WinFuture-Forum.de: Lokale Anmeldung und Domänenanmeldung - WinFuture-Forum.de

Zum Inhalt wechseln

Seite 1 von 1

Lokale Anmeldung und Domänenanmeldung


#1 Mitglied ist offline   kontur 

  • Gruppe: Mitglieder
  • Beiträge: 5
  • Beigetreten: 07. Januar 22
  • Reputation: 0

geschrieben 07. Januar 2022 - 14:56

Hallo Ihr Lieben,
ich habe ein Verständnisproblem bzgl. der Gruppenrichtlinie "lokale Anmeldung verweigern".

Die lokale Anmeldung wird im Netz stets als die Anmeldung bezeichnet, die man mit .\Benutzername an einem Computer durchführt, der Teil einer Domäne ist. Allerdings wird durch die oben genannte Gruppenrichtlinie die Anmeldung an der Domäne verhindert. Sitze ich einem Missverständnis bezüglich der Anmeldung an Computern in einer Domäne auf?

Viele Grüße
Jan
0

Anzeige



#2 Mitglied ist offline   CaNNoN 

  • Gruppe: aktive Mitglieder
  • Beiträge: 356
  • Beigetreten: 16. November 05
  • Reputation: 51

geschrieben 07. Januar 2022 - 15:48

eigentlich ist das soweit korrekt, die lokale anmeldung ist die anmeldung am rechner selbst, also:

RECHNERNAME\lokales-benutzerkonto

und die netzwerkanmeldung, wenn der rechner mitglied einer domain ist:
DOMAIN\domain-benutzerkonto

welche fehlermeldung bekommst du denn wenn du dich bei aktiver gpo mit einem domain-benutzer an der domain anmeldest?
0

#3 Mitglied ist offline   kontur 

  • Gruppe: Mitglieder
  • Beiträge: 5
  • Beigetreten: 07. Januar 22
  • Reputation: 0

geschrieben 07. Januar 2022 - 16:23

Folgende Fehlermeldung erscheint direkt auf dem Anmeldebildschirm, nachdem ich das Passwort für den entsprechenden Benutzer eingegeben habe:

Die Verwendete Anmeldemethode ist nicht zulässig. Bitte wenden Sie sich an Ihren Systemadministrator.

0

#4 Mitglied ist offline   CaNNoN 

  • Gruppe: aktive Mitglieder
  • Beiträge: 356
  • Beigetreten: 16. November 05
  • Reputation: 51

geschrieben 07. Januar 2022 - 16:35

wo hast du denn die gpo gesetzt, direkt am client oder am domain controller?

und schau dir mal die gpo "Lokal Anmelden zulassen" an, sowie welche gruppen am client in der "benutzer"-gruppe enthalten sind.

durch den domain-join sollte in der lokalen "benutzer"-gruppe die "domain-benutzer"-gruppe enthalten sein.

Dieser Beitrag wurde von CaNNoN bearbeitet: 07. Januar 2022 - 16:40

0

#5 Mitglied ist offline   kontur 

  • Gruppe: Mitglieder
  • Beiträge: 5
  • Beigetreten: 07. Januar 22
  • Reputation: 0

geschrieben 07. Januar 2022 - 17:15

Die Gruppenrichtlinie ist ja eine Computerrichtlinie. Ich habe sie auf höchster Ebene verlinkt, sie wirkt sich also auf alle Computer in der Domain aus. Die GPO habe ich auf einem Domain-Controller gesetzt.

Evtl. nähern wir uns meinem Verständnisproblem. Ich habe mich selbst (im Active Directory) zum Test der Gruppe "Lokale Anmeldung sperren" hinzugefügt. Nun sind ja alle Benutzer im Active Directory Domänenbenutzer (oder nicht?). Also habe ich für meinen Benutzer die lokale Anmeldung gesperrt. Allerdings existiere ich ja gar nicht als lokaler Benutzer. Eine Anmeldung mit meinem Benutzer ist ja eh nur an der Domäne möglich. Diese Anmeldung wird dann aber tatsächlich gesperrt durch die Gruppenrichtlinie.
0

