[Win2kS] lokaal aanmelden werkt niet meer - Windows clients

donderdag 2 februari 2006 15:05

Acties:

Topicstarter

Voorheen kon ik hier zonder problemen inloggen met andere accounts als de administrator. Ik had dat toen gewijzigd in 'beveiligingsbeleid voor domeincontroller'.

Ik heb sinds kort een aantal dingen geïnstalleerd, te weten de Win2k support tools en MS Exchange 2003 server. Sindsdien kan administrator gewoon inloggen, maar de domeingebruikers niet meer. Het eerste wat ik toen gedaan heb is de domeincontroller instellingen nalopen, maar de actieve beleidsinstelling blijkt niet te wijzigen te zijn. Nu zal het wellicht ergens anders zitten, maar ik zou niet weten waar. Ik heb al gecontroleerd bij de domeininstellingen, maar daar zit het blijkbaar niet in. Logisch natuurlijk, want die gebruikers kunnen zonder problemen inloggen op de Win2kP systemen.
Ter verduidelijking even een screenshot:

Afbeeldingslocatie: http://www.xs4all.nl/~fauna/files/lokaal_aanmelden.jpg

Afbeeldingslocatie: http://www.xs4all.nl/~fauna/files/lokaal_aanmelden.jpg

Hoe kan ik dit weer rechtbreien?

P.S. Ja, ik weet dat het 'stom' is om normale users op een domein controller in te laten loggen, maar we zitten hier met een chronisch computergebrek

donderdag 2 februari 2006 15:51

Acties:

sh4d0wman

Attack | Exploit | Pwn

Fauna schreef op donderdag 02 februari 2006 @ 15:05:

P.S. Ja, ik weet dat het 'stom' is om normale users op een domein controller in te laten loggen, maar we zitten hier met een chronisch computergebrek

Je hebt een gebruiker die vrolijk achter de domain controller werkt? Een paar werkstations zullen wellicht goedkoper zijn dan enkele dagen downtime omdat je dom controller kapot is

Leuk gesprekje met de baas aangaan? hehe

Ontopic: kijk even in Domain Controller Security Policy. Daar staan instellingen in welke alleen op de Domain Controller werken. In Domain Security Policy staan instellingen die in je hele domain actief zijn. (sorry, heb geen NL termen)

Waarschijnlijk in Domain Controller Security Policy, Local Policy, User Rights Assignment, Allow Logon Locally. Als je deze al hebt gechekt, kijk dan in dezelfde omgeving in je Domain Security Policy. Moet op 1 van beide plaatsen verkeerd staan

[ Voor 9% gewijzigd door sh4d0wman op 02-02-2006 15:53 ]

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 2 februari 2006 15:51

Acties:

Yezz

Kijk eens in Active Directory users & computers -> domeinnaam -> domain controllers (rechtsklikken) -> eigenschappen -> groepsbeleid > default domain controllers policy -> bewerken -> computer configuratie -> windows instellingen -> beveiligings instellingen -> lokaal beleid -> toewijzing van gebruiksrecht -> lokaal aanmelden toestaan.

[ Voor 10% gewijzigd door Yezz op 02-02-2006 15:52 . Reden: Spuit 11 :) ]

donderdag 2 februari 2006 17:16

Acties:

Fauna

Topicstarter

Ok, het werkt weer, maar niet door bovenstaande oplossingen.

@ sh4d0wman: zoals ik in mijn TS vermeld had, had ik zelf die instelling dus al gewijzigd (en gecontroleerd). In de Domain security policy had ik inmiddels ook al de betreffende groep toegevoegd, zonder resultaat.

@ Yezz: Op die plek stond mijn gebruikersgroep nog niet. Toegevoegd, maar gek genoeg zonder resultaat.

Ik heb daarna maar de instellingen voor de geweigerde gebruikers nagelopen. Bij de DC policy stond 1 user ge-exclude, maar bij de Domain policy stond 'niet gedefineerd'. Ik heb hier 'deze beleidsinstelling gebruiken' aangevinkt, zonder daarin users/groepen te zetten.

Hierna verschenen er weer wat vinkjes bij de Domain Controller policy, dus het werkt weer.

Bedankt voor het wijzen in de goede richting iig!