Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Lokale Anmeldung GPO - ausgesperrt :-(

Frage Microsoft Windows Server

Mitglied: ITBuxi

ITBuxi (Level 1) - Jetzt verbinden

30.09.2014, aktualisiert 14:23 Uhr, 2291 Aufrufe, 24 Kommentare, 4 Danke

Hi,
leider habe ich mich scheinbar ausgesperrt.
Ich habe mit der "lokale Anmeldung zulassen" rumgespielt, weil ich verhindern wollte, dass sich Domänen-benutzer an dem Server anmelden können.
Dummerweise bin ich jetzt damit auch betroffen

Kann ich die GPO der Domäne von einem anderen Domänen-Rechner auch bearbeiten?
Natürlich bin ich Domänen-admin.

Danke für Eure Hilfe.

Gruß

TB
Mitglied: Pjordorf
30.09.2014 um 12:02 Uhr
Hallo,

Zitat von ITBuxi:
weil ich verhindern wollte, dass sich Domänen-benutzer an dem Server anmelden können.
Ist doch normalerweise schon so....Oder haben deine Benutzer alle Admin Rechte der Domäne?

Kann ich die GPO der Domäne von einem anderen Domänen-Rechner auch bearbeiten?
RSAT installiert? RDP?

Server OS und was haben der Client welche deine GPOs wieder richten soll?

Gruß,
Peter
Bitte warten ..
Mitglied: Chonta
30.09.2014 um 12:13 Uhr
Zitat von ITBuxi:


Ich habe mit der "lokale Anmeldung zulassen" rumgespielt, weil ich verhindern wollte, dass sich Domänen-benutzer an

GPO lokale Aneldung verbeiten auf Domänenebene für Autentifizierte Benutzer verlinkt?

Wie Pjordorf schon schieb: DC können nur Domänen-Admins eine lokale Anmeldung machen.
Über die Verwaltungstools wenn auf einem anderen Server installiert kannst Du dich mit dem DC verbinden und die GPO rückgängig machen 15 Minuten Warten und es geht wieder (hoffentlich )

Gruß

Chonta
Bitte warten ..
Mitglied: templier
30.09.2014, aktualisiert um 12:40 Uhr
Zitat von ITBuxi:

Hi,
leider habe ich mich scheinbar ausgesperrt.
Das ist sehr Unschön, kann aber passieren.
Ich habe mit der "lokale Anmeldung zulassen" rumgespielt, weil ich verhindern wollte, dass sich Domänen-benutzer an
dem Server anmelden können.
Deshalb sollte man nur innert einer Testumgebung "herumspielen". Wobei ich mich Frage welches System Du nutzt, wo es (offenbar) möglich ist, das sich Domänenbenutzer an einem Server lokal Anmelden können/dürfen?
Dummerweise bin ich jetzt damit auch betroffen
Unüberlegtes "Herumspielen" kann sich nun mal auch Rächen.
Kann ich die GPO der Domäne von einem anderen Domänen-Rechner auch bearbeiten?
Natürlich bin ich Domänen-admin.
Klar, sobald Du auf dem Client/Server ggf. die Admintools hast oder nachinstallierst ist das kein Problem. Zumal Du Dich ja "nur" für das lokale Anmelden ausgesperrt hast. Hier sollte übrigens aber dann noch die RDP-Connection gehen, wenn diese eingerichtet ist. Hoffentlich... hast Du nicht noch mehr "Herumgespielt", sonst wird's aufwendig

Danke für Eure Hilfe.
Gerne geschehen.

Viele liebe Grüsse
Ralph
Bitte warten ..
Mitglied: templier
30.09.2014 um 12:36 Uhr
Zitat von Chonta:
Über die Verwaltungstools wenn auf einem anderen Server installiert kannst Du dich mit dem DC verbinden und die GPO
rückgängig machen 15 Minuten Warten und es geht wieder (hoffentlich )

Über "gpupdate /force" geht es schneller und da entfallen die 15 Minuten.
Bitte warten ..
Mitglied: Pjordorf
30.09.2014 um 12:40 Uhr
Hallo,

Zitat von templier:
Über "gpupdate /force" geht es schneller und da entfallen die 15 Minuten.
Nicht wirklich. Er kommt auf das System ja nicht drauf um ein "gpudate /force" machen zu können (außer evtl. RDP.......aber wir wissen es ja nicht)

Und 15 Minuten Strafe ist doch auch nicht schlimm....

Gruß,
Peter
Bitte warten ..
Mitglied: Chonta
30.09.2014 um 12:43 Uhr
Hallo,

RDP wird als lokale Anmeldung gewertet.
Aber Netzstecker ziehen und neu starten könnte schneller gehen aber andere Probleme bereiten.

