Lokale/interaktive Anmeldung am Domänenserver?

[Gobble-G]

Hallo,

ich möchte auf unserem Domänenserver (2003 Server, englisch) einen einfachen Benutzer einrichten, mit dem man sich an den Server physisch lokal anmelden können soll um damit Dokumente vom USB-Stick auf dem angeschlossenen Drucker zu drucken.

Ich habe einen Benutzer "printer" (mit Passwort) angelegt. Der ist standardmäßig in der Gruppe "domain/Users". Damit kann ich mich allerdings nicht direkt am Server anmelden (Meldung über eingeschränkte Rechte).
Was muss ich dazu noch ändern? Kann ich den Benutzer in eine lokale Gruppe verschieben? Wenn ja, wie? Wie kann ich die Rechte von "printer" soweit beschneiden, dass er wirklich nur noch drucken kann?

Danke! MfG, Gobble-G

 

[Tankred]

An einem Domänencontroller gibt es keine lokale Anmeldung mehr. Nach dcpromo kann man sich nur noch an der Domäne selbst anmelden.

 

[Gobble-G]

Hm, als Admin kann ich mich doch auch lokal anmelden - warum also nicht als einfacher Benutzer?
Wenn das mit dem Domänen-Benutzer schon nicht geht, kann ich den Benutzer vielleicht in eine "lokale" Gruppe stecken? Dieser Benutzer "printer" braucht echt nur den Zugriff auf den Drucker - mehr nicht.

 

[Tankred]

Der Admin meldet sich nicht lokal an, auch wenn es so aussieht. Das siehst Du daran, dass im Ordner "Dokumente und Einstellungen" ein zweiter Benutzerordner für den Admin angelegt wird, sobald der Server zum Domänencontroller gemacht wird. Dieser Ordner nennt sich dann "Administrator.[Domänenname]". Bei dcpromo wird der vorher lokale Admin also automatisch zum Domänenadmin gemacht.

Ich hatte noch nie den Fall, dass sich ein Nicht-Admin am DC anmelden musste. Du könntest höchstens mal versuchen, den Druckerbenutzer zum Admin zu machen und dann dem expliziten Nutzer verschiedene andere Rechte zu nehmen. Falls es mehrere sind, benutze einfach eine Gruppe dafür.

 

[Gobble-G]

Aber als Admin kann er sich die Rechte doch wieder verschaffen. Das würde mir nicht so gefallen.
Lokale Benutzer gibt es auf dem Domänencontroller nicht mehr?

 

[Frightener]

Es gibt auf dem DC keine lokalen Benutzer/Gruppen mehr. Etwas irreführend ist dann vielleicht die Richtlinie, die man ändern muß, um Nicht-Domain Admins die Anmeldung zu gewähren.

Schau mal in den Richtlinien unter 'Default Domain Controllers Policy':
Policies -> Windows Settings -> Security Settings -> Local Policies/User Rights Assignment

Hier hast Du die Option 'Allow log on locally', die Du entsprechend ändern mußt.

So siehts zumindest auf einem 2008er DC aus. Auf dem 2003er müßte das aber an einer ähnlichen Stelle zu finden sein.

 

[Gobble-G]

@FBrenner: Das hatte ich schon probiert. Die Liste ist erstmal leer und wenn ich einen Benutzer ("printer") hinzufüge, kann ich mit klick auf OK den Dialog nicht schließen. Es kommt keine Fehlermeldung oder so, aber dennoch wird es nicht übernommen. Unter der Liste steht nur "Administratoren müssen über lokale Anmeldeberechtigungen verfügen."

Den Dialog kann ich nur mit "Abbrechen" schließen...

 

[Frightener]

Ich probiere das nachher mal aus. Bei mir stehen da allerdings schon Gruppen drin, z.B. Domain Admins, Enterprise Admins...

Also bei mir funktioniert das so...mit einem normalen Benutzer.

Mach vielleicht nochmal ein gpupdate auf dem DC.

EDIT: Bei mir steht in dem Dialog auch DOMAIN\Irgendeinuser und nicht nur der Username. Wahrscheinlich erkennt er bei Dir den Benutzer nicht, wenn Du ihn nicht mit der entsprechenden Domain angibst.

 

[Gobble-G]

Laut der Erklärung im letzten Reiter sollten auch schon Gruppen (auch auf DC) drinstehen. Hier sind jedenfalls keine drin. Versucht habe ich noch deinen Tip mit Voranstellen der Domain beim Benutzer ("[domain]\printer"). Da passiert dasselbe, wie ohne - nämlich nichts.

 

[.mojo]

Bei dcpromo wird der vorher lokale Admin also automatisch zum Domänenadmin gemacht.

Das ist so nicht ganz richtig.

Es wird vielmehr ein Domänen Admin angelegt. Den lokalen Admin gibt es weiterhin. Sie interpretiere ich es zumindest, denn:
Zufällig hatten wir heute ein Problem mit nem DC an ner Aussenstelle. (am telefon hieß es nur, der Server sei down - es gibt dort keine ITler) Ich also hin, und was muss ich sehen:
"Der Verzeichnisdienst konnte nicht geladen werden, da er beschädigt ist...."
ICh also reboot, F8, Verzeichnisdienst wieder herstellen.
Nicht geholfen...
Nun, gut, abgesicherter Modus, kucken,w as zu machen ist. Anmeldefenster: ich will schön das Adminkennwort eingeben, er nimmts aber nicht an. Da kommts mir dann relativ flott "Keine ADS, keine Domänenanmeldung". Nun gut, aber für welchen Admin will er nun das Kennwort? und nach geschätzen 78 Versuchen (merke: immer Hirens Boot CD dabeihaben) hab ich dann das, vor ca. 6 Jahren gesetze Kennwort getroffen. Juhuu!!!
Wat en Glück lief gestern erst ne Vollsicherung. Also systemstate wiederhergestellt und die Katze schnurrte wieder Dann noch schnell mit dem BAgger die Steine die ehemals auf der Schulter lasteten weggeschafft und Abfahrt

Ergo: Ein DC ohne gestarteten Verzeichnisdienst erlaubt eine lokale Anmeldung, und der ehemals lokale Admin des Servers wird bei DC promo nicht zum Domänen Admin.