Windows Server 2012 - Fehler: Für eine Remoteanmeldung müssen Sie dazu berechtigt sein

Problem

Es wird ein Windows Server 2012 R2 Foundation eingesetzt. Es soll über ein VPN Terminaldienste (Remote-Desktop-Dienste bereit gestellt werden). Das funktioniert für Administratoren, aber nicht für normale Benutzer, auch nicht, wenn sie der Remotedesktopbenutzer-Gruppe angehören. Beim Anmeldebildschirm erscheint folgende Meldung.

"Für eine Remoteanmeldung müssen Sie dazu berechtigt sein, sich über Remotedesktopdienste anzumelden. Die Mitglieder der Gruppe "Administratoren" sind standardmäßig mit diesem Recht ausgestattet. Wenn die Gruppe, der Sie angehören, nicht über dieses Recht verfügt, oder der Gruppe "Administratoren" dieses Recht entzogen wurde, muss es Ihnen manuell zugewiesen werden..."

Aber, wie gesagt, die Mitgliedschaft der Remotedesktop-Benutzer-Gruppe ist gegeben.

Lösung

Man könnte jetzt den entsprechenden Benutzer der Administratoren-Gruppe hinzufügen damit es sofort funktioniert. Dies ist aber sicher nicht im Sinne des Administrators, dass ein normaler Benutzer mit administrativen Berechtigungen sich auf seinem Terminal-Server tummelt. Ausserdem startet sich dann automatisch die Server-Manager-Konsole.

Standardmäßig ist in den lokalen Sicherheitsrichtlinien die Nutzung der Remotedesktop-Dienste für die Gruppen "Administratoren" und "Remotedesktopbenutzer" definiert. Sobald aus dem Normalen Server aber ein Domänencontroller wird, gilt dies nur noch für Administratoren. Die Gruppe der "Remotedesktopbenutzer" muss per lokaler Sicherheitsrichtlinie hinzugefügt werden. Sicherheitshalber auch nochmal die Administratoren und/oder Domänen-Administratoren der lokalen Richtlinie hinzufügen, um sich nicht vom Remote auszusperren, obwohl die Administratoren-Gruppe immer berechtigt ist.

Systemsteuerung -> Verwaltung -> Lokale Sicherheitsrichtlinie -> Computerkonfiguration -> Windows-Einstellungen ->Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> "Anmelden über Remotedesktopdienste zulassen" die Gruppe "Remotedesktopbenutzer" eintragen.

Abschliessend an der CMD gpupdate /force eingeben, um die Richtlinie sofort zu übernehmen.

Weiterführende Links unten beachten.

Diese Tipps dienen als knowledgebase zur internen Nutzung. Es steht natürlich jedem frei, dieses Wissen auf eigene Gefahr anzuwenden. Wir empfehlen, den Rat Ihres Netzwerk-Administrators einzuholen, oder uns mit der Lösung Ihres Problems zu beauftragen. Verwendete Markennamen und Warenzeichen sind Namen/Eigentum der jeweiligen Firmen/Hersteller.