Gruß

Chonta
Bitte warten ..
Mitglied: templier
30.09.2014, aktualisiert um 12:58 Uhr
Zitat von Chonta:
RDP wird als lokale Anmeldung gewertet.
Seit wann das denn, wird das etwa für Windows 3025 forciert werden? Wo ist denn hier dann der Sinn von "Remote"? Bitte überdenke Deinen Eintrag nochmal

Aber Netzstecker ziehen und neu starten könnte schneller gehen aber andere Probleme bereiten.
??? Dieser Satz ist für mich persönlich irgendwie "Sinnfrei".
Bitte warten ..
Mitglied: templier
30.09.2014, aktualisiert um 13:22 Uhr
Zitat von Pjordorf:
> Zitat von templier:
> Über "gpupdate /force" geht es schneller und da entfallen die 15 Minuten.
Nicht wirklich. Er kommt auf das System ja nicht drauf um ein "gpudate /force" machen zu können (außer
evtl. RDP.......aber wir wissen es ja nicht)
Stimmt nicht so ganz - Ich kann "gpupdate" auch einen anderen PC/Server als Parameter (unter Target) mitgeben. Das ist ein Befehl,
der nicht nur Lokal ausgeführt werden kann. Ähnlich wie "shutdown.exe".
Und 15 Minuten Strafe ist doch auch nicht schlimm....
Das stimmt Peter. Wo Du Recht hast, hast Du Recht. Und mit 15 Minuten ist er dann noch sehr gut bedient. Wenn er uns allen dann noch einen Kaffe (oder ein Bier) spendiert, dann ist er mit einem blauen Auge davongekommen

Viele Grüsse
Ralph
Bitte warten ..
Mitglied: ITBuxi
30.09.2014 um 13:53 Uhr
Tja, wie Ihr ja seht, bin ich kein Admin (was ja auch nicht schwer zu erkennen war)
Nee, RDP ist nicht freigegeben.

Dass sich nur Admins an dem DC anmelden dürfen wusste ich nicht. Hätte mir dann ja auch diesen Ärger erspart.

Tja, scheint wohl so als wärs das jetzt gewesen ;-((. Mist.

Danke für Eure Hilfe trozdem
Bitte warten ..
Mitglied: Pjordorf
30.09.2014 um 14:11 Uhr
Hallo,

Zitat von ITBuxi:
Nee, RDP ist nicht freigegeben.
Und RSAT installieren?

Dass sich nur Admins an dem DC anmelden dürfen
Das dürfen bezieht sich aber nur auf die Einschränkung mittels einer GPO, sonst dürfen die schon das was ihr Chef ihnen erlaubt

Tja, scheint wohl so als wärs das jetzt gewesen ;-((. Mist.
Gibt es noch andere Server? Über welches Betriebssysteme reden wir denn hier und was steht als Client zur Verfügung? Du bist der Domänen Admin bzw. hast dessen Passwort?

Gruß,
Peter
Bitte warten ..
Mitglied: ITBuxi
30.09.2014 um 14:17 Uhr
Hallo Pjördorf,

leider weder RSAT noch RDP.
Ja es gibt noch weitere Server. Die beiden Domänencontroller sind windows 2012 server.

Ja, das mit der GPO war mir nicht klar, dass sich nur die Admins daran anmelden dürfen.

Auf dem DC läuft eigentlich nix anderes außer dem AD (und Teamviewer, der mir ja so leider auch nicht weiterhilft).

Gruß

TB
Bitte warten ..
Mitglied: ITBuxi
30.09.2014 um 14:18 Uhr
ja, ich bin Domänen Admin und habe auch das Passwort
Bitte warten ..
Mitglied: Pjordorf
LÖSUNG 30.09.2014, aktualisiert um 14:23 Uhr
Hallo,

Zitat von ITBuxi:
leider weder RSAT
Und was hindert dich RSAT zu nutzen?

Gruß,
Peter
Bitte warten ..
Mitglied: ITBuxi
30.09.2014 um 14:22 Uhr
Ich habs!

Hab über die Registry (remote) den TerminServer gesetzt und mich dann dort angemeldet.

(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections von 1 auf 0)

jetzt kann ich die GPO wieder ändern.

Vielen Vielen Dank!
Bitte warten ..
Mitglied: ITBuxi
30.09.2014 um 14:23 Uhr
muss ich die RSAT nicht erst explizit freigeben?
Bitte warten ..
Mitglied: Chonta
30.09.2014 um 14:26 Uhr
Ok ich revidiere die Aussage mit der RDP-Anmeldung, die geht wenn die lokale Anmeldung nicht gestattet ist.

Gruß

Chonta
Bitte warten ..
Mitglied: Pjordorf
30.09.2014 um 14:36 Uhr
Hallo,

Zitat von ITBuxi:
Ich habs!
Schön.

Aber du hast uns doch gesagt das RDP eben NICHT geht bei euch. Jetzt schreibst du das du genau den genutzt hast?

Da uns partout nicht erzählen willst welche OS dein Client nutzt und wir mühsam rausbekamen das du mehrere Server 2012 (mit oder ohne R2) nutzt sei mir nicht böse wenn ich dir rate dich mit den RSAT selbst zu beschäftigen und nachzulesen. Ich weiß nicht was du da explizit freigeben willst oder damit meinst.

