none
Accesso interattivo non consentito RRS feed

  • Domanda

  • Ho un server Win2003R2.

    Se provo a loggarmi sul server come uno USER dell'Active Directory, mi compare il seguente messaggio: "Criterio di protezione locale non consente l'accesso intereattivo".

    Come fare per consentire ad alcuni utenti della mia rete di loggarsi sul server?

    Ho già provato ad inserire l'utente nell'elenco di quelli che hanno l'autorizzazione relativa a CONSENTI ACCESSO LOCALE", ma non cambia nulla.

    Spero che qualcuno mi risponda al più presto.

    venerdì 5 agosto 2011 16:17

Tutte le risposte

  • Hai verificato che l'utente o il gruppo non sia presente nella policy Deny log on locally.

    Ciao

     

    venerdì 5 agosto 2011 21:16
  • Assolutamente si.

    Nessun utente o gruppo è presente in quella policy.


    Dimenticavo di dire che il server in questine è anche Domain Controller
    sabato 6 agosto 2011 14:13
  • La strada più rapida penso sia quella di inserire gli user che intendi far loggare localmente, ad esempio, nel gruppo backup operator, che dovrebbe garantire la possibilità di loggarsi localmente.... (eviterei il gruppo administrators...).

     

    Oppure, essendo un DC, nella gpo di default dei domain controller inserisci gli utenti nella policy "allow logon on localy" , poi lancia il comando gpupdate /force

     


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adrsys.it
    sabato 6 agosto 2011 20:36
  • Ho già provato ad inserire l'utente tra i gruppi che possono accedere al server ma mi da sempre lo stesso problema.
    sabato 6 agosto 2011 22:11
  • apri in editing le Default Domain Controller Policies ed aggiungi gli utenti che desideri nel diritto di Logon locally che per default nelle Domain Controller Policies è consentita solo ai domain admin.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    domenica 7 agosto 2011 07:26
    Moderatore
  • ..era pur sempre la mia seconda opzione!! :))
    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adrsys.it
    domenica 7 agosto 2011 07:52
  • scusa, hai ragione :)
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    domenica 7 agosto 2011 08:09
    Moderatore
  • Ripeto che ho già provato a inserire l'utente tra quelli che possono loggarsi localmente al DC, ho eseguito pure il GpUpDate/Force. Ma sembra che questa strada non porti a nulla di nuovo. Mi segnala sempre lo stesso messaggio: "criterio locale non coneste l'accesso interattivo".

    Per essere più chiaro, la strado che faccioo è la seguente:

    Strumenti di amministrazione

    Criteri di protezione del controller di dominio

    Criteri locali

    Assegnazione diritti utenti

    Consenti accesso locale (qui inseirisco l'utente ai gruppi già autorzzati, ovvero: Account Operators, Administrators, Backup Operators, Print Operators, Server Operators).

    Infine faccio GPUPDATE /force.

    Ma non cambia nulla.

    Nella Policy Nega Accesso non ci sono utenti a cui è negato l'accesso.

    Dove sbaglio?

    domenica 7 agosto 2011 12:11
  • 1. Strumenti di amministrazione

    2. Group policy managment console

    3. Espandi l'albero sulla sinistra (foresta->dominio.......)

    4. Policy di default Domain COntroller -> tasto dx -> edit

    In questa GPO (in computer setting.... trovi i criteri di protezione) troverai la policy per consentire agli utenti di connettersi localmente

     

    Poi, come sempre gpupdate /force


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adrsys.it
    domenica 7 agosto 2011 12:48
  • Scusa ma non è la stessa strada che o indicato io?

    domenica 7 agosto 2011 13:00
  • prova con un gpresult per verificare le poilicy applicate al server
    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adrsys.it
    domenica 7 agosto 2011 13:17
  • Ti posto parte del risultato del GPRESULT (la parte che credo dica qualcosa sul problema in questione):

    I seguenti oggetti Criteri di gruppo non stati appicati perchè sono stati esclusi dal filtro

    DEFAULT DOMAIN POLICY

      filtro: negato <protezione>

    DEFAULT DOMAIN CONTROLLER POLICY

     filtro: negato <protezione>

    CRITERI gruppo locale

     filtro: non applicato <vuoto>

    Qual è il fitro che esclude i criteri specificati?


