Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Gruppenrichtlinie: Keiner kann sich mehr anmelden! Hab Mist gebaut!

Frage Netzwerke

Mitglied: FragMaster

FragMaster (Level 1) - Jetzt verbinden

05.12.2006, aktualisiert 06.12.2006, 6212 Aufrufe, 6 Kommentare

Rechte sich lokal anzumelden eingeschränkt. Kein User kann sich mehr anmelden!

Hallo! Ich habe folgendes Problem:

Ich verwalte eine Aussenstelle in unserer Domäne und ich wollte sichergehen, dass sich keiner mehr lokal anmeldet sondern mit seinem Domänen-Benutzerkonto arbeitet. Dachte ich mir: Kein Problem, nimmste den Nutzern einfach die Möglichkeit, sich lokal anzumelden!

Die Aussenstelle hat eine eigene OU. Ich erstelle also in >MEINER< OU eine neue Gruppenrichtlinie. Dort definiere ich einzig die Funktion "Computerkonfiguration/Windows-Einst/Lokale Richtline/Zuweisen von Benutzerrechten/Lokale Anmeldung"
Dort trage ich ein "Administrator".
Damit die Richtlinie angewendet wird, trage ich bei "Sicherheit" eine Gruppe ein, die alle Nutzer meiner OU umfasst.

Meinem Verständniss nach dürfte sich ab jetzt nur noch der lokale Administrator >lokal< anmelden dürfen. Domänen-Anmeldung sollte unberührt bleiben. Ausserdem sollte die Einstellung sowieso nur in meiner, sowie untergeordneten OUs greifen!

Das ist passiert:

Zwei Stunden später läuft das Telefon heiß, Domänenweit(!!!) können sich die User nicht mehr anmelden: "Die Lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden!" Klasse!!! Schlimmeres konnte nur beherztes Eingreifen meines Mit-Admins verhindert werden. (Hat eingestellt, dass ComputerContainer keine GruRiLies erben). Was zum Teufel hab ich falsch gemacht?????

Da kann ich mich ja echt nichts mehr trauen, wenn ich bei jedem Scheiss, die Domäne abschieße!
Mitglied: 33425
05.12.2006 um 19:27 Uhr
Die Richtlinie lokal anmelden besagt im Allgemeinen wer sich dort lokal anmelden darf!

Da dies eine Computer-Policy ist, dürfte sich dies nur auf Computer auswirken, die sich in der OU befinden.

Vielleicht solltest du beim nächsten Mal die Konfiguration in einem Testnetz ausprobieren, bevor du an ein Live System gehst.

Deinen letzten Satz möchte ich lieber nicht kommentieren...

Mit freundlichen Grüßen
Schnitzelchen
Bitte warten ..
Mitglied: DaSam
05.12.2006 um 20:43 Uhr
Hola,

ich nehme mal an, dass Du genauso sorgfältig, wie Du den Sinn der Gruppenrichtlinien-Option "lokale Anmeldung verbieten" geprüft hast, auch die GPO gelinkt hast.

(BTW: GPO's werden nicht in einer OU erstellt, sondern für die entsprechende OU verknüpft).

Bei UNS hat es auch immer so funktioniert, dass die GPOs nur auf OU's angewendet werden, für welche sie auch verlinkt waren.

Andere Frage: Habt Ihr in der OU auch Benutzerkonten? Waren mit der eingeschränkten lokalen Anmeldung ALLE Domain Benutzer betroffen oder nur die, deren Benutzerkonto in der Aussenstellen-OU waren?

cu,
Alex
Bitte warten ..
Mitglied: Maik87
06.12.2006 um 08:00 Uhr
sry für die blöde frage, aber was heisst OU?
Bitte warten ..
Mitglied: gemini
06.12.2006 um 08:21 Uhr
sry für die blöde frage, aber was heisst OU?
Organizational Unit, ein Container zur Strukturierung in Verzeichnisdiensten (in FragMasters Fall wahrscheinlich Active Directory)
http://en.wikipedia.org/wiki/Organizational_Unit
Bitte warten ..
Mitglied: FragMaster
06.12.2006 um 10:37 Uhr
Hallo nochmal!

