122501
Jan 14, 2016
24352
9
0
Benutzer können nicht mehr auf Terminalserver zugreifen "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zu Remoteanmeldung autorisiert ist."
Hallo,
ich habe momentan ein rießen Problem; das Ganze hat gestern angefangen:
ich habe mehrere Beschwerden von Mitarbeitern erhalten - sie könnten nicht mehr per RDP auf den Server zugreifen.
Nach einem Blick in die AD fällt mir auf, dass alle Benutzer bis auf einen einzigen plötzlich nicht mehr in der Gruppe "Remotedesktopbenutzer" waren.
Ich habe die Benutzer also neu eingetragen - dies hat leider nur kurzfristig abhilfe geschaffen, da die Benutzer nach ~10 Minuten wieder aus der Gruppe gelöscht wurden. Den logs kann ich NICHTS entnehmen - was zum Teufel Microsoft?!?
Also habe ich es anders versucht und die Benutzer in die GPO eingetragen:
-> Computerkonfiguration
-> Richtlinien
-> Windows-Einstellungen
-> Sicherheitseinstellungen
-> Lokale Richtlinien
-> Zuweisen von Benutzerrechten
-> Anmelden über Remotedesktopdienste zulassen
Das hat dann für den Rest des Tages auch so funktioniert. Jetzt am nächsten Tag, nach einem Neustart (Updates), geht das ganze wieder los. Und das obwohl die Benutzer immer noch in der Gruppenrichtlinie eingetragen waren. Ich blicke nicht mehr durch...
Über eure Hilfe würde ich mich sehr freuen!
Es dreht sich übrigens um einen Windows Server 2012
Beste Grüße,
Sven
ich habe momentan ein rießen Problem; das Ganze hat gestern angefangen:
ich habe mehrere Beschwerden von Mitarbeitern erhalten - sie könnten nicht mehr per RDP auf den Server zugreifen.
Nach einem Blick in die AD fällt mir auf, dass alle Benutzer bis auf einen einzigen plötzlich nicht mehr in der Gruppe "Remotedesktopbenutzer" waren.
Ich habe die Benutzer also neu eingetragen - dies hat leider nur kurzfristig abhilfe geschaffen, da die Benutzer nach ~10 Minuten wieder aus der Gruppe gelöscht wurden. Den logs kann ich NICHTS entnehmen - was zum Teufel Microsoft?!?
Also habe ich es anders versucht und die Benutzer in die GPO eingetragen:
-> Computerkonfiguration
-> Richtlinien
-> Windows-Einstellungen
-> Sicherheitseinstellungen
-> Lokale Richtlinien
-> Zuweisen von Benutzerrechten
-> Anmelden über Remotedesktopdienste zulassen
Das hat dann für den Rest des Tages auch so funktioniert. Jetzt am nächsten Tag, nach einem Neustart (Updates), geht das ganze wieder los. Und das obwohl die Benutzer immer noch in der Gruppenrichtlinie eingetragen waren. Ich blicke nicht mehr durch...
Über eure Hilfe würde ich mich sehr freuen!
Es dreht sich übrigens um einen Windows Server 2012
Beste Grüße,
Sven
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 293061
Url: https://administrator.de/contentid/293061
Printed on: April 19, 2024 at 18:04 o'clock
9 Comments
Latest comment
Hallo,
dafür musstest du eine neue Frage erstellen?
Benutzer werden automatisch aus einer Sicherheitsgruppe gelöscht??
Die GPO wurde auch tatsächlich auf dem Server angewendet? Bei jedem Neustart wird sie ja wieder angewendet. Aus der GPO können die Einträge schlecht entfernt werden. Hat sich der Server an der Domäne über einen Domänencontroller angemeldet, der die GPO noch nicht repliziert hat oder, der mit der GPO nichts anfangen kann (alte Server Version)?
Hast du das mit der Testgruppe mal probiert?
An tikayevent's Kommentar könnte auch etwas dran sein.
Grüße Winary
dafür musstest du eine neue Frage erstellen?
Benutzer werden automatisch aus einer Sicherheitsgruppe gelöscht??