    Inoltre ho notato che facendo:

    Utenti e Computer di Active Direcotory

    Tasto Dx su proprietà del dominio

    Scheda Criterio di gruppo

    Modifica Default Domain Policy

    Configurazione computer

    Inpostazioni Windows

    Impostazioni protezione

    Criteri Locali

    Assegnazone diritti utente

    La regola Consenti Accesso Locale non è definita

    Quindi sembra che non porti traccia di quanto ho fatto nel percorso precedente.

    Potrebbe essere questa la causa?

    In caso affermativo, qual è la differenza tra i due metodi? perchè si comportano in modo differente?

    • Modificato yoghi64 domenica 7 agosto 2011 14:52
    domenica 7 agosto 2011 13:50
  • Selezionando la policy, nella finestra di sinistra, troverai le varie impostazione di protezione e i filtri...

    Verifica la configurazione

    Leggi qui, se può esserti di aiuto:

    http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Security-Filtering.html

     


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adrsys.it
    domenica 7 agosto 2011 14:38
  • Inoltre ho notato che facendo:

    Utenti e Computer di Active Direcotory

    Tasto Dx su proprietà del dominio

    Scheda Criterio di gruppo

    Modifica Default Domain Policy

    Configurazione computer

    Inpostazioni Windows

    Impostazioni protezione

    Criteri Locali

    Assegnazone diritti utente

    La regola Consenti Accesso Locale non è definita

    Quindi sembra che non porti traccia di quanto ho fatto nel percorso precedente.

    Potrebbe essere questa la causa?

    In caso affermativo, qual è la differenza tra i due metodi? perchè si comportano in modo differente?

    domenica 7 agosto 2011 15:04
  • Stai facendo un po' di confusione.

    Ora parli della "Modifica Default Domain Policy"

    Mentre la GPO che devi modificare (e che in teoria hai modificato) è la Default Domain COntrollers Policy


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adrsys.it
    domenica 7 agosto 2011 15:20
  • Si ho capito ma quella che "in teoria" avrei modificato non funziona.

    L'altra invece sembra ancora non definita.

    Inoltre il tutto può dipendere dal fatto che la macchina in questione è contempraneamente server di dominio e Domain Controller?


    Inoltre "Group policy managment console" è la stessa cosa di "Criteri di protezione del controller di dominio"?
    domenica 7 agosto 2011 15:32
  • Innazitutto server di dominio e Domain controller sono la stessa cosa.

    Poi ho la sensazione che tu non sia attento a quanto ti venga proposto.

    In merito ai filtri: leggi il link che ti ho postato.

    In merito alla GPO da modificare non sono così convinto che tu abbia lavorato su quella corretta dato che io parlo della Default Domain Controller Policy mentre tu ti riferisci, qualche post precedente, ai criteri locali....

    La GPO che ti indico la trovi nella snapin Group policy management console... dove trovi tutto l'albero del dominio, con le OU e le relative policy....

    Verifica che tu stia lavorando sulle giuste policy.

    http://www.microsoft.com/italy/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx

     


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adrsys.it
    domenica 7 agosto 2011 15:57
  • Per essere più chiaro, la strado che faccioo è la seguente:

    Strumenti di amministrazione

    Criteri di protezione del controller di dominio

    Criteri locali

    Assegnazione diritti utenti

    Consenti accesso locale (qui inseirisco l'utente ai gruppi già autorzzati, ovvero: Account Operators, Administrators, Backup Operators, Print Operators, Server Operators).

    Infine faccio GPUPDATE /force.

