Windows 2008 R2 Domäne - Rechteproblem?

[f1r3storm]

Hallo ihr lieben Mitadministratoren!

ich habe begonnen unser Netzwerk auf den Windows 2008 Server R2 umzustellen. Ich führe keinerlei Migrationen oder experimentelle Konfigurationen durch. Also tatsächlich neue Hardware getrennts Subnetz und ADS im reinen R2 Modus installiert. Die Gruppenrichtlinie ist noch Default.

Soweit so gut

Nun habe ich also:

1x DC SRV2K8 R2 (ADS, DNS, DHCP)

1x TERM SRV2K8 R2 (RDS, Mitgliedsserver)

1x BCK SRV2K8 R2 (ADS Repliziert)

Nun versuche ich mal an der Fehlerbeschreibung:

Auf dem DC existiert die vordefinierte Gruppe "Domänen-Benutzer".

Dort habe ich auch brav alle Benutzer eingetragen.

Auf dem Terminal Server möchte ich nun gewisse Verzeichnisse für die Benutzer mit Vollzugriff versehen. Also Eigenschaften -> Sicherheit usw.

Füge die "Domänen-Benutzer" hinzu sage OK -> wird der Eintrag "Domäne.local\Domänen-Benutzer" zu "Rechnername\None" umgewandelt.

Also wirklich "None" <-- Habe ich noch nie gesehen! Was soll das sein ein Synonym für "du bist zu doof?!". Hingegen kann man die "Domänen-Admins" oder andere Gruppen ohne Probleme hinzufügen...

Dieses Problem lässt sich auch auf weitern R2 Servern in der neuen Domäne reproduzieren.

Natürlich könnte man dieses Problem mit einer eigenen Gruppe umgehen - ist denke ich aber nicht Sinn der Sache.

Der Fehler äußert sich auch noch anderweitig:

Meldet sich ein Benutzer am Terminal Server über RDP an, so wird ihm nur ein TEMP Profil zur Verfügung gestellt. Meldet er sich ab ... und will sich dann wieder anmelden bekommt er "Zugriff Verweigert". Natürlich habe ich schon in der GPO die Remotegruppe konfiguriert und auch mal auf "C:\Users" Vollzugriff für "Jeder" eingestellt... . Erst nach einem Neustart des TS geht wieder EINE Anmeldung.

Noch so ein Phänomen ist, das wenn ich z.B.: am Terminal Server in die LOKAL Gruppe Administratoren die DOMÄNEN Gruppe der Remote User anlegen möchte, wird diese zuerst angezeigt (also Domäne.local\Remoteuser - SID).

Klickt man dan auf übernehmen ODER OK verschwindet der Eintrag urplötzlich.

... dachte das erst mal ich hätte mich verklickt, also habe ich die Gruppe nochmal hinzugefügt. Das geht dann aber nicht - Meldung: "Domäne.local\Remoteuser" ist bereits ein Mitglied von Gruppe "Administratoren". wird aber einfach nicht angezeigt. Habe auch das mit mehren Gruppen und Benutzern auf verschiedenen R2 Servern probiert. Immer werden Gruppen oder Benutzer die aus der Domäne kommen nur solange angezeigt bis man auf Übernehmen oder OK klickt...

Vielleicht kennt jemand von euch diese Verhalten und kann mir helfen...

Danke schon mal!

ach ja und Helau, Allaf usw..

gruß

f1r3storm

[Daenni]

Kannst Du mal im Ereignis Log nachschauen was dort auftaucht?

Sagt idR mehr aus als nur eine Fehlerbeschreibung.

Die Remote Desktop User Gruppe konfiguriert und existiert?

Sorry wenn ichs überlesen haben sollte... aber ich finde mich in deinem Text noch nicht zurecht.. (vielleicht zu früh )

Grüße,

Daenni

[f1r3storm]

Hallo Daenni,

dem Log z.B. auf dem Terminal Server konnte ich nicht wirklich etwas sinnvolles entlocken.

Ich denke auch dass das Problem gar nicht mal an einem Mitgliedsserver hängt...

sondern eher an der Domäne selbst.

Von wegen Gruppe "None" ?! Und verschwindene Gruppen...

Habe den R2 Terminal Server gestern noch mal an eine 2008 Domäne gehangen.

(kein verdammtes R )

RemoteUser der Test-Domäne in die lokale Remote Gruppe genommen (blieben auch stehen) und das ging problemlos!

Entschuldige bitte den Auswuchs an Text, aber ich finde es immer furchtbar nur die Hälfte der Informationen weiterzugeben bzw. zu bekommen..

gruß

f1r3storm

[mamamia]

Auf dem DC existiert die vordefinierte Gruppe "Domänen-Benutzer".

Dort habe ich auch brav alle Benutzer eingetragen.

f1r3storm

Seit wann muss man das denn machen?

Auszug aus dem TechNet:

This group contains all domain users. By default, any user account created in the domain becomes a member of this group automatically. This group can be used to represent all users in the domain. For example, if you want all domain users to have access to a printer, you can assign permissions for the printer to this group (or add the Domain Users group to a local group, on the print server, that has permissions for the printer).

Heisst, alle User die zur Domäne hinzugefügt werden, landen automatisch in dieser default-group.

Der Rest, hmm..

[Daenni]

Hast Du mal eine neue Gruppe erstellt und dort die Benutzer eingetragen?

Hast Du mal einzelne Benutzer getestet und nicht nur Gruppen?

Das Problem ist also folgendes:

Anmeldung am TS nur einmal möglich. Nach Abmeldund und Neuanmeldung nicht mehr "zugriff verweigert".