Die GPO wurde auch tatsächlich auf dem Server angewendet? Bei jedem Neustart wird sie ja wieder angewendet. Aus der GPO können die Einträge schlecht entfernt werden. Hat sich der Server an der Domäne über einen Domänencontroller angemeldet, der die GPO noch nicht repliziert hat oder, der mit der GPO nichts anfangen kann (alte Server Version)?
Hast du das mit der Testgruppe mal probiert?
An tikayevent's Kommentar könnte auch etwas dran sein.
Grüße Winary
Denke schon, da ich gestern ja noch gar nicht mit den Gruppenrichtlinien gearbeitet habe und somit das Problem eine ganz andere Dimension annimmt..
Ja die GPO wird definitiv auf dem Server angewendet da er ja auch gleichzeitig der AD DS Server ist.
Protected Groups gibt es ja erst ab Win srvr 2012 R2
Ja die GPO wird definitiv auf dem Server angewendet da er ja auch gleichzeitig der AD DS Server ist.
Protected Groups gibt es ja erst ab Win srvr 2012 R2
Ich verstehe nicht warum Windows nicht wenigstens ein Event loggt wenn automatisch Benutzer aus einer Gruppe gelöscht werden..
Er macht es nicht weil du ihm nicht gesagt hast, dass er es machen soll. Standardmäßig loggt er nur das Nötigste. Du kannst aber die ADDS-Überwachung für bestimmte Objekte, hier Gruppen, einschalten.
So konfigurieren Sie die Überwachung für bestimmte Active Directory-Objekte
0. Aktiviere die Überwachungsrichtlinie, so wie in der Quelle beschrieben. Welche Richtlinie genau du da definieren musst in der DDCP-GPO kann ich nicht sagen. Spontan hätte ich gesagt "Verzeichnisdienstzugriff überwachen".
1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltungund klicken Sie dann auf Active Directory-Benutzer und-Computer.
2. Stellen Sie sicher, dass Erweiterte Funktionen , im Menü Ansicht ausgewählt ist sicher, dass der Befehl ein Häkchen hat.
3. Maustaste auf Active Directory-Objekt, das Sie überwachen möchten, und klicken Sie auf Eigenschaften.
4. Klicken Sie auf die Registerkarte Sicherheit , und klicken Sie dann auf Erweitert.
5. Klicken Sie auf die Registerkarte Überwachung , und klicken Sie dann auf Hinzufügen.
6. Führen Sie einen der folgenden:
- Geben Sie den Namen des Benutzers oder der Gruppe, deren Zugriff Sie im Feld Geben Sie die zu verwendenden Objektnamen überwachen
möchten, und klicken Sie dann auf OK.
- Doppelklicken Sie in der Liste der Namen der Benutzer oder die Gruppe, deren Zugriffe Sie überwachen möchten.
7. Aktivieren Sie das Kontrollkästchen erfolgreich oder Fehler -Kontrollkästchen für die zu überwachenden Aktionen, und klicken Sie dann auf OK.
8. Klicken Sie auf OK, und klicken Sie dann auf OK.
Quelle
Als Prinzipal für Schritt 6 solltest du die Gruppe Jeder nehmen. Die standardmäßigen beiden Überwachungen loggen keine Veränderungen. "Löschen" bedeutet nur, dass geloggt wird wenn die Gruppe gelöscht wird.
Edit: Das ist zwar für Server 2008, aber lässt sich vielleicht doch verändert anwenden: http://blog.dikmenoglu.de/2007/11/active-directory-domain-services-ad-d ...
Da steht aber auch was von rechtlichen Einschränkungen. ich vermute nicht, dass ihr einen betriebsrat habt, oder?
Edit 2: Alternativ dazu könntest du einen Task erstellen, der ein Powershell-Skript mit einen oder mehreren "Add-ADGroupMember"-Cmdlets ausführt, welches der RD-Benutzergruppe immer wieder die Benutzer hinzufügt.
So konfigurieren Sie die Überwachung für bestimmte Active Directory-Objekte
0. Aktiviere die Überwachungsrichtlinie, so wie in der Quelle beschrieben. Welche Richtlinie genau du da definieren musst in der DDCP-GPO kann ich nicht sagen. Spontan hätte ich gesagt "Verzeichnisdienstzugriff überwachen".
