Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Gruppenrichtlinie: Keiner kann sich mehr anmelden! Hab Mist gebaut!

Mitglied: FragMaster

FragMaster (Level 1) - Jetzt verbinden

05.12.2006, aktualisiert 06.12.2006, 6342 Aufrufe, 6 Kommentare

Rechte sich lokal anzumelden eingeschränkt. Kein User kann sich mehr anmelden!

Hallo! Ich habe folgendes Problem:

Ich verwalte eine Aussenstelle in unserer Domäne und ich wollte sichergehen, dass sich keiner mehr lokal anmeldet sondern mit seinem Domänen-Benutzerkonto arbeitet. Dachte ich mir: Kein Problem, nimmste den Nutzern einfach die Möglichkeit, sich lokal anzumelden!

Die Aussenstelle hat eine eigene OU. Ich erstelle also in >MEINER< OU eine neue Gruppenrichtlinie. Dort definiere ich einzig die Funktion "Computerkonfiguration/Windows-Einst/Lokale Richtline/Zuweisen von Benutzerrechten/Lokale Anmeldung"
Dort trage ich ein "Administrator".
Damit die Richtlinie angewendet wird, trage ich bei "Sicherheit" eine Gruppe ein, die alle Nutzer meiner OU umfasst.

Meinem Verständniss nach dürfte sich ab jetzt nur noch der lokale Administrator >lokal< anmelden dürfen. Domänen-Anmeldung sollte unberührt bleiben. Ausserdem sollte die Einstellung sowieso nur in meiner, sowie untergeordneten OUs greifen!

Das ist passiert:

Zwei Stunden später läuft das Telefon heiß, Domänenweit(!!!) können sich die User nicht mehr anmelden: "Die Lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden!" Klasse!!! Schlimmeres konnte nur beherztes Eingreifen meines Mit-Admins verhindert werden. (Hat eingestellt, dass ComputerContainer keine GruRiLies erben). Was zum Teufel hab ich falsch gemacht?????

Da kann ich mich ja echt nichts mehr trauen, wenn ich bei jedem Scheiss, die Domäne abschieße!
Mitglied: 33425
05.12.2006 um 19:27 Uhr
Die Richtlinie lokal anmelden besagt im Allgemeinen wer sich dort lokal anmelden darf!

Da dies eine Computer-Policy ist, dürfte sich dies nur auf Computer auswirken, die sich in der OU befinden.

Vielleicht solltest du beim nächsten Mal die Konfiguration in einem Testnetz ausprobieren, bevor du an ein Live System gehst.

Deinen letzten Satz möchte ich lieber nicht kommentieren...

mfg
Schnitzelchen
Bitte warten ..
Mitglied: DaSam
05.12.2006 um 20:43 Uhr
Hola,

ich nehme mal an, dass Du genauso sorgfältig, wie Du den Sinn der Gruppenrichtlinien-Option "lokale Anmeldung verbieten" geprüft hast, auch die GPO gelinkt hast.

(BTW: GPO's werden nicht in einer OU erstellt, sondern für die entsprechende OU verknüpft).

Bei UNS hat es auch immer so funktioniert, dass die GPOs nur auf OU's angewendet werden, für welche sie auch verlinkt waren.

Andere Frage: Habt Ihr in der OU auch Benutzerkonten? Waren mit der eingeschränkten lokalen Anmeldung ALLE Domain Benutzer betroffen oder nur die, deren Benutzerkonto in der Aussenstellen-OU waren?

cu,
Alex
Bitte warten ..
Mitglied: Maik87
06.12.2006 um 08:00 Uhr
sry für die blöde frage, aber was heisst OU?
Bitte warten ..
Mitglied: gemini
06.12.2006 um 08:21 Uhr
sry für die blöde frage, aber was heisst OU?
Organizational Unit, ein Container zur Strukturierung in Verzeichnisdiensten (in FragMasters Fall wahrscheinlich Active Directory)
http://en.wikipedia.org/wiki/Organizational_Unit
Bitte warten ..
Mitglied: FragMaster
06.12.2006 um 10:37 Uhr
Hallo nochmal!

Verlinkt oder verknüpft habe ich garnix. Habe ich auf Standardeinstellung gelassen -möglicherweise liegt hier der Fehler.

Es waren alle Benutzer betroffen, deren Computerkonten nicht im Standardcontainer "Computers" unterhalb der Domäne lagen.
Also alle, deren Computerkonto in anderen OUs lag (Auch wenn diese nicht meiner OU untergeordnet waren).

Die Tatsache, dass sich die GruRiLi auf alle OUs durchgebrochen hat ist schonmal die Erste komische Sache. Die Zweite ist der Fehler an sich!

Hätte ich nur bei der Vererbung was falsch gemacht, wärs ja nicht so tragisch gewesen. Gut, kann sich halt die nächste Zeit keiner mehr lokal anmelden - auch nicht so schlimm!
Aber warum bekam jeder diese kryptische Fehlermeldung? "Die Lokale Richtinie erlaubt es Ihnen nicht, sich anzumelden!"?

Geht diese Funktion vielleicht nur mit vollständig Serverbasierten Profilen?

Ich hab jedenfalls meine Lektion gelernt. In Zukunft teste jede Kleinigkeit!
Bitte warten ..
Mitglied: gemini
06.12.2006 um 11:12 Uhr
Hallo FragMaster,

Verlinkt oder verknüpft habe ich garnix. Habe ich auf Standardeinstellung gelassen
Eine Policy die nicht auf ein Objekt verlinkt ist, ist auch wirkungslos.
Zum Verständnis: In der OU wird lediglich ein Verweis auf die Policy eingetragen, auch wenn es in der MMC optisch vielleicht anders aussieht.
Eine Policy kann auf mehrere, auch nicht kaskadierte, OUs wirken, ebenso können mehrere Policies auf eine OU wirken.