Mit dem Admin gehts aber?

Hast Du schon die Anmeldung über Terminaldienste zugelassen?

Sollte eine lokale Richtlinie sein und dort musst Du dann die Gruppe der Remotebenutzer zufügen. War zumindest beim 2003er so.

Übrigens: Was mamamia meinte ist korrekt. Ich kenne es auch so dass die Domänen Benutzer automatisch in dessen Gruppe kommen.

Ich bin mir nur nicht sicher ob dies auch bei Offline-Domänenanbindung so ist (klappt eh nur unter Windows 7).

Grüße,

Daenni

[f1r3storm]

@mamamia

Danke für den Hinweis ... hilft jetzt aber wenig.

Korrekt und vollständig umformuliert müsste es dann also heißen:

Auf dem DC existiert die vordefinierte Gruppe "Domänen-Benutzer".

Sowie diverse eigenerstellte Gruppen (z.B.: Technik, Buchhaltung, Mitarbeiter, usw.)

Dort habe ich auch brav alle Benutzer eingetragen.

@Daenni

Die Einstellungen für TS bin ich jetzt schon mehrfach durchgegangen. Über die Gruppenrichtlinie vergebe ich das Recht für die RemoteUser "Anmeldung über Terminaldienste zugelassen".

Der Domänen Administrator kann sich bisher immer problemlos anmelden.

Aber es ist doch schon irgendwas faul wenn ich in eine Gruppe eine andere Gruppe hinzufüge und diese dann einfach verschwindet. Und ja habe das auch mal mit einzelnen Benutzern getestet... immer das gleich.

TS in 2008 R2 Domäne -> lokale Gruppe "Remotebenutzer" -> hinzufügen eines Domänenbenutzers (oder einer Gruppe) wird kurz angezeigt und verschwindet dann einfach. Wohin? ein zweites hinzufügen geht nicht..

TS in 2008 R2 Domäne -> lokale Gruppe "Remotebenutzer" -> hinzufügen eines lokalen Benutzers vom TS kein Problem..

TS in 2008 Domäne lokale Gruppe "Remotebenutzer" -> hinzufügen eines Domänenbenutzers (oder einer Gruppe) kein Problem...

Vielleicht drücke ich mich falsch aus, ...aber weiß jemand, muss man noch irgendwas mehr "machen" - in Richtung Authentifizierung?? damit ein Mitglied einer R2 Domäne Gruppen lokal verwenden kann. Im 2003 und 2008 ist das bisher kein Problem gewesen..

Gruß

f1r3storm

[Daenni]

Firestorm hat nicht unrecht...

Die Gruppe Domänen-Benutzer gab es schon aber Du musstest die Benutzern dort eintragen? Dann würde dort schon etwas nicht stimmen.

Wenn Du einen User anlegst dann landen die normalerweise dort drin.

Weiter:

Du erstellst also eine Gruppe "Testgruppe" und machst diese zum Mitglied von der Gruppe "Domänen-Benutzer". Das muss klappen. Wenn nicht ist was faul.

Mache die Benutzer mal Gruppenlos und dann nochmal von vorne.

Servicepack und Update Rollups installiert?

[f1r3storm]

Okay, nochmal ein paar Szenarien getestet,

Also ein neu (auf dem DC) angelegter Benutzer, landet automatisch in der Gruppe "Domänen-Benutzer".

Diesen weise ich dann noch einer "testbenutzer" Gruppe zu... also auf dem DC habe ich bisher auch wirklich noch keine Fehlfunktion der ADS bemerkt...

Habe nun noch einen neuen Mitgliedsserver Win2008 R2.

Erstellte ich nun ein Verzeichnis, gehe in die Sicherheitseinstellungen füge die "testbenutzergruppe" hinzu funktioniert das Problemlos. Füge ich noch die Domänen-Benutzer hinzu, steht da gleich wieder nur "None"...

Gehe ich nun wieder in die Gruppenverwaltung dieses Servers und füge in die Administratoren die "testbenutzer" hinzu, wird diese wieder nur kurz angezeigt und verschwindet dann wieder...

Auf dem DC geht - augenscheinlich - jede Zuweisung von Benutzern und/oder Gruppen problemlos nur immer auf den Mitgliedsservern.

Service Packs gibts soweit ich weiß noch nicht - Updates sind alles drauf die das Windows Update hergibt

gruß

f1r3storm

[f1r3storm]

blöder r2

[Daenni]

Biste nen Schritt weiter?

Ich hab da was mit dem Exchange verwechselt...

Kann es sein dass Du ein Replikationsproblem hast?

Ähnliche Probleme hatte ich auch mal, dort war lediglich das Problem, dass der Intervall zu hoch eingestellt war und nichts passierte...

Selbst nach den 180 Minuten nicht...

Wenn ich im 2. DC einen User eingetragen habe.. dann erschien er nicht im 1.DC.

[f1r3storm]

Replikation funktioniert einbahnfrei...

Tja, habe die Maschienen nun neu aufgesetzt (also nur die Domänen Controller)

und siehe da - alles funktioniert einbahnfrei.

Habe alles wieder genauso wie beim erstenmal gemacht. Ist auch nicht die erste Domäne für mich...

Aber die erste mit solchen Fehlfunktionen. Leider habe ich nicht die Zeit um mich noch tiefer mit dem Problem zu beschäftigen. So weiß ich eigentlich nur das irgendwas in der Domäne nicht so richtig lief... (siehe Benutzergruppe: None)

Tja, war wohl nen Montagsserver

gruß

f1r3storm