RSAT Win 7
http://www.microsoft.com/de-de/download/details.aspx?id=7887

RSAT Win8.1
http://www.microsoft.com/de-de/download/details.aspx?id=39296

Du musst schon nachlesen welche OS du nutzt um dir die passenden RSAT zu besorgen. Es gibt verschiedene, achte auf Server und Client Betriebssysteme und wer was wo kann.

Gruß,
Peter
Bitte warten ..
Mitglied: ITBuxi
30.09.2014 um 16:11 Uhr
Hallo Peter. Remotedesktop war nicht freigegeben. Ohne den Umweg über die Registry konnte ich ihn halt auch nicht aktivieren.
Sorry, dass ich für Verwirrung gesorgt habe und danke nochmals für Deine Unterstützung.
OS Clients sind Win7Prof.
Gruss
TB
Bitte warten ..
Mitglied: templier
30.09.2014 um 16:15 Uhr
Zitat von ITBuxi:

Tja, wie Ihr ja seht, bin ich kein Admin (was ja auch nicht schwer zu erkennen war)
Du sag mal - Willst Du uns jetzt hier veräppeln? WAS schraubst DU denn dann an solchen System herum und raubst uns hier unsere Freizeit, die wir gerne für (echte!) Probleme zur Verfügung stellen?

Schämst Du Dich nicht? Also, mir fehlen hier gerade die Worte...

Beste Grüsse an alle
Ralph
Bitte warten ..
Mitglied: ITBuxi
30.09.2014 um 16:39 Uhr
Oh entschuldigen Sie Eure Majestät......

Bist doch noch ganz knusprig?
Du bist wohl schon als Admin rausgeschlüpft?
Und wenn Du in Deiner Freizeit nichts anderes zu tun hast, dann tust Du mir echt leid. Entweder man macht das gerne oder man sollte sich in eine dunkle Kammer (ohne Internetanschluss) verkriechen.
Auf solche Typen kann man wenn man ein Problem hat echt verzichten. Ich wünsch Dir, dass Du auch mal vor einem Problem stehst, keine Ahnung hast und irgendein superschlauer ganz toller Typ Dich so anmacht.
Bitte warten ..
Mitglied: templier
30.09.2014, aktualisiert um 17:49 Uhr
Oh,

Entschuldige bitte höflichst "Calimero" (der noch die Eierschale auf dem Kopf trägt). Ich bitte Dich dennoch in diesem Forum um etwas mehr Respekt. Denn sonst wird Dir hier kein "Superschlauer ganz toller Typ" mehr helfen wollen. Ich habe Dich in keiner Weise "angemacht". Ich bin mir nur von Dir veräppelt vorgekommen.

Das verwöhnte Küken bekommt eben mal nicht Recht vom bösen Wolf.

Namensbedeutung von Ralph/Ralf = Wolf

» rat = der Rat, der Ratschlag, der Ratgeber (Althochdeutsch); wolf = der Wolf (Althochdeutsch)

Ich Danke Dir dafür schon im voraus, das Du Dich künftig bitte etwas höflicher Ausdrückst. Dann werden wir Dir alle immer gerne helfen.

Viele Grüsse
Ralph
(Der böse Wolf)

Tante Edith:

Und wenn man keine Kritik ertragen kann, dann sollte man sich nicht in Foren herumtreiben. Denn da kann man auch "Ausgesperrt" werden, OHNE das man das selbst getan hat durch "Herumspielen".
Bitte warten ..
Mitglied: templier
30.09.2014, aktualisiert um 17:49 Uhr
Zitat von Chonta:

Ok ich revidiere die Aussage mit der RDP-Anmeldung, die geht wenn die lokale Anmeldung nicht gestattet ist.
Ein Wunder ist geschehen?
Bitte warten ..
Mitglied: templier
30.09.2014 um 18:22 Uhr
Zitat von ITBuxi:

ja, ich bin Domänen Admin und habe auch das Passwort

Man sollte Dir beides umgehend entziehen.
Bitte warten ..
Mitglied: FA-jka
LÖSUNG 02.10.2014, aktualisiert um 08:13 Uhr
Naja. In einem Punkt hat er Recht - aus Fehlern lernt man und es ist noch kein Admin vom Himmel gefallen. Wohl aber aus allen Wolken.

Amen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Lokale Anmeldung an Server zulassen trotz GPO mit lokalem Benutzer (2)

Frage von jochenmuell zum Thema Windows Netzwerk ...

Windows Server
Lokale Anmeldung an Server 2010 R2 verhindern (8)

Frage von mownstyler zum Thema Windows Server ...

Windows 7
gelöst PC wieder in Domäne aufnehmen, lokale Anmeldung nicht möglich (2)

Frage von Bluejet zum Thema Windows 7 ...

Windows Server
AD: Lokale Anmeldung verbieten aber Freigabe mounten zulassen (10)

Frage von Hubert.Hasenfuss zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...