendwie das Recht wieder rausnehmen, Skript in den Autostart schieben oder irgendwelche anderen Ideen? Oder einzelne Ordner aus dem letzten Snapshot ersetzen lassen? Ich bin hier auf 180... komplettes Backup will ich eigentlich nicht aufspielen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 294352
Url: https://administrator.de/contentid/294352
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
hat der Server nen KVMPort über den Du zugreifen kannst, als wärst Du lokal?
Ansonsten hinfahren und lokal anmelden.
Selbst DER Administrator ist mitglied der Gruppe Domänen-Benutzer.... Dumm da mit Verweigerung zu arbeiten.
Es reicht nur der Gruppe der Domänen-admins oder einer Speziellen Gruppe das Recht zu geben das die dürfen, alle die nicht dürfen dürfen auch automatisch nischt.
Davon abgesehen ist RDP OHNE VPN eine gans BLÖDE Idee
Oder über RSAT Tools die GPO bearbeiten und warten bis die neu gezogen wurde. Stichwort Remoteverwaltung und so.. wenn die Firewall das mit macht. VPN ist immer eine Gute Idee
Gruß
Chonta
hat der Server nen KVMPort über den Du zugreifen kannst, als wärst Du lokal?
Ansonsten hinfahren und lokal anmelden.
Selbst DER Administrator ist mitglied der Gruppe Domänen-Benutzer.... Dumm da mit Verweigerung zu arbeiten.
Es reicht nur der Gruppe der Domänen-admins oder einer Speziellen Gruppe das Recht zu geben das die dürfen, alle die nicht dürfen dürfen auch automatisch nischt.
Davon abgesehen ist RDP OHNE VPN eine gans BLÖDE Idee
Oder über RSAT Tools die GPO bearbeiten und warten bis die neu gezogen wurde. Stichwort Remoteverwaltung und so.. wenn die Firewall das mit macht. VPN ist immer eine Gute Idee
Gruß
Chonta
Hi,
DER lokale Administrator ist standardmäßig kein Mitglieder der lokalen Benutzer.
Ist der Server Mitglied einer Domäne? Falls ja, einfach über GPO diese Einstellung wieder rückgängig machen. Oder mit dem lokalene Admin versuchen.
Falls nein: Ist der Server vollkommen dicht (Firewall) oder kann man ihn remote verwalten? Falls ja, dann eben remote diese Einstellung wieder rückgängig machen.
Ansonsten bleibt bloss der Zugriff direkt auf die Konsole. Also direkt an der Hardware, KVM-Switch, oder falls ein VM über die ensprechende Konsole des verwendeten Hypervisors.
E.
DER lokale Administrator ist standardmäßig kein Mitglieder der lokalen Benutzer.
Ist der Server Mitglied einer Domäne? Falls ja, einfach über GPO diese Einstellung wieder rückgängig machen. Oder mit dem lokalene Admin versuchen.
Falls nein: Ist der Server vollkommen dicht (Firewall) oder kann man ihn remote verwalten? Falls ja, dann eben remote diese Einstellung wieder rückgängig machen.
Ansonsten bleibt bloss der Zugriff direkt auf die Konsole. Also direkt an der Hardware, KVM-Switch, oder falls ein VM über die ensprechende Konsole des verwendeten Hypervisors.
E.
Hi.
Wenn Du remote Skripte ausführen kannst, kannst Du diese Einstellung sicherlich auch wieder entfernen. Dazu auf einem anderen System mit secedit exportieren und wieder importieren. https://technet.microsoft.com/en-us/library/hh875548.aspx
Wenn Du remote Skripte ausführen kannst, kannst Du diese Einstellung sicherlich auch wieder entfernen. Dazu auf einem anderen System mit secedit exportieren und wieder importieren. https://technet.microsoft.com/en-us/library/hh875548.aspx
pack folgendes in ein Skript:
secedit.exe /export /cfg recover.txt
Anschließend schnappst du dir die Datei und löscht du in der Zeile alles hinter dem Gleichheitszeichen
SeDenyRemoteInteractiveLogonRight = *S-1-5-...
Abschließend schiebst du die config wieder hoch
secedit.exe /import...Import funktioniert nicht so einfach
Hatte nur den export getestet...
Mein Tipp, installiere VNC oder TeamViewer über ein Skript und dann kannst du dich auf der Konsole anmelden.
secedit.exe /export /cfg recover.txt
Anschließend schnappst du dir die Datei und löscht du in der Zeile alles hinter dem Gleichheitszeichen
SeDenyRemoteInteractiveLogonRight = *S-1-5-...
Abschließend schiebst du die config wieder hoch
Hatte nur den export getestet...
Mein Tipp, installiere VNC oder TeamViewer über ein Skript und dann kannst du dich auf der Konsole anmelden.
@Cloudy
Ja, wenn das getestet klappt, warum nicht
Ja, wenn das getestet klappt, warum nicht
Ich hoffe mal, dass Du den Edit von cloudy bemerkt hast...
@Cloudy: schreib nächstes Mal einen neuen Kommentar, dann wird er auch benachrichtigt.
@Cloudy: schreib nächstes Mal einen neuen Kommentar, dann wird er auch benachrichtigt.
du sagst, im Plesk kannst du Befehle ausführen?
winrm quickconfig für remoteverwaltung
oder für Powershell Grant-RDOUAccess (https://technet.microsoft.com/de-de/library/jj215451.aspx)
zur not Enable-PSRemoting, dann (lokal auf der Powershell mit Enter-PSSession -credentials auf den Server einloggen)
Get-GPRegistryValue
Get-GPPrefRegistryValue
Set-GPRegistryValue
Set-GPPrefRegistryValue
Ist etwas Fummelei, aber dürfte dann wohl auch zum Ziel führen.
https://technet.microsoft.com/de-de/library/ee461027.aspx
winrm quickconfig für remoteverwaltung
oder für Powershell Grant-RDOUAccess (https://technet.microsoft.com/de-de/library/jj215451.aspx)
zur not Enable-PSRemoting, dann (lokal auf der Powershell mit Enter-PSSession -credentials auf den Server einloggen)
Get-GPRegistryValue
Get-GPPrefRegistryValue
Set-GPRegistryValue
Set-GPPrefRegistryValue
Ist etwas Fummelei, aber dürfte dann wohl auch zum Ziel führen.
https://technet.microsoft.com/de-de/library/ee461027.aspx