Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Themen

Globaler Admin an Domainserver anmelden

Gast Elektrofreak
Gast Elektrofreak
in Windows

Empfohlene Antworten

Veröffentlicht

Hi,

Ich habe einen Domain-Server auf basis eines Windows Server 2008 Enterprise aufgesetzt und wollte diesen hauptsächlich auch als Server verwenden. Allerdings wollte ich auch mit meinem globalen Benutzer auf diesem Server arbeiten (= EMails abrufen etc) können (die Domain umfasst kein dutzend Computer)

Ich habe eine Gruppe "Global" angelegt, in die ich alle Benutzer stecken wollte, die globale Benutzerkonten bekommen sollten.

Wenn mein Benutzer dort eingetragen ist, kommt folgende Meldung:

"Sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem Computer nicht zugelassen ist. Wenden Sie sich an den Netzwerkadministrator, um weitere Informationen zu halten."

Wenn ich die Gruppe Global als Mitglied der Gruppe Administratoren eintrage, kann ich mich zwar anmelden, jedoch ist das Konto dann wieder Lokal und nicht global.

In der Globalen und Lokalen Gruppenrichtlinie konnte ich keine passende Einstellung finden. Den Server habe ich schon als Terminal-Server per Rolle vorbereitet. Und trotzdem klappt es leider nicht.

Kann ich mich generell auf einem Server nicht mit Globalen Admins anmelden? Oder was muss ich umkonfigurieren?

M.f.G.

Elektrofreak

Hallo,

jetzt mal langsam von Anfang an.

Du hast eine Domäne auf Basis von 2008 installiert. In dieser hast Du einen Domänenadministrator und einen oder mehrere Benutzerkonten.

Was sind globale Benutzerkonten?

Wenn ich die Gruppe Global als Mitglied der Gruppe Administratoren eintrage, kann ich mich zwar anmelden, jedoch ist das Konto dann wieder Lokal und nicht global.

Das erkläre bitte noch mal.

Frank

Kein Problem.

Die Gruppe Administratoren ist eine lokale Gruppe. Somit wird das Profil auf dem Rechner selber abgelegt, jedoch nicht auf dem Server. Globale Konten hingegen werden auf dem Server gespeichert. Ich habe selber eine Gruppe Global angelegt, welche das Attribut Global besitzt. Somit sollten alle Mitglieder der Gruppe globale Konten haben.

Wenn Global selber Mitglied von keiner Gruppe ist, kommt der oben gennante Fehler. Wenn ich die Gruppe Global als Mitglied von Administratoren hinzufüge, kann ich mich zwar anmelden, allerdings ist das Konto dann nicht global (wie in der Gruppe Global definiert), sondern lokal (wie wahrscheinlich in der Gruppe Administratoren definiert). Die Einstellungen scheinen von Administratoren übernommen zu werden.

M.f.G.

Ich spreche von dem Domänencontroller selber.

An einem Clienten-Computer kann ich mich ohne Probleme anmelden.

Richtig.

Biede Probleme sind wie folgt miteinander verknüpft:

1)

Wenn die Gruppe Global mitglied von Administratoren ist, dann kann ich mich anmelden, das Profil wird allerdings lokal gespeichert.

2)

Wenn die Gruppe Global nicht Mitglied von Administratoren ist, tritt die oben genannte Fehlermeldung auf.

M.f.G.

Nochmal. Wo das Benutzerprofil gespeichert wird hängt nicht davon ab, in welchen Gruppen der Benutzer Mitglied ist. Man muss in den Eigenschaften des Domänenbenutzers den Profilpfad festlegen.

An einem DC meldet man sich nie nie nie an um ihn als besseren Client zu verwenden.

Auf einem DC können sich unter anderen Mitglieder der Domänenadministratorengruppe anmelden.

"Normale" Benutzerkonten können sich an einem DC nur anmelden wenn diese Mitglied der zuvorgenannten Gruppe sind, was man aber nicht macht.

Oder man fügt das Konto der lokalen Sicherheitsrichtlinie, ich glaube, "lokal anmelden" hinzu.

Frank

Ein DC ist ein DC.

Dort melden sich nur Konten mit den entsprechenden Berechtigungen an, wenn es etwas zum Administrieren in der Domain gibt.

Auch wenn die Domain klein ist.

Der normale Weg sieht eher so aus:

Man arbeitet immer lokal auf seinem eigenen Clientsystem und verbindet sich nur bei anstehender Admin-Aufgabe per RemoteDesktop auf den DC und kehrt nach der Admin-Aufgabe wieder auf seinen eigenen Client zurueck.

Auf der lokalen console eines DC ist normalerweise niemand angemeldet.

Kann ich denn einen Benutzer mit Admin-Rechten generell einem globalen Konto Admin-Rechte vergeben? (oder werden die dadurch wieder lokal?)

M.f.G.

@ Elektrofreak

Schau dir bitte bei Microsoft noch mal die Funktionsweise von lokalen und globalen Sicherheitsgruppen an. Ich glaube du verwechselst da was.

Konten haben immer lokale Profile, außer ich gebe dem Konto einen Pfad für ein servergespeichertes Profil mit. Dann wird das Profil von dem Konto beim ersten Abmelden auf einem Server abgelegt.

Normale Benutzer können sich nicht an einem DC anmelden. Dafür musst du die Default Domain Controller Policy anpassen.

Einem DC wird nie die Terminalserver-Rolle zugewiesen (bzw. auf dem Vorgaenger Windows Server 2003 nie der Terminal Server Dienst installiert).

Ein Terminal Server ist immer ein separater Server, der nur ein Member der Domain (=kein DC) ist.

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.