~Hawkeye~ Geschrieben 25. November 2005 Teilen Geschrieben 25. November 2005 Hallo, ich habe hier zu Präsentationszwecken einen Win Server 2003 Pro eingerichtet. AD ist eingerichtet, SP1 ist installiert. Ich habe nun nur das Problem, dass ich mit dem Administrator nicht mehr anmelden kann. Das angegebene Passwort wird immer als falsch erkannt. Ebenso funktioniert keine Anmeldung mit dem User, den ich mir im AD angelegt habe. Direkt am Server bekomme ich dann die Meldung: "Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden" Mit diesem User kann ich mich aber ohne Probleme über Netzwerk an den Server authentifizieren und auch auf die Freigaben zugreifen. Remote Desktop meldet mir allerdings, dass er keine Verbindung zu dem Server aufbauen kann. Hat jemand eine Idee oder hilft da nur noch neu aufsetzen? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 25. November 2005 Teilen Geschrieben 25. November 2005 Direkte Anmeldung auf der Serverkonsole ist das Recht von administrativen Usern. Normale Benutzer dürfen sich nur vom Client aus anmelden. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
~Hawkeye~ Geschrieben 25. November 2005 Autor Teilen Geschrieben 25. November 2005 Ich dachte eigentlich den hätte ich im AD in die Gruppe der Administratoren genommen. Gibt es denn eine Möglichkeit die Domäne wieder aufzulösen oder gar das AD von Knoppix oder ähnlichem zu bearbeiten? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 25. November 2005 Teilen Geschrieben 25. November 2005 Erstmal ist es ein Serversystem, Windows Server 2003. Pro wie Professional gibts nur als Clientsystem (2000 und XP Professional). Auf einem Server melden sich nur administrative User an, v.a. wenn es sich um DomainController handelt. Ein Sonderfall ist ein Terminal Server, der aber nur auf einem Mitgliedsserver (Memberserver) installiert wird. Dort koennen sich dann auch normale Benutzer per Remote Desktop anmelden. Auf einem DC hat ein Terminal Server nichts zu suchen. Das Herunterstufen eines DC in einem Memberserver oder alleinstehenden Server ist mit dcpromo moeglich. Die Verwaltung einer 2000/2003-Domain kann auch von einem Clientsystem aus erfolgen. Such Dir im i386-Verzeichnis der Windows 2003 Installations-CD das adminpak.msi und installiere es auf dem Client. Neben dem Adminpak installiere Dir auch die GPMC (gibts als kostenlosen Download bei Microsoft) fuer die Verwaltung der Gruppenrichtlinien. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
~Hawkeye~ Geschrieben 25. November 2005 Autor Teilen Geschrieben 25. November 2005 Habe mich verschrieben. Ist eigentlich ein Enterprise ;-) Ich versuch Mal morgen mich remotemässig mit der Kiste zuverbinden und dann dort vieleicht noch was zu drehen. Es ist übrigens faszinierend was alles mit Tools aus dem Internet funktioniert. Ich hatte gehofft, dass ich beim erstellen der Domäne den lokalen Administrator richtig abgeschaltet hatte. Nur kann man mit einem Tool nun den User wieder auf aktiv setzen und sogar sein Passwort zurücksetzen. Wäre eine feine Sache, wenn man sich an nem Server überhaupt noch lokal anmelden könnte. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 26. November 2005 Teilen Geschrieben 26. November 2005 Ich hatte gehofft, dass ich beim erstellen der Domäne den lokalen Administrator richtig abgeschaltet hatte. Nur kann man mit einem Tool nun den User wieder auf aktiv setzen und sogar sein Passwort zurücksetzen. Lass die Finger von solchen Tools, denn auf einem Domain Controller darf es keine lokalen Benutzer geben. Der lokale Administrator wird beim Erstellen der Domain automatisch zum Domain Administrator. Auf einem DC hast Du als Anmeldedomaene nur die Domaene bzw. per Vertrauensstellung eingebundene andere Domaenen zur Verfuegung. Das Kennwort des lokalen Benutzers Administrator vor dem Erstellen der Domaene ist wichtig und sollte bekannt sein: Denn mit dessen Kennwort kommst Du im Notfall in den Verzeichnisdienste-Wiederherstellungsmodus. Dieses Kennwort kann bei administrativen Zugang zur Domain auch neu gesetzt werden. Dazu bedarf es keine Tools von Drittherstellern, es geht mit Windows-Boardmitteln und ist in der MS Knowledge Base fuer 2000 Server und Server 2003 beschrieben. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