     

    in base a quanto ho quotato un utente del gruppo Adminsitrators o Server Operators può accedere interattivamente al domain controller ?

    inoltre, poichè le policies si applicano nella sequenza:

    LSDOU = Local - Site - Domain - Organizational Unit per caso questo dc è collocato in un Site di AD o in una OU particolare ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    domenica 7 agosto 2011 17:32
    Moderatore
  • Effettivamente, al di là dei numerosi post... la soluzione l'ha indicata correttamente fin dall'inizio Edo...

    Inviterei Yoghi al eggere la documentazione indicata nei vari link... (eventualmente ricercarne altra anche all'interno del forum stesso o nella documentazione microsoft presente in rete)

    Tutte gli altri, inclusi i miei, non sono altro che delle ripetizioni di quanto indicato da Edo.

    Se poi, una volta che siamo sicuri che le indicazioni siano state applicate e verificate correttamente, si potranno ricercare soluzioni ad eventuali problemi che dovessero sorgere.

    Il fatto che un Domain controller sia stato spostato in una OU particolare non mi sembra una prassi troppo diffusa, ma nulla è da escludere, anche se dal risultato parziale del gpresult postato mi pare che venga ereditato dal server, anche se filtrata.


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adrsys.it
    domenica 7 agosto 2011 20:38
  • Scusate se insisto, ma due sono le cose

    a ) mi sono completamente rimbecillito (il che non è escluso in questo periodo)

    b) mi sfugge davvero qualcosa

    A scanso di equivoci vi posto tutti i passaggi che faccio:

    1. utenti e gruppi di acrive directory

    2. tasto dx su domain controllers

    3 scheda criterio di gruppo

    4 Default Domain Controllers Policy - Modifica

    5.Configurazione computer

    6.Impostazioni Windows

    7.Impostazioni protezione

    8.criteri locali

    9.asseganzioni diritti utente

    10.consenti accesso locale

    11. aggiungo l'utente desiderato a quelli gia impostati di default (account operators, administrators, backup operators, print operators, server operators)

    12.gpupdate/force

    Ma non cambia nulla.

    Se l'utente lo inserisco in uno dei gruppi di default, l'accesso lo fa fare.

    Dove sbaglio?

     

    lunedì 8 agosto 2011 08:59
  • A costo di dire cose già dette : l'unico motivo per cui un utente che fa regolarmente logon su altri server non riesce a fare logon su un D.C. è la Default Domain Controller Policy

    Il fatto che inserendo l'utente in uno dei gruppi "predefiniti" cambi la situazione, sembra a magior ragione indicativo.

    Puoi fare la prova creando un nuovo utente di dominio e dandogli il permesso ?

    P.S.

    Per caso cerchi di fare logon tramite remote desktop ?

    Nel qual caso l'utente va inserito anche fra quelli autorizzati alla connessione da remoto sul D.C. 


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 8 agosto 2011 09:27
  • E' giusto la prova che ho fatto.

    Ho inseirito un nuovo utente e l'ho inserito tra i gruppi che hanno il premesso di fare logon sul server.

    L'errore è sempre lo stesso:

    CRITERIO LOCALE IMPEDISCE L'ACCESSO INTERATTIVO.

    Può essere che qualche filtro impedisca l'esecuzione della policy?

    Non so davvero che psci pigliare.

    E pensare che il tutto altro non è che il primo passo. In realtà devo creare un VPN su sto maledetto server e di conseguenza mi serve un utente da definire che si possa loggare alla VPN. Ecco perchè prima provo a vedere se lo stesso utente si logga fisicamente sul server.

    lunedì 8 agosto 2011 11:30
  • E pensare che il tutto altro non è che il primo passo. In realtà devo creare un VPN su sto maledetto server e di conseguenza mi serve un utente da definire che si possa loggare alla VPN. Ecco perchè prima provo a vedere se lo stesso utente si logga fisicamente sul server.


    Scusa questa non l'ho capita. Quale è il nesso tra utente che può accedere in VPN con utente che si logga fisicamente nel server?

