[2003] Local admin kan niet inloggen via RDP

donderdag 6 maart 2008 14:47

Acties:

0 Henk 'm!

Aaaaaaaaahhhhhhhh

Topicstarter

Ben hier bezig met een Windows 2003 server in te richten om als Template weg te zetten op ESX. Hierbij log ik in via RDP. Dit gaat gewoon goed. heb hem toen in het domain gehangen en kon toen inloggen met een Domain admin account. Maar als ik nu wil inloggen via het local admin account dan lukt dat niet.Kan dus wel op RDP komen maar dan in RDP kan ik niet inloggen op het systeem.

Foutmelding:

To Log on to this computer, you must be granted the Allow log on through Terminal Servce rights. By default, members of the Remote Desktop Users group have this right. If you are not a member of the Remote Desktop Users group or another group that has this right, or if the Remote Desktop User Group does not have this right, you must be granted this right manually

Dit dus sinds hij in het domain hangt. Nu denk ik het komt door een GPO, maar daar staat alles goed.

NOW INTERACTIVE! Joystick controls Fry's left ear.

donderdag 6 maart 2008 14:49

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

En, is de lokale administrator lid van de genoemde groep? Wat gebeurde er toen je hem toevoegde?

Exchange en Office 365 specialist. Mijn blog.

donderdag 6 maart 2008 14:49

Acties:

0 Henk 'm!

LinuZZ

Roman schreef op donderdag 06 maart 2008 @ 14:47:
Ben hier bezig met een Windows 2003 server in te richten om als Template weg te zetten op ESX. Hierbij log ik in via RDP. Dit gaat gewoon goed. heb hem toen in het domain gehangen en kon toen inloggen met een Domain admin account. Maar als ik nu wil inloggen via het local admin account dan lukt dat niet.Kan dus wel op RDP komen maar dan in RDP kan ik niet inloggen op het systeem.

Foutmelding:

[...]

Dit dus sinds hij in het domain hangt. Nu denk ik het komt door een GPO, maar daar staat alles goed.

controleer bij het inloggen of je wel degelijk je lokale user account gebruikt

Jazzy schreef op donderdag 06 maart 2008 @ 14:49:
En, is de lokale administrator lid van de genoemde groep? Wat gebeurde er toen je hem toevoegde?

bij default is dit in ieder geval wel zo

[ Voor 15% gewijzigd door LinuZZ op 06-03-2008 14:51 ]

enphase 8300wp (3460 ZO, 2740 ZW, 2100 NO), 2x20 vacuümbuizen op 300l SWW, Panasonic WH-MXC12J9E8, gasloos sinds Juni 2022 Stromer st3 voor woon-werk

donderdag 6 maart 2008 14:55

Acties:

0 Henk 'm!

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

De local Admin is lid van de Local administrators groep. en Domain admins is ook lid van de Local Administrators groep. Ik kan de Local admin niet aan de groep van Domains admin toevoegen.

NOW INTERACTIVE! Joystick controls Fry's left ear.

donderdag 6 maart 2008 14:57

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Roman schreef op donderdag 06 maart 2008 @ 14:47:
Dit dus sinds hij in het domain hangt. Nu denk ik het komt door een GPO, maar daar staat alles goed.

Ook bij restricted groups? Het lijkt er gewoon op dat lidmaatschap van de groep "Remote Desktop Users" door die setting wordt aangepast.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 6 maart 2008 15:01

Acties:

0 Henk 'm!

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

Not Defined.

Tenminste niet in de GPO's van de AD. Kan het zijn dat er lokaal iets wijzigd zodra je hem in de AD hangt?

NOW INTERACTIVE! Joystick controls Fry's left ear.

donderdag 6 maart 2008 18:44

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

En het antwoord op Jazzy's vraag of de local admin lid is van de local group "Remote Desktop Users"?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 6 maart 2008 22:01

Acties:

0 Henk 'm!

sanfranjake

Computers can do that?

Dat hoeft toch niet, lidmaatschap van de groep Administrators behoort dat te overrulen tenzij je hebt lopen klooien met de "allow logon through terminal services", dat kan topicstarter checken via gpedit.msc

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 6 maart 2008 22:04

Acties:

0 Henk 'm!

To_Tall

Local Admin heeft toch geen invloed op GPO's?
Als Local Admin in de Remote Desktop group zit zou je via de terminal moeten kunnen aanloggen.

tenzij je natuurlijk met je GPO's de localadmin rechten omzeep heb geholpen.

A Soldiers manual and a pair of boots.

donderdag 6 maart 2008 22:09

Acties:

0 Henk 'm!

sanfranjake

Computers can do that?