~Hawkeye~ Geschrieben 27. November 2005 Autor Teilen Geschrieben 27. November 2005 Ich habe den Server nun doch lieber neu aufgesetzt. Da war etwas total im argen. Der User den ich angelegt hatte durfte PC's in die Domäne aufnehmen aber in der Domäne anmelden konnte ich mich mit diesem nicht. Über das Adminpak war folglich auch keine Administration mehr möglich. Ich denke ich habe eher einen Fehler bei der Einrichtung damals gemacht. Trotzdem vielen Dank für die Hilfe. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hommling Geschrieben 28. November 2005 Teilen Geschrieben 28. November 2005 Hi ! Meinen Ketchup wollte ich auch noch dazugeben! Ich kann mich nur der Meinung anschließen, jegliche Tools, die man separat zur Systemadministration auf einem Windows-Server installiert auf ihren Hersteller zu prüfen und doppelt hinzukucken, wenn sie nicht von Microsoft stammen. Was ich mir persönlich auf meiner privaten Büchse installiere, ist eine anderes Thema. In Deinem Fall ist ja lediglich eine Bastelmaschine und kein Produktivsystem, aber meine Erfahrung im Umgang mit Server-Systemen hat mir gezeigt, äußerste Vorsicht walten zu lassen und nicht in einem Anflug jugendlichen Leichtsinns zu handeln. In diesem Sinne Gruß hommling Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
~Hawkeye~ Geschrieben 29. November 2005 Autor Teilen Geschrieben 29. November 2005 So ein Tool würde ich auch nie einsetzen. Selbst wenn nun mein Vorführsystem davon betroffen war. Ich mag einfach generell keine Spyware oder Viren, die man sich mit solchen Dinge einfangen kann (übrigens auch bei so manch einem Microsoftprodukt ist einwenig Spyware von Haus aus mit dabei -> Win XP und die liebe Alexa) Lokale Benutzer haben auf einem DC nichts mehr zu suchen, weil sie eben Objekte im AD sind und genau deswegen hatte ich gehofft, dass es nicht möglich ist, die lokalen Benutzer wieder herzustellen. Das Microsofttools die selbst zur AD wiederherstellung reaktivieren können ist ja Ok aber jemand mit Zugang zum DC und bei unglücklich eingestellter Bootreihenfolge bzw. "leichte" BIOS- Passwörter ist das eine doofe Möglichkeit die Domäne zu kippen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 30. November 2005 Teilen Geschrieben 30. November 2005 ... aber jemand mit Zugang zum DC und bei unglücklich eingestellter Bootreihenfolge bzw. "leichte" BIOS- Passwörter ist das eine doofe Möglichkeit die Domäne zu kippen. Deshalb gehoeren Server auch in einen separaten Bereich (Serverschrank / -raum) mit Zugangskontrolle ueber einen Schluessel, Transponder, Code, etc. Bei manchen Servern hast Du auch eine abschliessbare Blende ueber alle Schalter und Laufwerke und kannst so den Zugang auf alle Geraete in einem Serverschrank etwas einschraenken. Die Bootreihenfolge sollte nur zu Installations- bzw. Updatezwecken geaendert werden, normalerweise sollte ein Server im Produktiveinsatz nur von seiner Festplatte booten und alle anderen eingelegten Medien ignorieren. Des Weiteren kann sich an einem DC kein normaler Benutzer an der Konsole anmelden, dazu werden Domain-Admin Berechtigungen verlangt. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.