     

    Ciao

     

    lunedì 8 agosto 2011 11:55
  • Io devo creare una VPN su un server DC.

    Devo creare un utente di dominio che sia in grado di arrivare al DC tramite VPN?

    Non è necessario che abbia l'autorizzazione di loggarsi al server nella rete LAN?

    lunedì 8 agosto 2011 12:04
  • Se la finalità di tutto è solo accedere alla rete locale via VPN non ti serve che gli utenti abbiano il diritto di accedere al Domain Controller, devono solo avere il diritto di Accesso Remoto tramite Dial-in o VPN.

    Ciao

     

    lunedì 8 agosto 2011 15:53
  • Si vabbe ma il mistero dell'impossibilità di accedere al DC come utente resta-

    Vorrei proprio sapere dove sbaglo nella sequenza postata precedentemente

    lunedì 8 agosto 2011 19:48
  • Hai letto qui:

    http://technet.microsoft.com/en-us/library/ee957044(WS.10).aspx ?

    Nella nota finale... un utente dice che la policy è stata applicata solo dopo il reboot del server.... hai provato?

    Per la vpn invece... vale quanto detto da Andrea

     

     


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adrsys.it
    martedì 9 agosto 2011 00:22
  • Può essere che qualche filtro impedisca l'esecuzione della policy?

     

    l'unica possibilità è che ci sia un deny esplicito per gli utenti non admin nella ACL della Default Domain Controller Policy.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 9 agosto 2011 08:06
    Moderatore
  • Come fare per controllare?
    martedì 9 agosto 2011 08:39
  • chiamare un sistemista ? :-)

    quando selezioni la gpo, clicca su proprietà e vai sulla scheda protezione. ti troverai difronte ad una normale acl.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 9 agosto 2011 08:58
    Moderatore
  • Mi scuso se ho sbagliato ad parire un nuovo thread. Tu mi hai chiuso quello relativo ad desktop remoto dicendo che era gia in discussione qui.

    Io credevo che le due discussioni fossero distinte e separate. Qui chiedo l'aiuto per il logon sul un SERVER DC

    Nell'altro thread chiedo, anzi chiedevo prima che tu lo chiudessi, l'aiuto sulla connessione tramite desktop remoto sempre allo stesso server DC.

    Ma se le due cose sono in relazione, allora rinnovo le mie scuse.

    Se non lo fossero allora ribadisco la mia richiesta di aiuto anche per quel caso.

    martedì 9 agosto 2011 08:59
  • Se l'utente, da console (cioè andando fisicamente sul server) riesce a fare il logon, allora è un problema di RDP, quindi parliamo di quello.

    Se l'utente NON accede neanche in locale, allora RDP non è il problema.

    In un post precedente ti avevo già chiesto di spiegare COME tentavi di fare il logon.....


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 9 agosto 2011 09:34
  • Non riesco ad accedere al DC nè da console (stando fisicamente sulla tastiera del server) nè da desktop remoto (stando su un'altra macchina della rete lan).

    Se poi accedendo come Administrator sul DC tento di fare un desktop remoto, con account del solito utente non administrator) verso un altra macchina della rete LAN, anche in questo caso mi dice che il criterio locale del sistema non permette l'accesso interattivo. Mentre se lo faccio come administrator tutto va bene.

    Quindi dal DC non mi permette nè di entrare (fisicamente o desktop remoto) nè uscire (desktop remoto) con le credenziali di un normale utente.

     

    martedì 9 agosto 2011 09:48
  • Al gruppo Administrators non sono applicati i criteri di gruppo.

    Ai domain users sono applicati.

    Quindio è nei criteri di gruppo che c'è il problema, suppongo.

    Ma quale?

    bhooo

    martedì 9 agosto 2011 09:56
  • Stai semplicemente mischiando problemi diversi.

    Sul DC non riesci a fare logon e questo va risolto per il logon locale PRIMA di provare RDP (e questo è il problema uno)

    Se vuoi fare RDP dal D.C., devi inserire l'utente nei "remote desktop users" delle varie macchine.

