Remove From My Forums

Blank Desktop on Windows Server 2008 after DCPROMO

Frage
0

Anmelden

Ein frischinstallierter Windows 2008R2 Server kann nach dem DCPROMO nach dem anmelden keinen Desktop mehr anzeigen.

Der MS Article ID: 970879 hilft nicht weil dort dieser Effekt nur für Server beschrieben ist. Der DC hat aber keine lokale Benutzerverwaltung.

Vor dem DCPROMO war das Anmelden möglich.

Jetzt habe ich UAC abgeschaltet und kann mich mit Desktop anmelden.

Wie kann ich das Problem lösen damit ich das Sicherheitsfeature UAC wieder aktivieren kann.

Dietmar

Systemadministrator

Dienstag, 13. Juli 2010 16:15

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Hi,

Am 13.07.2010 18:15, schrieb DIDI303:

Wie kann ich das Problem lösen damit ich das Sicherheitsfeature UAC
wieder aktivieren kann.

Erst mal den ganze Drittanbieter Dreck deinstallieren, die Autostart
und RUN keys der Registry von dem ganzen Tools Gelumpe befreien, dann
das Benutzerprofil löschen und neuerstellen lassen.

Aber davon mal abgesehen und provokativ: Es ist ein DC, wozu UAC?
Deppen, die alles anklicken, was nicht bei 3 automatisch bestätigt wird,
haben auf dem System nichts zu suchen und wer auf dem Server die Finger
nicht von den XXX Seiten lassen kann, wenn er als DomAdmin angemeldet
ist, dem hilft auch UAC nichts, denn der macht den Server auch ohne
UAC kaputt.

Wäre die Installation von Brain 1.0 nicht der wesentlich bessere Weg?

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
NNTP Bridge: http://communitybridge.codeplex.com/releases

Dienstag, 13. Juli 2010 18:00

Antworten

|

Zitieren
0

Anmelden

* Mark Heitbrink [MVP] (Tue, 13 Jul 2010 18:00:57 +0000)

Am 13.07.2010 18:15, schrieb DIDI303:

Wie kann ich das Problem lösen damit ich das Sicherheitsfeature UAC
wieder aktivieren kann.

Erst mal den ganze Drittanbieter Dreck deinstallieren, die Autostart
und RUN keys der Registry von dem ganzen Tools Gelumpe befreien, dann
das Benutzerprofil löschen und neuerstellen lassen.

Aber davon mal abgesehen und provokativ: Es ist ein DC, wozu UAC?
Deppen, die alles anklicken, was nicht bei 3 automatisch bestätigt
wird, haben auf dem System nichts zu suchen und wer auf dem Server die
Finger nicht von den XXX Seiten lassen kann, wenn er als DomAdmin
angemeldet ist, dem hilft auch UAC nichts, denn der macht den Server
auch ohne UAC kaputt.

Aber UAC ist doch ein Sicherheitsfeature!!!!1 ;-)

Thorsten

Mittwoch, 14. Juli 2010 08:19

Antworten

|

Zitieren
0

Anmelden

Hallo,

erst mal Danke für die schnelle Antwort.

Der Server ist neu installiert ==> nur Tools und Gelumpe von der Microsoft Server DVD. Das Verhalten mit dem leeren Desktop tritt bei beliebigen Benutzern auf es hat also nicht mit defekten Profilen zu tun.

UAC finde ich prinzipiell eine Gute Sache und deshalb sollte es Grundsätzlich laufen, auch auf einem DC. Bei einem DC mit UAC eine Ausnahme zu machen und es deaktiviert lassen würde zu einer Ausnahme im Sicherheitskonzept führen und es dadurch verschlechtern.

Vieleicht hat ja noch jemand eine Idee???

Dietmar

Mittwoch, 14. Juli 2010 08:47

Antworten

|

Zitieren
0

Anmelden

Hi,

Am 14.07.2010 10:47, schrieb DIDI303:

Das Verhalten mit dem leeren Desktop tritt bei beliebigen

> Benutzern auf es hat also nicht mit defekten Profilen zu tun.

Du bist sicher, das das Default User Profil nicht die Fehlerquelle ist,
wenn alle das Problem haben?

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
NNTP Bridge: http://communitybridge.codeplex.com/releases

Mittwoch, 14. Juli 2010 09:43

Antworten

|

Zitieren
0

Anmelden

Hallo,

UAC finde ich prinzipiell eine Gute Sache und deshalb sollte es Grundsätzlich laufen, auch auf einem DC. Bei einem DC mit UAC eine Ausnahme zu machen und es deaktiviert lassen würde zu einer Ausnahme im Sicherheitskonzept führen und es dadurch verschlechtern.

UAC steht für User Access Control... hier steckt der Widerspruch schon im Wort: USER sollten sich nicht an einem DC anmelden dürfen und können das in der Default-Einstellung auch nicht. Das sollte ausschließlich den Administratoren vorbehalten bleiben. Somit, in Ergänzung zu Marc´s Ausführung, ist die Funktion UAC auf einem DC obsolete!

Wenn Du es lediglich des Prinzips wegen haben möchtest... naja, jedem Tierchen sein Plessierchen...

Gruß
/Armin
Armin Simon

Mittwoch, 14. Juli 2010 10:35

Antworten

|

Zitieren
0

Anmelden

* Armin Simon (Wed, 14 Jul 2010 10:35:16 +0000)

UAC finde ich prinzipiell eine Gute Sache und deshalb sollte es
Grundsätzlich laufen, auch auf einem DC. Bei einem DC mit UAC eine
Ausnahme zu machen und es deaktiviert lassen würde zu einer Ausnahme
im Sicherheitskonzept führen und es dadurch verschlechtern.

UAC steht für User Access Control... hier steckt der Widerspruch schon
im Wort: USER sollten sich nicht an einem DC anmelden dürfen und
können das in der Default-Einstellung auch nicht. Das sollte
ausschließlich den Administratoren vorbehalten bleiben. Somit, in
Ergänzung zu Marc´s Ausführung, ist die Funktion UAC auf einem DC
obsolete!

UAC ist AAC - Admin Access Control. Und genau deshalb ist "UAC" (AAC) auch so sinnlos und gefaehrlich. Auf einer Workstation nur sinnlos; auf einem Server sinnlos und gefaehrlich.

Thorsten
[1] als normaler User bekommt man nur einen "Runas"-Prompt

Mittwoch, 14. Juli 2010 13:04

Antworten

|

Zitieren
0

Anmelden

Die Lösung des Problems ist hier:

http://support.microsoft.com/kb/970879

hier:

http://blogs.technet.com/b/brad_rutkowski/archive/2008/05/29/staring-at-a-blank-desktop-due-to-interactive-missing-from-users-group.aspx

und hier:

http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/0340b1c2-2709-4293-8d75-a58a2a92b980

doumentiert.

Da auf DCs nicht mit lokalen Benutzern/Gruppen gearbeitet wird, sollte sichergestellt werden, dass "Interactive" und "Authenticated Users" Mitglieder der Gruppe "BUILTIN\Users" der Domäne sind.

Gruß

Frank

Freitag, 6. August 2010 11:22

Antworten

|

Zitieren