Sind bereits Gruppen, Benutzer und Computer in der Active Directory angelegt ist es möglich, dass sich alle Benutzer und Administratoren auf eine gewisse Weise an der Domäne anmelden können.
In der Praxis kann sich der Administrator an allen Geräten im Netzwerk oder lokal am Computer anmelden, während sich der Benutzer an einem gewöhnlichen Host (WIN-XP,WIN7, WIN 8) in der Domäne anmeldet und sich wiederum nicht ohne besonderen Rechte lokal am Computer anmelden darf.

Es ist strikt geregelt, wie sich jeder Benutzer oder Administrator an einem Computer oder Server anmelden muss.

Unterscheidung zweier Anmeldemethoden

  1. Lokaler Anmeldeweg
    Man kennt es von dem heimischen Computer auf dem ein bis mehrere Benutzer mit Kennwort angelegt werden. Diese Benutzerdaten werden auf dem einen Gerät lokal gespeichert.
    Meldet sich also ein Benutzer an dieser Maschine an, werden die eingegebenen Anmeldedaten mit den gespeicherten Benutzerdaten (SAM-Datenbank) geprüft. Bei Übereinstimmung des Benutzernamen und Kennwort, erhält der anmeldende Benutzer Zugriff auf seine Daten. Soweit einleuchtend.
  2. Domänen Anmeldeweg
    Möchte sich ein Benutzer von seinem Arbeitscomputer an einer Domäne anmelden, sollte sein Benutzerkonto in der Active Directory (AD) angelegt sein.
    Da der Arbeitscomputer meist einer bestimmten Domäne zugeordnet ist, prüft der Domänencontroller die Zugangsdaten und gewährt den Zugang erst, wenn die Anmeldedaten erfolgreich überprüft worden sind.

Dabei gibt der normale Benutzer nur seinen Benutzernamen ein, da für die Benutzer kein lokales Konto existiert, erfolgt automatisch die Anmeldung an der Domäne.
Bei Administratoren ist das anders! Ein Administrator muss bei einer Anmeldung an der Domäne den Domänennamen voranstellen, andernfalls wird automatisch eine lokale Anmeldung an der jeweiligen Maschine erfolgen und nicht in der Domäne.

Das Anmelderecht am Domänencontroller

Obwohl es eigentlich nicht gewollt ist, dass sich Benutzer an einem Server anmelden können, gibt es dennoch einen Weg, wie es auf einem Server umgesetzt werden kann.
Das Recht zur lokalen Anmeldung kann allerdings nur ein Administrator erteilen und muss im Server eingestellt werden.

Vorgehensweise

  1. Melde Dich als Administrator am WHS2012 an.
  2. Öffne über den Server-Manager unter Tools die Gruppenrichtlinienverwaltung.
  3. Öffne in der linken Fensterhälfte folgenden Pfad:
    Gruppenrichtlinienverwaltung -> Gesamtstruktur: {Name der Domain} -> Domänen -> {Name der Domain} -> Domain Controllers
    Klicke mit der rechten Maustaste auf den Eintrag Default Domain Controllers Policy.
    > Das Kontextmenü öffnet sich.
  4. Klicke auf den Menüpunkt Bearbeiten.
    > Das Dialogfenster Gruppenrichtlinienverwaltungs-Editor öffnet sich.
  5. Öffne in der linken Fensterhälfte folgenden Pfad:
    Default Domain Controllers Policy -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten
    > Auf der rechten Fensterhälfte befinden sich bereits sehr viele Richtlinien.
  6. Klicke mit der linken Maustaste doppelt auf die Richtlinie Lokal anmelden zulassen.
    > Das Dialogfenster Eigenschaften von Lokal anmelden zulassen öffnet sich.
  7. Füge über die Schaltfläche Benutzer oder Gruppe hinzufügen eine weiter Richtliniendefinition Domänen-Benutzer hinzu.
  8. Klicke anschließend auf die Schaltfläche OK und schließe alle bereits geöffneten Dialogfenster.
  9. Nach einem Neustart des Domänen-Controller, kann sich jeder Domänen-Benutzer lokal am Server anmelden.

der verschiedenen Anmeldemethoden in derselben Domäne (z.B. Bayern)

Anmeldung an dem Server (Domäne)
Administrator = Bayern\Administrator

Anmeldung an den Server (lokal)
Administrator = Administrator
Norbert Kreidt = NKreidt

Anmeldung an den Host (Domäne)
Administrator = Bayern\Administrator
Norbert Kreidt = NKreidt

Bewertung: 4 / 5

Stern aktivStern aktivStern aktivStern aktivStern inaktiv