To_Tall schreef op donderdag 06 maart 2008 @ 22:04:
Local Admin heeft toch geen invloed op GPO's?
Als Local Admin in de Remote Desktop group zit zou je via de terminal moeten kunnen aanloggen.

tenzij je natuurlijk met je GPO's de localadmin rechten omzeep heb geholpen.

De standaardleden van "Allow logon through terminal services" zijn Administrators en Remote Desktop Users. Er moet dus door iemand iets gesloopt zijn als dat niet meer zo is. Aan ts om dat te checken

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 6 maart 2008 22:22

Acties:

0 Henk 'm!

To_Tall

sanfranjake schreef op donderdag 06 maart 2008 @ 22:09:
[...]

De standaardleden van "Allow logon through terminal services" zijn Administrators en Remote Desktop Users. Er moet dus door iemand iets gesloopt zijn als dat niet meer zo is. Aan ts om dat te checken

Ik heb hier een plain DC, "Allow logon through terminal services" staat inderdaad administrator group. Maar als ik in "Remote Desktop Users" de administrator plaats kan ik niet aanloggen.

Admin of iig een user die onder de admingroup valt moet worden ingevult onder RDU

A Soldiers manual and a pair of boots.

donderdag 6 maart 2008 22:25

Acties:

0 Henk 'm!

sanfranjake

Computers can do that?

Ik heb al honderden servers ingericht en dat nog nooit hoeven doen, dus ik blijf er bij dat dit erg vreemd is

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 6 maart 2008 22:27

Acties:

0 Henk 'm!

Fish

How much is the fish

je kiest toch wel het goede domein (de machine zelf), voor een lokaal account

Iperf

dinsdag 11 maart 2008 22:52

Acties:

0 Henk 'm!

Cis

Ik ben toch wel heel erg benieuwd of de TS inmiddels al heeft geprobeerd om een standaard Windows 2003 setup te doen, en daarna RDP te testen. Administrators hebben out-of-the-box rechten om te mstsc-en...
Zoals TS al zegt: In de Local Admin groep zit de Domain Users genest, dus als je met een Domain Admin wil inloggen, moet dat gewoon lukken

Geschiedenis herhaalt zich nooit. Maar rijmt altijd wel een keer.

woensdag 12 maart 2008 12:25

Acties:

0 Henk 'm!

jjbstolk

Het is toch niet zo dat deze server de 1e dc is en dat daardoor de local admin niet meer bestaat?

maandag 12 april 2010 15:10

Acties:

0 Henk 'm!

DaVaRiOuS

Even een soort gelijk vraagje maar dan eigenlijk een beetje andersom...

Ik heb een domeinadmin account aangemaakt om bepaalde handelingen met dit account uit te kunnen voeren o pde werkplekcomputers.
Maar deze gebruikersaccount mag niet kunnen inloggen op de server.

Uiteraard is de groep 'Remote Desktop Users' niet toegevoegd, dus remote inloggen kan dus niet.
Maar hoe blokkeer je het feit dat er op de server console kan worden ingelogd?

maandag 12 april 2010 15:21

Acties:

0 Henk 'm!

tc982

Onlangs ook voor gehad bij een klant, was omdat ze de Terminal services hebben geinstalleerd op de server ipv deze niet te installeren, want dan kan je deze pas gebruiken in admin mode...

Kijk eens in de eventvwr en je ziet dat hij gaat zeveren over licentie servers die niet gevonden worden.

Computers make very fast, very accurate mistakes.

maandag 12 april 2010 19:14

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

DaVaRiOuS schreef op maandag 12 april 2010 @ 15:10:
Ik heb een domeinadmin account aangemaakt om bepaalde handelingen met dit account uit te kunnen voeren o pde werkplekcomputers.Maar deze gebruikersaccount mag niet kunnen inloggen op de server.

Uiteraard is de groep 'Remote Desktop Users' niet toegevoegd, dus remote inloggen kan dus niet.
Maar hoe blokkeer je het feit dat er op de server console kan worden ingelogd?

Geen domainadmin maken, maar alleen admin rechten geven op de werkplekken.

Maak bv. een domain local group aan met de naam "werkplek admins", maak je account daar lid van. Pas vervolgens de GPO-instelling "restricted groups" voor je werkplekken zo aan dat de group "werkplek admins" lid is van de local administrator groep op de werkplekken.

tc982 schreef op maandag 12 april 2010 @ 15:21:
Onlangs ook voor gehad bij een klant, was omdat ze de Terminal services hebben geinstalleerd op de server ipv deze niet te installeren, want dan kan je deze pas gebruiken in admin mode...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Onderwerpen