Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Gruppenrichtlinie: Keiner kann sich mehr anmelden! Hab Mist gebaut!

Mitglied: FragMaster

FragMaster (Level 1) - Jetzt verbinden

05.12.2006, aktualisiert 06.12.2006, 6335 Aufrufe, 6 Kommentare

Rechte sich lokal anzumelden eingeschränkt. Kein User kann sich mehr anmelden!

Hallo! Ich habe folgendes Problem:

Ich verwalte eine Aussenstelle in unserer Domäne und ich wollte sichergehen, dass sich keiner mehr lokal anmeldet sondern mit seinem Domänen-Benutzerkonto arbeitet. Dachte ich mir: Kein Problem, nimmste den Nutzern einfach die Möglichkeit, sich lokal anzumelden!

Die Aussenstelle hat eine eigene OU. Ich erstelle also in >MEINER< OU eine neue Gruppenrichtlinie. Dort definiere ich einzig die Funktion "Computerkonfiguration/Windows-Einst/Lokale Richtline/Zuweisen von Benutzerrechten/Lokale Anmeldung"
Dort trage ich ein "Administrator".
Damit die Richtlinie angewendet wird, trage ich bei "Sicherheit" eine Gruppe ein, die alle Nutzer meiner OU umfasst.

Meinem Verständniss nach dürfte sich ab jetzt nur noch der lokale Administrator >lokal< anmelden dürfen. Domänen-Anmeldung sollte unberührt bleiben. Ausserdem sollte die Einstellung sowieso nur in meiner, sowie untergeordneten OUs greifen!

Das ist passiert:

Zwei Stunden später läuft das Telefon heiß, Domänenweit(!!!) können sich die User nicht mehr anmelden: "Die Lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden!" Klasse!!! Schlimmeres konnte nur beherztes Eingreifen meines Mit-Admins verhindert werden. (Hat eingestellt, dass ComputerContainer keine GruRiLies erben). Was zum Teufel hab ich falsch gemacht?????

Da kann ich mich ja echt nichts mehr trauen, wenn ich bei jedem Scheiss, die Domäne abschieße!
Mitglied: 33425
05.12.2006 um 19:27 Uhr
Die Richtlinie lokal anmelden besagt im Allgemeinen wer sich dort lokal anmelden darf!

Da dies eine Computer-Policy ist, dürfte sich dies nur auf Computer auswirken, die sich in der OU befinden.

Vielleicht solltest du beim nächsten Mal die Konfiguration in einem Testnetz ausprobieren, bevor du an ein Live System gehst.

Deinen letzten Satz möchte ich lieber nicht kommentieren...

mfg
Schnitzelchen
Bitte warten ..
Mitglied: DaSam
05.12.2006 um 20:43 Uhr
Hola,

ich nehme mal an, dass Du genauso sorgfältig, wie Du den Sinn der Gruppenrichtlinien-Option "lokale Anmeldung verbieten" geprüft hast, auch die GPO gelinkt hast.

(BTW: GPO's werden nicht in einer OU erstellt, sondern für die entsprechende OU verknüpft).

Bei UNS hat es auch immer so funktioniert, dass die GPOs nur auf OU's angewendet werden, für welche sie auch verlinkt waren.

Andere Frage: Habt Ihr in der OU auch Benutzerkonten? Waren mit der eingeschränkten lokalen Anmeldung ALLE Domain Benutzer betroffen oder nur die, deren Benutzerkonto in der Aussenstellen-OU waren?

cu,
Alex
Bitte warten ..
Mitglied: Maik87
06.12.2006 um 08:00 Uhr
sry für die blöde frage, aber was heisst OU?
Bitte warten ..
Mitglied: gemini
06.12.2006 um 08:21 Uhr
sry für die blöde frage, aber was heisst OU?
Organizational Unit, ein Container zur Strukturierung in Verzeichnisdiensten (in FragMasters Fall wahrscheinlich Active Directory)
http://en.wikipedia.org/wiki/Organizational_Unit
Bitte warten ..
Mitglied: FragMaster
06.12.2006 um 10:37 Uhr
Hallo nochmal!

Verlinkt oder verknüpft habe ich garnix. Habe ich auf Standardeinstellung gelassen -möglicherweise liegt hier der Fehler.

Es waren alle Benutzer betroffen, deren Computerkonten nicht im Standardcontainer "Computers" unterhalb der Domäne lagen.
Also alle, deren Computerkonto in anderen OUs lag (Auch wenn diese nicht meiner OU untergeordnet waren).

Die Tatsache, dass sich die GruRiLi auf alle OUs durchgebrochen hat ist schonmal die Erste komische Sache. Die Zweite ist der Fehler an sich!

Hätte ich nur bei der Vererbung was falsch gemacht, wärs ja nicht so tragisch gewesen. Gut, kann sich halt die nächste Zeit keiner mehr lokal anmelden - auch nicht so schlimm!
Aber warum bekam jeder diese kryptische Fehlermeldung? "Die Lokale Richtinie erlaubt es Ihnen nicht, sich anzumelden!"?

Geht diese Funktion vielleicht nur mit vollständig Serverbasierten Profilen?

Ich hab jedenfalls meine Lektion gelernt. In Zukunft teste jede Kleinigkeit!
Bitte warten ..
Mitglied: gemini
06.12.2006 um 11:12 Uhr
Hallo FragMaster,

Verlinkt oder verknüpft habe ich garnix. Habe ich auf Standardeinstellung gelassen
Eine Policy die nicht auf ein Objekt verlinkt ist, ist auch wirkungslos.
Zum Verständnis: In der OU wird lediglich ein Verweis auf die Policy eingetragen, auch wenn es in der MMC optisch vielleicht anders aussieht.
Eine Policy kann auf mehrere, auch nicht kaskadierte, OUs wirken, ebenso können mehrere Policies auf eine OU wirken.

