Windows Server 2012 R2 Remotedesktop Benutzerauthentifizierung aus zweiter Domäne

Hallo,

ich beschäftige mich seit einiger Zeit damit virtuelle Maschinen bereit zu stellen. Dafür nutze ich die Windows Server Remotedesktopdienste. Bisher kann ich auf die virtuellen Maschinen mit Accounts der Benutzergruppe zugreifen, allerdings nur, wenn der Benutzeraccount in derselben Domäne ist wie der Remotedesktopserver.
Ich möchte allerdings auch Accounts nutzen, die in einer zweiten Domäne, zu der eine Vertrauensstelle existiert, registriert sind. Bei diesen tritt allerdings beim Verbindungsversuch immer folgende Fehlermeldung auf:
"die verbindung wurde abgelehnt, da das benutzerkonto nicht zur remoteanmeldung autorisiert ist"

Ich habe die Accounts in beiden Domänen zu den Remotedesktopbenutzern hinzugefügt.
Mir ist unklar, woran die Anmeldung scheitert und habe leider keine vergleichbaren Probleme/Lösungen gefunden. Ich hoffe, dass mir jemand helfen kann.

Liebe Grüße

Ich denke, wenn der TS in Domäne A ist musst du die RDP Gruppe der Domäne B in A selbst eintragen. Der TS kennt ja nur seine eigene Domäne.

also RDP Gruppe aus Domäne A enthält dann:

- User/Gruppen aus A
- RDP Gruppe aus B

d2boxSteve schrieb:

also RDP Gruppe aus Domäne A enthält dann:

- User/Gruppen aus A
- RDP Gruppe aus B

Zum Vergrößern anklicken....

/Sign

Globale und Lokale Gruppen sind hier das Stichwort.
Lokale Gruppe auf das Computerprojekt berechtigen. In jeder Domäne eine Globale Gruppe erstellen und die User in diese Globale Gruppe stecken.
Mitglied der Lokalen Gruppe sind dann die beiden Globalen Gruppen aus den 2 Domänen mit den Benutzern aus der Jeweiligen Domäne.
So ist es von Microsoft vorgesehen.

User -> Global -> Lokal -> Objekt

Es sieht jetzt folgendermaßen aus:

Domäne A:
Remotedesktopserver (Benutzergruppen: rA, rB)
Remotedesktopbenutzer (enthält: Gruppe rA, Grupper rB)
Gruppe rA (enthält Nutzer aus Domäne A und ist global)

Domäne B:
Remotedesktopbenutzer (Grupper rB)
Gruppe rB (enthält Nutzer aus Domäne B und ist global)

Wenn ich jetzt versuche mich mit Accounts aus der Gruppe rB anzumelden bekomme ich die anfangs genannte Fehlermeldung.
Wo liegt mein Fehler? Brauchen die Nutzer noch weitere Berechtigungen oder gibt es da weitere Richtlinien?

Wie MaC-87 geschrieben hat ... lokale Gruppen gibt es auch noch.

Was steht denn in der lokalen Gruppe auf dem TS (Gruppe "Remotedesktopbenutzer") ? Ist da wirklich die globale Gruppe eingetragen?

Des Rätsels Lösung sieht wie folgt aus. Der Server RD-Verbindungsbroker wurde in die "Built-In"Gruppe Windows-Authorisierungszugriffsgruppe im AD eingetragen und schon ging es.