1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltungund klicken Sie dann auf Active Directory-Benutzer und-Computer.
2. Stellen Sie sicher, dass Erweiterte Funktionen , im Menü Ansicht ausgewählt ist sicher, dass der Befehl ein Häkchen hat.
3. Maustaste auf Active Directory-Objekt, das Sie überwachen möchten, und klicken Sie auf Eigenschaften.
4. Klicken Sie auf die Registerkarte Sicherheit , und klicken Sie dann auf Erweitert.
5. Klicken Sie auf die Registerkarte Überwachung , und klicken Sie dann auf Hinzufügen.
6. Führen Sie einen der folgenden:
- Geben Sie den Namen des Benutzers oder der Gruppe, deren Zugriff Sie im Feld Geben Sie die zu verwendenden Objektnamen überwachen
möchten, und klicken Sie dann auf OK.
- Doppelklicken Sie in der Liste der Namen der Benutzer oder die Gruppe, deren Zugriffe Sie überwachen möchten.
7. Aktivieren Sie das Kontrollkästchen erfolgreich oder Fehler -Kontrollkästchen für die zu überwachenden Aktionen, und klicken Sie dann auf OK.
8. Klicken Sie auf OK, und klicken Sie dann auf OK.
Quelle
Als Prinzipal für Schritt 6 solltest du die Gruppe Jeder nehmen. Die standardmäßigen beiden Überwachungen loggen keine Veränderungen. "Löschen" bedeutet nur, dass geloggt wird wenn die Gruppe gelöscht wird.
Edit: Das ist zwar für Server 2008, aber lässt sich vielleicht doch verändert anwenden: http://blog.dikmenoglu.de/2007/11/active-directory-domain-services-ad-d ...
Da steht aber auch was von rechtlichen Einschränkungen. ich vermute nicht, dass ihr einen betriebsrat habt, oder?
Edit 2: Alternativ dazu könntest du einen Task erstellen, der ein Powershell-Skript mit einen oder mehreren "Add-ADGroupMember"-Cmdlets ausführt, welches der RD-Benutzergruppe immer wieder die Benutzer hinzufügt.
Ich habe die Benutzer in die Gruppenrichtlinie der Domäne eingetragen und dann noch in der lokalen GPO (gpedit.msc) geprüft ob die Nutzer übernommen wurden. Und ja die Benutzer wurden übernommen! Das muss doch Windows dazu zwingen den Benutzer zuzulassen, oder?
Ja, aber das zulassen scheint in dem Fall nicht das Problem zu sein, sondern dass da irgendetwas ist, das diese Konfiguration nicht zulässt und entfernt. Und das musst du erstmal herausbekommen. Grundsätzlich muss man aber auch sagen, dass man keinen DC und RD-Sitzungshost auf derselben Maschine laufen lässt. Ich würde nicht wollen, dass meine Nutzer meine Domänendienste sehen können, selbst wenn sie keinen Zugriff darauf haben sollten.
LÖSUNG: Die Benutzergruppe war in der GPO als eingeschränkte Gruppe eingetragen - dadurch wurden Änderungen verhindert.
Na super, freut mich. Da ich noch nie eingeschränkte Gruppen im Einsatz gesehen habe, wäre ich da nicht drauf gekommen. Zumindest hatte ich recht, dass da etwas ist, das die Konfiguration nicht zulässt. 
Jetzt musst du aber auch überprüfen, ob das nicht negative Auswirkungen hat, wenn du die Gruppe daraus entfernt hast. Die waren ja sicher nicht ohne Grund darin.
Markiere die Frage noch als gelöst. In der anderen Frage am besten auch mit einem Link auf die Frage hier.
Zumindest hatte ich recht, dass da etwas ist, das die Konfiguration nicht zulässt. Jetzt musst du aber auch überprüfen, ob das nicht negative Auswirkungen hat, wenn du die Gruppe daraus entfernt hast. Die waren ja sicher nicht ohne Grund darin.
Markiere die Frage noch als gelöst. In der anderen Frage am besten auch mit einem Link auf die Frage hier.
Ich habe die Gruppe nicht aus den eingeschränkten Gruppen entfernt, sondern lediglich innerhalb dieser Gruppe die Benutzer hinzugefügt.