#6 Mitglied ist offline   CaNNoN 

  • Gruppe: aktive Mitglieder
  • Beiträge: 356
  • Beigetreten: 16. November 05
  • Reputation: 51

geschrieben 07. Januar 2022 - 17:32

ja, grundsaetzlich sind alle benutzer innerhalb der domain auch domain-benutzer.
setz in der gpo mal die domain-benutzer bei "lokal anmelden zulassen" rein und teste dann mit einem domain- sowie lokalen-benutzerkonto.

danach sollte das zumindest mal den gewuenschten effekt haben.

meinem verstaendnis nach muesste das aber auch so funktionieren wie du dir das gedacht hast, deshalb wuerde ich eben checken welche gruppen in der gruppe "benutzer" am client eingetragen sind.
0

#7 Mitglied ist offline   kontur 

  • Gruppe: Mitglieder
  • Beiträge: 5
  • Beigetreten: 07. Januar 22
  • Reputation: 0

geschrieben 07. Januar 2022 - 18:10

In der lokalen Gruppe Benutzer (also jetzt auf dem Windows 10 Client, nicht auf dem Domain-Controller) sind auch die Domänen-Benutzer unserer Domäne enthalten.

Dennoch irritiert mich: Wenn ich die lokale Anmeldung sperre habe ich die Möglichkeit, eine Gruppe anzugeben, für die die Lokale Anmeldung gesperrt werden soll. Diese Gruppe heißt SEC_REFUSE_LOGIN. Meinem Verständnis nach sollte also allen Benutzern, die in dieser Gruppe sind, die lokale Anmeldung verweigert werden.

Wenn mit der lokalen Anmeldung die Anmeldung am Computer im Sinne von DESKTOP-GTS4QJ\Michael gemeint ist und nicht die Anmeldung im Sinne von DOMÄNE\mmustermann dürfte die Gruppenrichtlinie ja nie greifen, wenn man sich am Computer an der Domäne anmeldet. Das verwirrt mich.

Ich füge nun also einen Domänen Benutzer der Gruppe SEC_REFUSE_LOGIN hinzu. Und anschließend kann er sich nicht mehr am Computer an der Domäne anmelden. Allerdings funktioniert noch die Domänen-Anmeldung wenn ich via Remotedesktop auf unseren Terminalserver zugreife.

Ergibt "lokal anmelden zulassen" überhaupt Sinn für Domänen-Benutzer? Sie melden sich ja quasi niemals lokal an, sondern eben nur an der Domäne, oder verstehe ich da auch noch was falsch?
0

#8 Mitglied ist offline   CaNNoN 

  • Gruppe: aktive Mitglieder
  • Beiträge: 356
  • Beigetreten: 16. November 05
  • Reputation: 51

geschrieben 07. Januar 2022 - 19:16

ich hab jetzt ein bisschen herumgesucht - und bin nun ebenso verwirrt.

einerseits finden sich etliche aussagen, dass die ganze richtlinie genau so zu verstehen ist wie wir uns das dachten - und andererseits finden sich etliche aussagen, die berichten, dass man darunter rein die physikalische anmeldung am geraet - also wenn man davor sitzt - versteht, unabhaengig ob lokales oder ad-konto.

rdp und netzwerk-shares sind aber so oder so davon ausgenommen, dafuer gibts ja dann eigene richtlinien.
0

#9 Mitglied ist offline   kontur 

  • Gruppe: Mitglieder
  • Beiträge: 5
  • Beigetreten: 07. Januar 22
  • Reputation: 0

geschrieben 07. Januar 2022 - 20:33

Dann bin ich auf der einen Seite beruhigt, dass es anscheinend doch keine triviale Frage war und auf der anderen Seite etwas schuldbewusst, dass ich dich mit in den Sumpf der Verwirrung hineingezogen habe. Wenn ich im Internet noch auf etwas stoße, lass ich natürlich noch einen Kommentar hier. Vielleicht stößt aber auch noch jemand dazu, der vielleicht schonmal vor derselben Frage stand und eine Erklärung parat hat.
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0