Es waren alle Benutzer betroffen, deren Computerkonten nicht im Standardcontainer
"Computers" unterhalb der Domäne lagen.
Also alle, deren Computerkonto in anderen OUs lag (Auch wenn diese nicht meiner OU
untergeordnet waren).
Sorry, kann ich nicht nachvollziehen. Kannst du die Struktur grafisch darstellen?

Die Tatsache, dass sich die GruRiLi auf alle OUs durchgebrochen hat ist schonmal die Erste komische Sache.
Das ist nicht komisch, sondern trifft auf grundlegend immer auf die Default Domain Policy zu.

Gut, kann sich halt die nächste Zeit keiner mehr lokal anmelden
- auch nicht so schlimm!
Du hast beim spielen in die Steckdose gelangt; wenn das nicht so schlimm ist, OK!

Aber warum bekam jeder diese kryptische Fehlermeldung? "Die Lokale Richtinie
erlaubt es Ihnen nicht, sich anzumelden!"?
Ist nicht kryptisch, sondern deutsch und auch noch logisch.
Der Domänencontroller setzt die Richtlinie in den entspr. OUs durch, d.h. der Clientrechner übernimmt sie. Versucht ein Benutzer sich lokal anzumelden, setzt der Rechner seine, nun lokale Richtlinie, gegenüber dem Benutzer durch. Genau das sagt die Meldung auch aus.

Geht diese Funktion vielleicht nur mit vollständig Serverbasierten Profilen?
Servergespeicherte Profile haben damit überhaupt nichts zu tun. Das ist ne ganz andere Baustelle.

Ich hab jedenfalls meine Lektion gelernt. In Zukunft teste jede Kleinigkeit!
Brav!! Bau dir irgendwo außerhalb der OU-Struktur der Firma eine kleine Teststruktur auf und spiele nur innerhalb dieser Teststruktur.
Besser mach dir eine Spielwiese in VMware.

Gruß,
gemini
Bitte warten ..
Ähnliche Inhalte
Windows 10

Deinstallation von Schrott und Mist bei Neuware

Frage von mfernauWindows 1046 Kommentare

Ich hoffe mir kann hier jemand einen schlauen Tipp geben, denn langsam platzt mir der Gedultsfaden. Ich kaufe für ...

Viren und Trojaner

Wie werde ich den Mist "fanli90" wieder los?

gelöst Frage von TaumelViren und Trojaner18 Kommentare

Hallo User! Enkel hatte dieser Tage mehrere Spiele runtergezogen und die habe ich wieder alle gelöscht, weil u.a. Malware ...

Router & Routing

Kopplung von 2 Routern am DSL Port, DMZ selbst gebaut

Frage von KamelleRouter & Routing1 Kommentar

Ich habe eine konfiguration wie unter beschrieben aufgesetzt. Jetzt grübele ich darüber nach, wie ich nach der Beschreibung "Außerdem ...

Windows Server

Kann mich auf domaine nicht anmelden

gelöst Frage von jensgebkenWindows Server15 Kommentare

Hallo Gemeinschaft, habe mir einen sbs 2011 eingerichtet mit der Domaine JH Wenn ich nun bei Client versuche mich ...

Neue Wissensbeiträge
Windows Netzwerk

CGM Praxisarchiv funktioniert auf Clients nach Update auf 4.14 nicht mehr

Tipp von MOS6581 vor 3 StundenWindows Netzwerk

Moin, ein Kunde setzt das CGM-Praxisarchiv ein. Mehrplatzinstallation mit SQL-Server. Nachdem letzte Woche auf die 4.14 aktualisiert wurde, funktionierte ...

Windows 10

Win 10 - Storage Sense - neues herstellerseitiges Cleaning-Tool statt cleanmgr

Tipp von mathu vor 10 StundenWindows 101 Kommentar

Vermutlich ab dem Oktoberrelease wird eine neue Speicherbereinigungssuftware ausgeliefert von Microsoft. Cleanmgr.exe soll angeblich aber noch weiter parallel verfügbar ...

E-Mail
Neueste Masche der Bad Guys: Offene Erpressung
Information von the-buccaneer vor 1 TagE-Mail14 Kommentare

"Warum den komplizierten Weg über einen Kryptotrojaner nehmen, wenn man die Leute auch direkt erpressen kann?" haben sich wohl ...

Viren und Trojaner
Neues ct-desinfect 2018 erschienen
Information von Lochkartenstanzer vor 1 TagViren und Trojaner

Moin, heise hat eine neues Sonderheft Desinfect veröffentlicht (9,90€/12,90€) . Falls jemand öfter mal Kisten "säubern" muß ist das ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless22 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Firewall
Blocken illegaler Film-Streams
gelöst Frage von CoreknabeFirewall20 Kommentare

Moin Wissende, unsere kleine Hochschule möchte gern das illegale Streaming von Kinofilmen und Serien unterbinden. Wir sperren bisher alle ...

Windows Server
2012 R2 Server Keine Anmeldung möglich Meldung: Laut den Sicherheitsrichtlinien auf diesem PC sollen informationen zur letzten interaktiven Anmeldung angezeigt werden
Frage von Speedy18A4Windows Server19 Kommentare

Hallo, ich habe vor einigen Wochen einen zweiten Domain Controller zu meiner Domain hinzugefügt. Funktionierte alles wunderbar. Auch die ...

iOS
Virus auf iphone
Frage von jensgebkeniOS17 Kommentare

hallo gemeinschaft, habe einen virus auf meinem iphone es kommen zwei meldungsfenster 1. online-2018-software-free.win 2. wpform.com - please click ...