    L'amministratore di dominio viene inserito automaticamente negli administrators di tutte le macchine di dominio e quest'ultimo gruppo è di default nei remote desktop users (e questo è il problema due)


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 9 agosto 2011 09:59
  • Al gruppo Administrators non sono applicati i criteri di gruppo.

    Ai domain users sono applicati.

     


    e quali criteri sono applicati ai domain users ?

    cosa trovi scritto dove ti ho indicato di guardare ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 9 agosto 2011 10:04
    Moderatore
  • Quindi se prima non riesco a far loggare fisicamente l'utente sul server, non ha senso parlare di accesso tramite desktop remoto dello stesso utente allo stesso server, da un'altra macchina.

    Giusto? 

    martedì 9 agosto 2011 11:08
  • Solo il permesso di lettura e applica i criteri di gruppo (ovvero quelli specificati pe ri gruppi e utenti del dominio, credo).

    Inoltre ho notato che il gruppo DOMAIN USERS è presente nelle policy del controller di dominio.

    Nelle policy di dominio invece si parla di AUTHENTICATED USERS.

    Ti dice qualcosa?

    martedì 9 agosto 2011 11:16
  • Esattamente.

    Se non puoi effettuare il logon, sicuramente non puoi effettuare il logon da remote desktop.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 9 agosto 2011 12:01
  • Solo il permesso di lettura e applica i criteri di gruppo (ovvero quelli specificati pe ri gruppi e utenti del dominio, credo).

    Inoltre ho notato che il gruppo DOMAIN USERS è presente nelle policy del controller di dominio.

    Nelle policy di dominio invece si parla di AUTHENTICATED USERS.

    Ti dice qualcosa?


    in effetti mi dice qualcosa: sono andato a vedere le mie e qualcosa di strano c'è nel tuo caso.

    sia sulle Default Domain Policies sia sulle Default Domain Controller Policies le ACL dovrebbero avere AUTHENTICATED USER con diritto di lettura, DOMAIN ADMINS ed ENTERPRISE ADMINS con diritto di modifica, lettura e cancellazione.

    puoi guardare quali diritti hanno questi domain users ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 9 agosto 2011 12:28
    Moderatore
  • Per gli amministratori tutto risponde come quanto da te segnalato.

    Nelle Default Domain Policies il diritto di lettura ce l'hanno gli Authenticated users ( e non c'è traccia dei Domain Users), mentre nella Default Domain Controller Policies il diritto di lettura ce l'hanno i domain users (e non c'è traccia degli authenticated users).

     

    martedì 9 agosto 2011 12:41
  • Nelle Default Domain Policies il diritto di lettura ce l'hanno gli Authenticated users ( e non c'è traccia dei Domain Users), mentre nella Default Domain Controller Policies il diritto di lettura ce l'hanno i domain users (e non c'è traccia degli authenticated users).

     

    dai il diritto di lettura agli authenticated users e togli i domain users

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 9 agosto 2011 14:56
    Moderatore
  • Devo aggiungere il gruppo Authenticated Users alla Default Domain Controller Policy con diritto di lettura?

     

    martedì 9 agosto 2011 15:38
  • Ho fatto una GPRESULT.

    Sembra che il criterio di gruppo sulla DEFAULT DOMAIN CONTROLLER POLICY non venga applicato perchè escluso dal filtro.

    Testaulmente dice:

    filtro: negato <protezione>.

    Cosa può essere?

    mercoledì 10 agosto 2011 08:01
  • Devo aggiungere il gruppo Authenticated Users alla Default Domain Controller Policy con diritto di lettura?

     


    esatto: aggiungi il gruppo Authenticated Users alla Default Domain Controller Policy con diritto di lettura ed elimina i Domain Users da quella ACL. ref: http://www.pcreview.co.uk/forums/trouble-gpo-security-filtering-t1535067.html
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 10 agosto 2011 08:38
    Moderatore