none
Lokal anmelden an Windows 2008 Server mit Domäne RRS feed

  • Frage

  • Hallo,

    ich möchte einen Benutzer an einem Windows 2008 Server lokal anmelden. Ich habe dem Benutzer bereits über den Gruppenrichtlinien Editor in die Richtlinien "Anmelden über Terminaldienste zulassen" und "lokal anmelden zulassen" hinzugefügt.

    Wenn ich nun aber bei der Anmeldenmaske des Servers folgendes eingebe:

    Benutzername: Servername\Benutzer
    Passwort: xxx

    dann kommt die Fehlermeldung das der angebene Bnutzer bzw. das Passwort  falsch ist.

    Muss ich den Benutzer noch in eine Bestimmt Gruppe hinzufügen oder Ihm noch andere Berechtigungen geben?

     

    Dienstag, 4. Mai 2010 09:39

Antworten

  • Meines erachtens nichts.

    Wenn du zum Beispiel das Snapin "lokale Benutzer und Gruppen" auf dem DC anfassen willst "meckert" er dich schon sofort an, das der lokale Rechner ein Domänencontroller ist und deshalb nicht darüber verwaltet werden kann.

    Aber da lasse ich mich auch gerne eines besseren belehren, wenn also noch einer der Moderatoren oder MVP's eine Info dazu hat immer her damit, bin begierig zu lernen.

     

    Am Rande auch auf einem Windows Server 2003 Domänencontroller solltest du dich nicht mit einem Benutzerkonto lokal authentifizieren können. Gleiche Problematik wie bei Windows Server 2008


    Marcel Brabetz
    • Als Antwort markiert mfi_1989 Dienstag, 4. Mai 2010 11:10
    Dienstag, 4. Mai 2010 11:04

Alle Antworten

  • Hi,

     

    momentan hört es sich für mich so an als ob der Server an dem er sich anmelden soll nen DC ist.

    Wenn dieses so ist, gibt es dort kein lokales Konto.

    Du müsstest dich dort also mit

    Benutzername: Domänenname\benutzername

    Passwort:xxxx

    anmelden.

    Für den Fall das es kein Domänencontroller ist, solltest du eventuell prüfen ob der Server lokal über dieses Konto verfügt und ob du überhaupt willst das er sich wirklich an dem Gerät lokal mit einem lokalen Benutzer oder an dem Gerät mit dem Domänenkonto anmelden soll.

    Hoffe der zweite Teil war verständlich ausgedrückt.

     


    Marcel Brabetz
    Dienstag, 4. Mai 2010 09:46
  • Ja es ist ein DC.

    Nur mein Problem ist, dass ich einen Blackberry Enterprise Express Server auf dem Windows 2008 Server installieren will und dazu muss sich einen Benutzer, den ich erstellt habe, Lokal an dem Server anmelden.

    Kann man sich denn bei einem Windows 2008 Server mit DC überhaupt noch lokal anmelden?

    Dienstag, 4. Mai 2010 09:52
  • Hi,
     
    Am 04.05.2010 11:39, schrieb mfi_1989:
    > ich möchte einen Benutzer an einem Windows 2008 Server lokal anmelden.
    > Ich habe dem Benutzer bereits über den Gruppenrichtlinien Editor in die
    > Richtlinien "Anmelden über Terminaldienste zulassen" und "lokal anmelden
    > zulassen" hinzugefügt.
     
    .... und es geht nicht? Dann hast du die flasche Stelle editiert.
     
    Du hast es in der "Lokalen Sicherheitsrichtlinie" eingestellt?
    Die wird von der Default Domain Policy überstimmt, falls es
    dort definiert ist, was per Design nicht der Fall ist, denn die
    normalerweise gewinnende Richtlinie auf einem DC ist die
    Default Domain Controllers Policy.
    Auch ein grund warum die so heisst ;-)
     
    Nachdem du es in dieser editiert hast musst du entweder 5 Minuten
    warten oder gpupdate per Hand ausführen.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage: www.gruppenrichtlinien.de - deutsch
    Discuss : www.freelists.org/list/gpupdate
     
    Dienstag, 4. Mai 2010 10:03
  • okay, wenn das so ist musst du dich aber definitiv nicht mit

    servername\benutzername sondern mit

    domänenname\benutzername anmelden.

     

    Das ist zumindest das was du oben geschrieben hast.

    >Wenn ich nun aber bei der Anmeldenmaske des Servers folgendes eingebe:

    >Benutzername: Domänenname\benutzername

     

    also versuche doch bitte dich mal wie oben beschrieben anzumelden.

    Ansonsten solltest du auch noch schauen was Mark beschrieben hat.

     


    Marcel Brabetz
    Dienstag, 4. Mai 2010 10:19
  • Ich bin in die Gruppenrichtlinien gegangen und haben einen Rechtsklick auf die Default Domain Controllers Policy gemacht und auf bearbeiten geklickt.
    Dann erschien der Gruppenrichtlinienverwaltungs-Editor.
    In diesem habe ich dann den Benutzer wie oben in die Richtlinien unter

    Computerconfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien-> Zuweisen von Benutzerrechten

    hinzugefügt.

