Remove From My Forums

Active Directory - wie die interaktive anmeldung erlauben ?

Frage
0

Anmelden

Hallo TechNet Gemeinde,

wir haben bei uns im Büro mit 8 Personen seit ein paar Monaten einen SBS2011 mit installierter Exchange und Active Directory Rolle.

Wir wollten gerne die Outlook Kalender untereinander freigeben etc. und dafür wollte ich nun nach und nach alle Rechner in die Active Directory bringen.Das hinzufügen der Rechner in die AD funktioniert auch prima, allerdings kann man sich nicht an dem PC mit einem AD Konto anmelden.

Daraufhin erscheint folgende Meldung: "Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden."

Deswegen meine kurze Frage, welche Rechte/Einstellungen müssen noch getroffen werden das diese Anmeldung möglich ist ?

Dienstag, 28. Mai 2013 07:40

Antworten

|

Zitieren

Alle Antworten

1

Anmelden
Das ist kein Standardverhalten für einen nach Standard installiertem SBS.

Deswegen die Fragen:

Wie meldest Du Dich mit welchem Benutzer an welchen Betriebssystem an?
Welche Active Directory Gruppenzugehörigkeiten hat dieser Benutzer?
Was wurde seit der Erstinstallation alles am SBS verändert (nichts ist die falsche Antwort da obiges Verhalten sonst nicht auftreten würde)
Wenn Du Dich als Domain Administrator an den betroffenen Rechner anmelden kannst, was ergibt die Analyse der Ausgabe von:

GPRESULT /USER <affected_user> /H C:\Temp\GPReport.html

--

Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email: T.Redelberger@starnet-services.net
Web: http://www.starnet-services.net
Dienstag, 28. Mai 2013 08:41

Antworten

|

Zitieren

Moderator
0

Anmelden

1. Derzeit sind alle Arbeitsrechner der Kollegen im Büro mit Windows 7 Pro ausgestattet. Die Anmeldung erfolgt derzeit noch mit einem lokalen Benutzerkonto.

2. Die AD Benutzer sind alle mitglied in der Gruppe "Domänen-Benutzer".

3. Der Exchange wurde von einer externen Firma eingerichtet ... ich muss da mal anrufen ......

4. Melde ich mich als AD Admin an einem der Rechner an und führe den Befehl aus bekomme ich folgendes zurück:

"INFORMATION: Benutzer "fpo" hat keine RSOP-Daten"

Dienstag, 28. Mai 2013 09:22

Antworten

|

Zitieren
1

Anmelden

Aja, stimmt ja, wenn der Benutzer sich noch nicht anmelden konnte dann gibt's dort auch keine "Resultant Set of Policies".. ;)

Ok, dann überprüfe bitte als Domain Admin auf dem betroffenen Client:

GPRESULT /scope COMPUTER /H C:\Temp\GPReport.html

welche Berechtigungen unter:

vergeben wurden.

Überprüfe dann von welcher Gruppenrichtlinie ggf. diese Einstellung kommt und ob der betroffenen Benutzer auch Mitglied einer dieser LOKALEN Gruppe auf dem betroffenen Computer ist.

--

Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email: T.Redelberger@starnet-services.net
Web: http://www.starnet-services.net

Dienstag, 28. Mai 2013 13:09

Antworten

|

Zitieren

Moderator
0

Anmelden
Danke für deine schnelle Hilfe !

Ich habe jetzt mal wieder Zeit gefunden mich weiter um das Thema zu kümmern.

1)

Ich habe mich mit dem Domain Admin auf einem der PCs angemeldet und das oben stehende GPRESULT /scope COMPUTER ausgeführt.

Dort bekomme ich dann ebenfalls die Meldung: INFORMATION: Benutzer "Admin" hat keine RSOP-Daten.

2)

Auf dem AD Server sind unter "Lokal anmelden zulassen" folgende Benutzergruppen eingetragen.

- Administratoren, Druck-Operatoren, Konten-Operatoren, Domänen-Benutzer, Server-Operatoren, Sicherungs-Operatoren

Der Benutzer "fpo" ist auf dem AD Server in der Gruppe "Domänen-Benutzer"

Bin mit meinem Latein am Ende, hat noch jemand eine Idee ?
- Bearbeitet Fabio_P Dienstag, 4. Juni 2013 07:21
Montag, 3. Juni 2013 08:20

Antworten

|

Zitieren