Es waren alle Benutzer betroffen, deren Computerkonten nicht im Standardcontainer
"Computers" unterhalb der Domäne lagen.
Also alle, deren Computerkonto in anderen OUs lag (Auch wenn diese nicht meiner OU
untergeordnet waren).
Sorry, kann ich nicht nachvollziehen. Kannst du die Struktur grafisch darstellen?

Die Tatsache, dass sich die GruRiLi auf alle OUs durchgebrochen hat ist schonmal die Erste komische Sache.
Das ist nicht komisch, sondern trifft auf grundlegend immer auf die Default Domain Policy zu.

Gut, kann sich halt die nächste Zeit keiner mehr lokal anmelden
- auch nicht so schlimm!
Du hast beim spielen in die Steckdose gelangt; wenn das nicht so schlimm ist, OK!

Aber warum bekam jeder diese kryptische Fehlermeldung? "Die Lokale Richtinie
erlaubt es Ihnen nicht, sich anzumelden!"?
Ist nicht kryptisch, sondern deutsch und auch noch logisch.
Der Domänencontroller setzt die Richtlinie in den entspr. OUs durch, d.h. der Clientrechner übernimmt sie. Versucht ein Benutzer sich lokal anzumelden, setzt der Rechner seine, nun lokale Richtlinie, gegenüber dem Benutzer durch. Genau das sagt die Meldung auch aus.

Geht diese Funktion vielleicht nur mit vollständig Serverbasierten Profilen?
Servergespeicherte Profile haben damit überhaupt nichts zu tun. Das ist ne ganz andere Baustelle.

Ich hab jedenfalls meine Lektion gelernt. In Zukunft teste jede Kleinigkeit!
Brav!! Bau dir irgendwo außerhalb der OU-Struktur der Firma eine kleine Teststruktur auf und spiele nur innerhalb dieser Teststruktur.
Besser mach dir eine Spielwiese in VMware.

Gruß,
gemini
Bitte warten ..
Ähnliche Inhalte
Windows 10

Deinstallation von Schrott und Mist bei Neuware

Frage von mfernauWindows 1046 Kommentare

Ich hoffe mir kann hier jemand einen schlauen Tipp geben, denn langsam platzt mir der Gedultsfaden. Ich kaufe für ...

Viren und Trojaner

Wie werde ich den Mist "fanli90" wieder los?

gelöst Frage von TaumelViren und Trojaner18 Kommentare

Hallo User! Enkel hatte dieser Tage mehrere Spiele runtergezogen und die habe ich wieder alle gelöscht, weil u.a. Malware ...

Router & Routing

Kopplung von 2 Routern am DSL Port, DMZ selbst gebaut

Frage von KamelleRouter & Routing1 Kommentar

Ich habe eine konfiguration wie unter beschrieben aufgesetzt. Jetzt grübele ich darüber nach, wie ich nach der Beschreibung "Außerdem ...

Windows Server

Kann mich auf domaine nicht anmelden

gelöst Frage von jensgebkenWindows Server15 Kommentare

Hallo Gemeinschaft, habe mir einen sbs 2011 eingerichtet mit der Domaine JH Wenn ich nun bei Client versuche mich ...

Neue Wissensbeiträge
Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 3 StundenWindows 101 Kommentar

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Humor (lol)

Das neue Miniatur Wunderland OFFICIAL VIDEO - worlds largest model railway - railroad

Information von StefanKittel vor 16 StundenHumor (lol)1 Kommentar

Hallo, wer noch nie im Miniatur Wunderland war, sollte es dringend mal nachholen. Es gibt eine neues Video. Viele ...

Exchange Server

Exchange 2010-2019 Sicherheitslücke durch Regkey löschen schließen

Information von sabines vor 1 TagExchange Server1 Kommentar

Unter ist eine Lücke im Exchange 2010-2019 beschrieben, die durch das Löschen eines reg keys geschlossen werden kann. In ...

Windows Server
Erneutes Release von WS2019 und Win10 v1809
Tipp von IT-Pro vor 2 TagenWindows Server3 Kommentare

Hi, nachdem der Windows Server 2019 und Windows 10 in der Version 1809 aufgrund von verschwinden von Dateien nach ...

Heiß diskutierte Inhalte
Java
Testautomatisierung
gelöst Frage von WPFORGEJava15 Kommentare

Hallo, nehmen wir an, es gibt eine Webseite mit einer Karte und einem Suchfeld. Nun wird in das Suchfeld ...

Viren und Trojaner
Office365 Trojaner Analyse
Frage von ZeppelinViren und Trojaner13 Kommentare

Liebe Community, ich wende mich an euch, um mehr über den Office365 Trojaner zu erfahren, welcher grade seine Runden ...

Netzwerkgrundlagen
Werksreset HP 1920S-24G
gelöst Frage von HenereNetzwerkgrundlagen13 Kommentare

Servus zusammen, ich habe mir 2 neue Switche zugelegt, doch ich komme damit nicht ganz klar. Waren Vorführgeräte zum ...

Firewall
Sophos UTM 9.5 Firewall Log-File durchsuchen
Frage von Leo-leFirewall11 Kommentare

Hallo zusammen, weiß jemand von Euch, ob man bei der Sophos die Firewall logs noch etwas besser filtern kann? ...