Interaktive Anmeldung des Administrators auf SBS 2011 nicht möglich

Ich durfte gerade noch einen interessantes Problem anschauen, welches ein anderer IT-Dienstleister an mich herangetragen hat. Nach der Migration von SBS 2003 auf SBS 2011 war es nicht mehr möglich, sich als Administrator interaktiv auf dem Server anzumelden – und zwar mit keinem Konto, welches über Domänen-Administrationsrechte verfügte. Eine Anmeldung über RDP war jedoch ohne weiteres möglich – und dies mit denselben Konten… Die Meldung, welche erschien war:

"Sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem Computer nicht zugelassen ist."

Als ich mit dem Server verbunden war, war der Fehler schnell gefunden – interessant ist jedoch, dass dies anscheinend bei der Migration durch das System falsch gemacht wurde:

Auf dem SBS 2011 gibt es eine Gruppe namens "SBS Remote Operators" – in dieser Gruppe waren die Domänen-Admins Mitglied – und zwar nicht nur direkt, sondern auch über die Gruppe "SBS Domain Power Users":

Nur genau dieser Gruppe wird in der "Default Domain Controllers Policy" die lokale Anmeldung explizit verweigert – und bei Windows ist es halt überall so, dass alles war explizit verweigert wird immer stärker ist, als diejenigen Dinge, welche explizit zugelassen sind. Somit kann sich ein Benutzer dieser Gruppe "SBS Remote Operators" zwar wunderbar per RDP anmelden – jedoch nicht interaktiv…:

Zur Lösung müssen also entweder die entsprechenden Benutzer oder Gruppen aus der Gruppe "SBS Remote Operators" entfernt werden, welche sich interaktiv anmelden können sollen – oder: Man löscht die Gruppe "SBS Remote Operators" aus der Einstellung "Lokal anmelden verweigern" in der "Default Domain Controllers Policy" und führt einen "gpupdate /force" aus. Gleich danach geht es wieder wunderbar ;-D…

VN:R_U [1.9.22_1171]
Rating: 9.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)
Interaktive Anmeldung des Administrators auf SBS 2011 nicht möglich, 9.0 out of 10 based on 1 rating

Schreib einen Kommentar