Windows 2012 als Domaincontroller + Remotedesktopdienste Server: Taskmanager als User öffnen

Alle Antworten

• 

  

  0

  Anmelden

  > ist aber bewußt so.). Nun habe ich aber das Problem dass normale

  > "Domänen-Benutzer" Konten den Taskmanager nicht öffnen können. Es kommt

  > die "normale" UAC Abfrage.

   

  Noch nie gesehen, dass der Taskmanager einen UAC-Prompt bringen würde.

  Was hast Du da umkonfiguriert?

   

  ---

  Martin
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))

  Montag, 25. November 2013 11:31

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Martin,

  Tja - wenn ich das wüßte ;) Nein - großes ist zumindest bewusst nicht konfiguriert.
  

  Folgende Settings ziehen für den User:

  

  Wenn man danach goggelt kommt schon einiges; u.a. hat wohl unter 2008R2 mal ein Recht gefehlt und daher kamm immer diese Abfrage. Speziell zu 2012 + DC + RDP hab ich aber absolut nichts finden können und bin langsam mit meinem Latein am Ende. Diese Meldung kommt wenn ich mich als User einlogge: 

  

  Habt Ihr eine Idee?

  Vielen Dank!

  Tobi

  Montag, 25. November 2013 12:26

  Antworten

  |

  Zitieren
• 

  

  1

  Anmelden

  > Gebe ich ein Konto mit Adminrechten an funktionierts tadellos - Welches

  > Recht fehlt mir nun zum Glück?

   

  Ich würde es mal als Bug bezeichnen:

   

  http://social.technet.microsoft.com/Forums/windows/en-US/9a335ddf-b7e8-4970-8046-41c19183c18b/why-do-i-get-an-uac-prompt-when-i-start-task-manager-from-the-desktop

   

  Starten tut er nämlich problemlos, auch wenn Du KEINEN Admin-User

  angibst, sondern einfach den, mit dem Du schon angemeldet bist.

   

  In 2008(R2) war dafür dieser Button auf der Prozesse-Seite erforderlich:

  "Prozesse aller Benutzer anzeigen" - den haben sie weg-"optimiert".

   

  ---

  Martin
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))

  Montag, 25. November 2013 16:35

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi Martin,

  Nein - tut er leider nicht. Den zitierten Beitrag kannte ich zumindest Auszugsweise schon. Sobald ich den Taskmanager als User starte und dann mit den Userdaten nochmal die UAC Meldung bestätige bekomme ich die Fehlermeldung: "Anmeldung fehlgeschlagen: Der Benutzer besitzt nicht den benötigten Anmeldetyp auf diesem Computer". Die man auch im Screenshot sieht. Gebe ich hingegen jetzt Adminrechte an komme ich rein...

  hm...

  Tobi

  ---

  Tobias Täuber

  Montag, 25. November 2013 17:37

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  > mit den Userdaten nochmal die UAC Meldung bestätige bekomme ich die

  > Fehlermeldung: "Anmeldung fehlgeschlagen: Der Benutzer besitzt nicht den

  > benötigten Anmeldetyp auf diesem Computer". Die man auch im Screenshot

  > sieht. Gebe ich hingegen jetzt Adminrechte an komme ich rein...

   

  Da hast Du auch wieder recht... Bei mir hat's (auch auf nem DC,

  allerdings 2012R2) funktioniert, allerdings mit lokaler Anmeldung. Ich

  hab dazu lediglich in der Default Domain Controller Policy die Rechte

  "Lokale Anmeldung" und "Anmeldung über Remote Desktop" geändert und für

  Domänenbenutzer zugelassen.

   

  Grad noch mal per RDP probiert: Geht auch.

   

  ---

  Martin
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))

  Dienstag, 26. November 2013 07:29

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Tobi, :)

  Selbes Problem hier auch(bin nicht 100% sicher, ob es weiterhilft :( ), aber schau mal bitte den folgenden Artikel:

  The user has not been granted the requested logon type at this computer

  -and I am trying to push out the application using the credentials of one of our Domain Admin accounts. Using the Protect Computers wizard with these credentials gives this error.

  how I change the "logon as a batch job" privilege

  GPO or local security policy: Security Settings -> Local Policies -> User Rights Assignments

  Note there is a Deny logon as a batch job and a Log on as a batch job policy.

  Had to add the user I was using to install to the "logon as batch job" policy entry. Went to do it on the local machine but it was greyed out and realised it was a GPO managed entry, added the user, rebooted the machines to pick up the updated policy, tried pushing the AV to the endpoint and they popped in nicely.

  UND: Log on as batch job right

  Technet: Log on as a batch job - This security setting allows a user to be logged on by means of a batch-queue facility.

  Gruss,

  Alex

  ---

  Alex Pitulice, MICROSOFT 
  Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

  Dienstag, 26. November 2013 10:13

  Antworten

  |

  Zitieren
• 

  

  1

  Anmelden

  > Fehlermeldung: "Anmeldung fehlgeschlagen: Der Benutzer besitzt nicht den

  > benötigten Anmeldetyp auf diesem Computer". Die man auch im Screenshot

  > sieht. Gebe ich hingegen jetzt Adminrechte an komme ich rein...

   

  Ach jeh, bin ich manchmal langsam. Werd wohl alt... ;-)

   

  Check bitte das Security Eventlog. Da sollte eine fehlgeschlagene

  Anmeldung inkl. Anmeldetyp drinstehen...

   

  ---

  Martin
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))

  • Als Antwort markiert Alex Pitulice Freitag, 29. November 2013 15:41

  Dienstag, 26. November 2013 15:21

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Tobias,

  bist Du weitergekommen?

  Gruss,

  Alex

  ---

  Alex Pitulice, MICROSOFT 
  Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

  Donnerstag, 28. November 2013 09:02

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi Martin, Hi Alex,

  sorry für die verspätete Antwort: Der Tipp von Martin war gold Wert :-) Manchmal lohnt ein Blick ins Eventlog tatsächlich. Es hat an der fehlenden Berechtigung zur "lokalen Anmeldung" gelegen. Kaum habe ich in der Default Domain Controller Policy unter

  "Richtlinien/Windows Einstellungen/Sicherheitseinstellungen/Zuweisen von Benutzerrechten/Lokal anmelden zulassen:"

  die Domänen Benutzer hinzugefügt ging auch der Task-Manager auf. Es erscheint als Domain-User zwar nach wie vor die UAC-Abfrage, bestätige ich diese mit meinen User Credentials jedoch - gelange ich in den Taskmanager rein.

  Vielen Dank nochmal an Martin!

  Tobi

  ---

  Tobias Täuber

  Freitag, 29. November 2013 15:34

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Tobias,

  danke Dir für die Rückmeldung, und danke an Martin für die Hilfe in den Foren !! :)

  Schönes Wochenende!

  Gruss,

  Alex

  ---

  Alex Pitulice, MICROSOFT 
  Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

  Freitag, 29. November 2013 15:45

  Antworten

  |

  Zitieren
• 

  

  1

  Anmelden

  > erscheint als Domain-User zwar nach wie vor die UAC-Abfrage, bestätige

  > ich diese mit meinen User Credentials jedoch - gelange ich in den

  > Taskmanager rein.

   

  Das liegt am UAC-Level. Wenn Du den von der höchsten auf die

  zweithöchste Stufe runterdrehst, dann kommt kein Dialog mehr.

   

  ---

  Martin
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))

  Montag, 2. Dezember 2013 08:37

  Antworten

  |

  Zitieren