locked
Win10 - Anmeldebeschränkungen funktionieren nicht mehr RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo *,

    Bei einem Netzwerk sind für die Benutzer im ADUC für die einzelnen Benutzerkonten Rechner hinterlegt, an denen sie sich anmelden dürfen. Das hat jahrelang wunderbar funktioniert.

    Nachdem die Clients auf Win10 aktualisiert wurden (egal ob Upgrade oder Neuinstallation) funktioniert die Einschränkung nur noch für die lokale Anmeldung. 

    Beim Versuch sich PER RDP mit dem "richtigen" Benutzer am "richtigen" PC anzumelden erhalten die Benutzer eine Meldung, dass der Admin die Anmeldung beschränkt hat.

    Berechtigungsproblem schließe ich aus. Nehme ich die Beschränkung im ADUC raus, können sich die Benutzer auch per RDP problemlos an den Clients anmelden.

    Ist das bekannt? 

    Zur Info: Server 2012 R2 und Win 10 (inzwischen 1909) Clients. Mit 1903 klappt es aber auch nicht.

    Vielen Dank

    Grüße

       ...tmendez

    Dienstag, 10. Dezember 2019 10:06

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Ich bin mir nicht sicher, ob Du recht hast.

    Zum Glück ist es vollkommen egal, ob ich recht habe :-) Wir haben nun mal festgestellt, dass Dein Phänomen im Zusammenspiel aus NLA und Anmeldebschränkung wurzelt. So wie ich es sehe, hast Du also zwei Varianten:

    1. das Ganze diagnostizieren. Am Ende sind es noch die Domain-Controller, die auf die Liste müssen, damit es klappt ;-) Ich würde in diesem Fall das Auditing hochdrehen, die Ablehnung der Anmeldung provozieren und in der entsprechenden Event-ID die Maschine raussuchen, bei der es geknallt hat.
    2. diese veraltete Anmeldebeschränkungs-Kiste aufräumen und mit Gruppenrichtlinien arbeiten. Siehe z.B. bei Martin: http://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 11. Dezember 2019 16:47

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    was sind denn die Clients, von denen aus verbunden wird? OS-Version? Domänen - Mitglied? Gleiche Domäne wie das Ziel?

    EDIT: Funktioniert es, wenn Du auf dem Ziel NLA abschaltest?

    Evgenij Smirnov

    http://evgenij.smirnov.de


    Dienstag, 10. Dezember 2019 16:11
  • Question
    Anmelden
    0
    Anmelden

    Die Clients sind PCs, die von Win7 auf Win10 aktualisiert wurden.

    Sie sind alle Domänen-Mitglieder. Vor dem Upgrade der Clients auf Win10 hat es noch problemlos funktioniert.

    NLA: meldet Domäne.

    Deaktivieren? 

    Oder meinst Du CredSSP?

    Dienstag, 10. Dezember 2019 18:17
  • Question
    Anmelden
    0
    Anmelden

    Ja, sorry, nicht "Network Location Awareness", sondern "Network Level Authentication" ;-)

    Also nochmal: User X hat Berechtigung für PCA und PCB. Er meldet sich interaktiv an PCA an und versucht von dort per RDP auf PCB zu gelangen. Das schlägt fehl, bis man die Anmeldebschränkung aufhebt. Soweit richtig?

    Und falls ja, was passiert, wenn man auf PCB die NLA-Erfordernis testweise abschaltet?

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 10. Dezember 2019 18:59
  • Question
    Anmelden
    0
    Anmelden

    Kommt hin, ist aber eigentlich sogar einfacher.

    Jeder Benutzer darf sich nur an "seinem" PC anmelden.

    Macht man vom heimischen PC - oder auch vom Server - eine RDP Verbindung zu einem PC, dann scheitert die Anmeldung mit dem "richtigen" Benutzer.

    Also bsp: User PC1 darf sich nur an Client "PC1" anmelden. 

    Lokal klappt die Anmeldung. Per RDP (PC1 auf PC1) klappt es nicht.

    Und ja, schaltet man auf den Clients das NLA für RDP ab, dann klappt die Anmelduns wieder.

    Für mich aber eher ein Workaround - zumindest besser als alle Beschränkungen aufzuheben - als eine Lösung.

    Was hat Win10 da für ein Problem? Und ist das bekannt? Darf mit einem Fix gerechnet werden?


    • Bearbeitet tmendez1 Mittwoch, 11. Dezember 2019 15:07
    Mittwoch, 11. Dezember 2019 15:05
  • Question
    Anmelden
    0
    Anmelden

    Macht man vom heimischen PC - oder auch vom Server - eine RDP Verbindung zu einem PC, dann scheitert die Anmeldung mit dem "richtigen" Benutzer


    Siehst Du, da kommen wir der Sache schon näher ;-) Ich hatte gefragt: Was sind die Clients. Du hattest gesagt: Alles Win 10 Domain Members. Clients im Sinne von RDP sind aber halt heimische PCs und Server ;-)

    Es ist kein Bug, sondern ein Feature. NLA ist eine Anmeldung am Client. Und wenn HEIMPC007 im AD nicht berechtigt ist die Anmeldung durchzuführen, scheitert ja bereits NLA, und es geht gar nicht erst weiter zum Server ("Client" und "Server" sind jetzt in Bezug auf RDP zu verstehen). 

    Keine Erfolgsgarantie, aber Du kannst versuchen, den Namen eines HEIMPC, auch wenn er nicht in der Domäne ist, auf die "Anmelden An"-Liste zu setzen.

    Mittelfristig jedoch wäre das explizite Zuweisen von Anmelderechten per Sicherheitsrichtlinie statt per AD die elegantere, kompatiblere und wartungsärmere Lösung.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 11. Dezember 2019 15:21
  • Question
    Anmelden
    0
    Anmelden

    Ich bin mir nicht sicher, ob Du recht hast.

    Lassen wir den heimischen PC aus. 

    Die Verbindung klappt mit aktiviertem NLA auch nicht, wenn ich vom (Domain-)Server aus per RDP auf den PC (Domänenmitglied) gehe.

    Mittwoch, 11. Dezember 2019 15:25
  • Question
    Anmelden
    0
    Anmelden

    Ich bin mir nicht sicher, ob Du recht hast.

    Zum Glück ist es vollkommen egal, ob ich recht habe :-) Wir haben nun mal festgestellt, dass Dein Phänomen im Zusammenspiel aus NLA und Anmeldebschränkung wurzelt. So wie ich es sehe, hast Du also zwei Varianten:

    1. das Ganze diagnostizieren. Am Ende sind es noch die Domain-Controller, die auf die Liste müssen, damit es klappt ;-) Ich würde in diesem Fall das Auditing hochdrehen, die Ablehnung der Anmeldung provozieren und in der entsprechenden Event-ID die Maschine raussuchen, bei der es geknallt hat.
    2. diese veraltete Anmeldebeschränkungs-Kiste aufräumen und mit Gruppenrichtlinien arbeiten. Siehe z.B. bei Martin: http://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 11. Dezember 2019 16:47
  • Question
    Anmelden
    0
    Anmelden

    Danke für deine Ausführungen und den Link.

    Werde mir das mal in Ruhe ansehen.

    Es hat mich nur gewundert, weil es mit Win7 diese Probleme nicht gab und es dort auch schon NLA für RDP gab.

    Mittwoch, 11. Dezember 2019 20:14