    Im Anschluss habe ich auch gpupdate ausgeführt.

    Wenn ich jetzt in die Lokalen Sicherheitsrichtlinien gehe, ist der Benutzer auch in den jeweiligen Richtlinien eingtragen("Anmelden über Terminaldienste zulassen" und "lokal anmelden zulassen").

    Aber es funktioniert trotzdem nicht. Leider :(

    Deswegen ja meine Frage ob es überhaupt möglich ist sich bei einem Windows 2008 Server mit DC lokal anzumelden.

     

    Aber danke schonmal für die antworten.
    Dienstag, 4. Mai 2010 10:25
  • ich möchte mich ja nicht mit:

    Benutzerame': Domänenname\Benutzername

    sondern mit

    Servername\Benutzername

    anmelden, da ich mich ja lokal an dem Server anmelden möchte und nicht in der Domäne.

    Dienstag, 4. Mai 2010 10:27
  • Wie gesagt das geht nicht. Zumindest nicht auf einem schreibbaren DC

    Marcel Brabetz
    Dienstag, 4. Mai 2010 10:28
  • was bedeutet denn "schreibbaren DC"?

    Dann verstehe ich nicht warum Blackberry behauptet man soll einem Benutzer die Rechte geben sich lokal anmelden zu können.

    Dienstag, 4. Mai 2010 10:32
  • Wenn du dich versuchst mit Servername\Benutzername anzumelden authentifizierst du dich gegen die lokale Benutzerverwaltung des Computers. Die ist aber bei einem schreibbaren Domänencontroller "deaktiviert".

    Wenn du dich mit Domänenname\Benutzername anmeldest authentiizierst du dich gegen das Active Directory deiner Domäne.

     

    Da du in der lokalen Benutzerverwaltung aber wohl kaum einen Benutzer hinzugefügt hast, wirst du dich wohl auch nicht mit dem anmelden können.

    Mit schreibbar meine ich einen "vollwertigen" Domänencontroller auf dem du Änderungen im AD vornehmen kannst. Auf einem so genannten RODC (read only domain controller) kannst du keine Änderungen am AD vornehmen (die werden von anderen schreibbaren DC's auf den nicht schreibbaren DC repliziert) und da kann man sich wohl auch lokal anmelden (Hab ich hier im Forum nen Beitrag zu gesehen find ihn nur leider gerade nicht).

     

    Ich vermute mal RIM meint das du dich "lokal" vor den Rechner begeben sollst. Vor der Maschine sitzend.


    Marcel Brabetz
    Dienstag, 4. Mai 2010 10:48
  • achso verstehe.

     

    Nein RIM meint schon das man einen Benutzer Lokal anmelden soll. Dazu gibt es ja auch ein Toturial Video auf der Blackberry Homepage. Nur das Problem an dem Toturial ist das als Beispiel Server ein Englischer Windows 2003 Server benutzt wurde.

    https://www.blackberry.com/blackberrytraining/web/_content/indexExternal.html?cc=3731382d30323036335f42455358496e7374616c6c&cx=3230393930313031&cl=656e&cg=636f6e6669675f6c6f76655f707572706c652e786d6c

    Und bei den Vorraussetzungen für den Blackberry Enterprise Server Express steht das es auch auf einem Windows 2008 Server installiert werden kann. Also gehe ich davon aus, dass ich dieses gesamte Toturial Video auch auf den Windows 2008 Server anwenden kann.

     

    Kann man denn auf einem DC noch einen Lokalen Benutzer einrichten?

    Dienstag, 4. Mai 2010 10:55
  • Meines erachtens nichts.

    Wenn du zum Beispiel das Snapin "lokale Benutzer und Gruppen" auf dem DC anfassen willst "meckert" er dich schon sofort an, das der lokale Rechner ein Domänencontroller ist und deshalb nicht darüber verwaltet werden kann.

    Aber da lasse ich mich auch gerne eines besseren belehren, wenn also noch einer der Moderatoren oder MVP's eine Info dazu hat immer her damit, bin begierig zu lernen.

     

    Am Rande auch auf einem Windows Server 2003 Domänencontroller solltest du dich nicht mit einem Benutzerkonto lokal authentifizieren können. Gleiche Problematik wie bei Windows Server 2008


    Marcel Brabetz
    • Als Antwort markiert mfi_1989 Dienstag, 4. Mai 2010 11:10
    Dienstag, 4. Mai 2010 11:04
  • Ok dann versuche ich die Software mal so zu installieren und schaumal was dabei rauskommt.

    Danke für die Hilfe.