Verlinkt oder verknüpft habe ich garnix. Habe ich auf Standardeinstellung gelassen -möglicherweise liegt hier der Fehler.

Es waren alle Benutzer betroffen, deren Computerkonten nicht im Standardcontainer "Computers" unterhalb der Domäne lagen.
Also alle, deren Computerkonto in anderen OUs lag (Auch wenn diese nicht meiner OU untergeordnet waren).

Die Tatsache, dass sich die GruRiLi auf alle OUs durchgebrochen hat ist schonmal die Erste komische Sache. Die Zweite ist der Fehler an sich!

Hätte ich nur bei der Vererbung was falsch gemacht, wärs ja nicht so tragisch gewesen. Gut, kann sich halt die nächste Zeit keiner mehr lokal anmelden - auch nicht so schlimm!
Aber warum bekam jeder diese kryptische Fehlermeldung? "Die Lokale Richtinie erlaubt es Ihnen nicht, sich anzumelden!"?

Geht diese Funktion vielleicht nur mit vollständig Serverbasierten Profilen?

Ich hab jedenfalls meine Lektion gelernt. In Zukunft teste jede Kleinigkeit!
Bitte warten ..
Mitglied: gemini
06.12.2006 um 11:12 Uhr
Hallo FragMaster,

Verlinkt oder verknüpft habe ich garnix. Habe ich auf Standardeinstellung gelassen
Eine Policy die nicht auf ein Objekt verlinkt ist, ist auch wirkungslos.
Zum Verständnis: In der OU wird lediglich ein Verweis auf die Policy eingetragen, auch wenn es in der MMC optisch vielleicht anders aussieht.
Eine Policy kann auf mehrere, auch nicht kaskadierte, OUs wirken, ebenso können mehrere Policies auf eine OU wirken.

Es waren alle Benutzer betroffen, deren Computerkonten nicht im Standardcontainer
"Computers" unterhalb der Domäne lagen.
Also alle, deren Computerkonto in anderen OUs lag (Auch wenn diese nicht meiner OU
untergeordnet waren).
Sorry, kann ich nicht nachvollziehen. Kannst du die Struktur grafisch darstellen?

Die Tatsache, dass sich die GruRiLi auf alle OUs durchgebrochen hat ist schonmal die Erste komische Sache.
Das ist nicht komisch, sondern trifft auf grundlegend immer auf die Default Domain Policy zu.

Gut, kann sich halt die nächste Zeit keiner mehr lokal anmelden
- auch nicht so schlimm!
Du hast beim spielen in die Steckdose gelangt; wenn das nicht so schlimm ist, OK!

Aber warum bekam jeder diese kryptische Fehlermeldung? "Die Lokale Richtinie
erlaubt es Ihnen nicht, sich anzumelden!"?
Ist nicht kryptisch, sondern deutsch und auch noch logisch.
Der Domänencontroller setzt die Richtlinie in den entspr. OUs durch, d.h. der Clientrechner übernimmt sie. Versucht ein Benutzer sich lokal anzumelden, setzt der Rechner seine, nun lokale Richtlinie, gegenüber dem Benutzer durch. Genau das sagt die Meldung auch aus.

Geht diese Funktion vielleicht nur mit vollständig Serverbasierten Profilen?
Servergespeicherte Profile haben damit überhaupt nichts zu tun. Das ist ne ganz andere Baustelle.

Ich hab jedenfalls meine Lektion gelernt. In Zukunft teste jede Kleinigkeit!
Brav!! Bau dir irgendwo außerhalb der OU-Struktur der Firma eine kleine Teststruktur auf und spiele nur innerhalb dieser Teststruktur.
Besser mach dir eine Spielwiese in VMware.

Gruß,
gemini
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows 10
gelöst Net Framework über Gruppenrichtlinie aktivieren (10)

Frage von DarkScabs zum Thema Windows 10 ...

Windows 7
gelöst Bestimmter Benutzer kann sich nicht anmelden (6)

Frage von xbast1x zum Thema Windows 7 ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...