Globaler Admin an Domainserver anmelden

[Elektrofreak]

Hi,

Ich habe einen Domain-Server auf basis eines Windows Server 2008 Enterprise aufgesetzt und wollte diesen hauptsächlich auch als Server verwenden. Allerdings wollte ich auch mit meinem globalen Benutzer auf diesem Server arbeiten (= EMails abrufen etc) können (die Domain umfasst kein dutzend Computer)

Ich habe eine Gruppe "Global" angelegt, in die ich alle Benutzer stecken wollte, die globale Benutzerkonten bekommen sollten.

Wenn mein Benutzer dort eingetragen ist, kommt folgende Meldung:

"Sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem Computer nicht zugelassen ist. Wenden Sie sich an den Netzwerkadministrator, um weitere Informationen zu halten."

Wenn ich die Gruppe Global als Mitglied der Gruppe Administratoren eintrage, kann ich mich zwar anmelden, jedoch ist das Konto dann wieder Lokal und nicht global.

In der Globalen und Lokalen Gruppenrichtlinie konnte ich keine passende Einstellung finden. Den Server habe ich schon als Terminal-Server per Rolle vorbereitet. Und trotzdem klappt es leider nicht.

Kann ich mich generell auf einem Server nicht mit Globalen Admins anmelden? Oder was muss ich umkonfigurieren?

M.f.G.

Elektrofreak

[robotto7831a]

Hallo,

jetzt mal langsam von Anfang an.

Du hast eine Domäne auf Basis von 2008 installiert. In dieser hast Du einen Domänenadministrator und einen oder mehrere Benutzerkonten.

Was sind globale Benutzerkonten?

Wenn ich die Gruppe Global als Mitglied der Gruppe Administratoren eintrage, kann ich mich zwar anmelden, jedoch ist das Konto dann wieder Lokal und nicht global.

Das erkläre bitte noch mal.

Frank

[Elektrofreak]

Kein Problem.

Die Gruppe Administratoren ist eine lokale Gruppe. Somit wird das Profil auf dem Rechner selber abgelegt, jedoch nicht auf dem Server. Globale Konten hingegen werden auf dem Server gespeichert. Ich habe selber eine Gruppe Global angelegt, welche das Attribut Global besitzt. Somit sollten alle Mitglieder der Gruppe globale Konten haben.

Wenn Global selber Mitglied von keiner Gruppe ist, kommt der oben gennante Fehler. Wenn ich die Gruppe Global als Mitglied von Administratoren hinzufüge, kann ich mich zwar anmelden, allerdings ist das Konto dann nicht global (wie in der Gruppe Global definiert), sondern lokal (wie wahrscheinlich in der Gruppe Administratoren definiert). Die Einstellungen scheinen von Administratoren übernommen zu werden.

M.f.G.

[robotto7831a]

Häh?

Sprichst Du jetzt von einem Client der Mitglied der Domäne ist oder von einem Domänencontrolller?

Was haben jetzt die Gruppen mit dem Ablageort der Benutzerprofile zu tun? Meines Wissens gar nichts.

Frank

[Elektrofreak]

Ich spreche von dem Domänencontroller selber.

An einem Clienten-Computer kann ich mich ohne Probleme anmelden.

[robotto7831a]

Wenn ich das jetzt richtig verstanden habe, dann hast Du zwei Probleme.

1. Du kannst dich nicht mit einem Domänen Benutzerkonto am DC direkt anmelden

2. Die Benutzerprofile sollen auf dem Server gespeichert werden und nicht auf dem Client.

Ist das richtig?

Frank

[Elektrofreak]

Richtig.

Biede Probleme sind wie folgt miteinander verknüpft:

1)

Wenn die Gruppe Global mitglied von Administratoren ist, dann kann ich mich anmelden, das Profil wird allerdings lokal gespeichert.

2)

Wenn die Gruppe Global nicht Mitglied von Administratoren ist, tritt die oben genannte Fehlermeldung auf.

M.f.G.

[robotto7831a]

Nochmal. Wo das Benutzerprofil gespeichert wird hängt nicht davon ab, in welchen Gruppen der Benutzer Mitglied ist. Man muss in den Eigenschaften des Domänenbenutzers den Profilpfad festlegen.

An einem DC meldet man sich nie nie nie an um ihn als besseren Client zu verwenden.

Auf einem DC können sich unter anderen Mitglieder der Domänenadministratorengruppe anmelden.

"Normale" Benutzerkonten können sich an einem DC nur anmelden wenn diese Mitglied der zuvorgenannten Gruppe sind, was man aber nicht macht.

Oder man fügt das Konto der lokalen Sicherheitsrichtlinie, ich glaube, "lokal anmelden" hinzu.

Frank

[hades]

Ein DC ist ein DC.

Dort melden sich nur Konten mit den entsprechenden Berechtigungen an, wenn es etwas zum Administrieren in der Domain gibt.

Auch wenn die Domain klein ist.

Der normale Weg sieht eher so aus:

Man arbeitet immer lokal auf seinem eigenen Clientsystem und verbindet sich nur bei anstehender Admin-Aufgabe per RemoteDesktop auf den DC und kehrt nach der Admin-Aufgabe wieder auf seinen eigenen Client zurueck.

Auf der lokalen console eines DC ist normalerweise niemand angemeldet.

[Elektrofreak]

Kann ich denn einen Benutzer mit Admin-Rechten generell einem globalen Konto Admin-Rechte vergeben? (oder werden die dadurch wieder lokal?)

M.f.G.

[robotto7831a]

Was zum Geier bedeutet bei dir "global"?

Frank

[DocInfra]

@ Elektrofreak

Schau dir bitte bei Microsoft noch mal die Funktionsweise von lokalen und globalen Sicherheitsgruppen an. Ich glaube du verwechselst da was.

Konten haben immer lokale Profile, außer ich gebe dem Konto einen Pfad für ein servergespeichertes Profil mit. Dann wird das Profil von dem Konto beim ersten Abmelden auf einem Server abgelegt.

Normale Benutzer können sich nicht an einem DC anmelden. Dafür musst du die Default Domain Controller Policy anpassen.

[hades]

Einem DC wird nie die Terminalserver-Rolle zugewiesen (bzw. auf dem Vorgaenger Windows Server 2003 nie der Terminal Server Dienst installiert).

Ein Terminal Server ist immer ein separater Server, der nur ein Member der Domain (=kein DC) ist.

[DocInfra]

Kann ich nur unterschreiben. Finger weg von DC und TS auf einer Maschine.