    Dienstag, 4. Mai 2010 11:09
  • Servus,

    auf einem DC gibt es --> eigentlich <-- keine lokale SAM mehr. Eigentlich deshalb, da es doch noch eine lokale SAM auf einem DC gibt. In dieser ist nämlich das Konto für den "Verzeichnisdienst-wiederherstellen" gespeichert. Die lokale SAM ist also mit einer SAM von einem Mitgliedsserver nicht zu vergleichen. Deshalb: Auf einem DC gibt es keine lokalen Konten, bis auf das Konto für den DSRM (Directory Service Restore Mode).

    Was den RODC anbetrifft: Auf einem RODC kann man einen lokalen "Administrator" definieren. Dieser kann dann Wartungsarbeiten, Updates etc. an diesem (und nur diesem) RODC durchführen.

    Siehe im folgenden Artikel ganz unten den Abschnitt "Die Verwaltung des RODC":

    [LDAP://Yusufs.Directory.Blog/ - Die Installation eines RODC]
    http://blog.dikmenoglu.de/Die+Installation+Eines+RODC.aspx


    Infos über den RODC gibt es hier:

    [LDAP://Yusufs.Directory.Blog/ - Read-Only Domain Controller (RODC)]
    http://blog.dikmenoglu.de/PermaLink,guid,a3e46251-cd04-44a3-86c2-0ce66e6b6be8.aspx


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Dienstag, 4. Mai 2010 11:28
  • Am 04.05.2010 12:27, schrieb mfi_1989:
    > ich möchte mich ja nicht mit:
    > Benutzerame': Domänenname\Benutzername
    > sondern mit
    > Servername\Benutzername
     
    ... wenn es ein DC ist, gibt es KEINE LOKALEN Konten mehr.
    Es muss also DOMAIN\User werden.
     
    > anmelden, da ich mich ja lokal an dem Server anmelden
    > möchte und nicht in der Domäne.
     
    .... dann starte den DC im DSRM, denn im "Life"-Betrieb ist
    er ein DC und kein MemberServer.
     
    Aber klären wir noch mal den wichtigsten Punk von allen:
    Ist es nun ein DC oder nicht?
     
    Ja? edit DefDomConPol und Anmeldung mit Domain\User
    Nein? edit Lokale Sirili und Anmelgung mit Servername\User möglich
    vorausgesetzt, der User wurde LOKAL angelegt.
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage: www.gruppenrichtlinien.de - deutsch
    Discuss : www.freelists.org/list/gpupdate
     
    Dienstag, 4. Mai 2010 11:33
  • Es ist ein DC.

    Also hat sich das Problem schon erledigt.

    Ich habe die Installation des Blackberry Enterprise Server Express eben gestartet und schau was passiert und ob ich die Berechtigung zum lokalen anmelden überhaupt benötige.

     

    Danke!

    Dienstag, 4. Mai 2010 11:40
  • Hi <realname please>
     
    > Also hat sich das Problem schon erledigt.
    >
    > Ich habe die Installation des Blackberry Enterprise Server Express eben
    > gestartet und
    > schau was passiert und ob ich die Berechtigung zum lokalen anmelden
    > überhaupt benötige.
     
    supportet RIM überhaupt die Installation auf einem DC? Wenn ja, dann bitte
    das zugehörigen Whitepaper verwenden, wenn nein, dann bitte AUSSCHLIESSLICHE
    auf einem Member Server installieren.
     
    Das Vorgehen wie von Dir seitens RIM erwähnt, beschreibt eine Installation
    auf einem Member Server (<-- Best Practice).
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Dienstag, 4. Mai 2010 11:58
  • Danke Tobias,

     

    hab ich vergessen zu schreiben. Das dieses Tutorial für einen Memberserver ist.


    Marcel Brabetz
    Dienstag, 4. Mai 2010 12:44
  • Also die Installation des Blackberry Enterprise Express Servers hat normal funktioniert und das Blackberry hat sich auch normal Synchronisiert.

    Also wurde das lokale anmelden des Blackberry Benutzers garnicht benötigt.

    Aber Danke für eure hilfe!!

    Dienstag, 4. Mai 2010 22:17
  • Schön das es auch so geklappt hat.

    Danke für das Feedback bezüglich RIM.


    Marcel Brabetz
    Mittwoch, 5. Mai 2010 08:11
  • Das stimmt nicht so ganz: Wenn ein User Mitgleid der Gruppe "Kontenoperatoren" ist, kann er sich LOKAL an einem DC anmelden (bei 2008R2 und 2008 zumindest..)

    T.Pfaff

    Freitag, 30. März 2012 10:23
  • Ja, Wenn Du einen User generierst, der Mitglied der Gruppe "Kontenoperatoren" ist. Möglichst NICHT einen wichtigen vorhandenen User dazu hinzufügen. Er verliert dann fast alle bisherigen Eigenschaften. Also am besten einen Kontenoperatoren-User für diesen Zweck erstellen.
    Freitag, 30. März 2012 10:27
  • Endlich mal eine gute Antwort mit "Überstimm"-Hinweis! Weiter so..
    Freitag, 30. März 2012 10:28