Discussion:
[E1] Samba 9.2.0 mit Windows 10 in Domäne
(zu alt für eine Antwort)
Mario Reisinger
2020-03-26 08:44:32 UTC
Permalink
Hallo Leute,

es ist wohl nicht direkt ein Problem von Samba, aber offensichtlich
stelle ich mich fÃŒr Google zu ungeschickt an...

Ich habe einen Windows 10 PC erfolgreich zu DomÀne hinzugefÌgt.

Am Eisfair habe ich einen User mit "user1" "Langer Name1" "password1"
angelegt. Ich kann mich mit user1 und password1 am Windows 10 PC
anmelden, abmelden, wieder anmelden... Wenn aber nach 5 Minuten die
Bildschirmsperre kommt steht bei der Windows Anmeldung "Langer Name1"
und das Kennwortfeld - hier passt aber "passwort1" nicht. Ich muss immer
ÃŒber "Anderer Benutzer" wieder mit user1 anmelden...

Was lÀuft hier daneben?

LG Mario
Thomas Bork
2020-03-26 11:50:31 UTC
Permalink
Post by Mario Reisinger
Am Eisfair habe ich einen User mit "user1" "Langer Name1" "password1"
angelegt. Ich kann mich mit user1 und password1 am Windows 10 PC
anmelden, abmelden, wieder anmelden... Wenn aber nach 5 Minuten die
Bildschirmsperre kommt steht bei der Windows Anmeldung "Langer Name1"
und das Kennwortfeld - hier passt aber "passwort1" nicht. Ich muss immer
über "Anderer Benutzer" wieder mit user1 anmelden...
Was läuft hier daneben?
Vermutlich meldet Dich Windows mit dem kokalen Benutzerkonto an und
nicht mit dem Domänen-Konto.

1.
Stelle sicher, dass Du _alle_ verfügbaren Windows-Updates eingespielt hast.

2.
Stelle sicher, dass das Passwort für den lokalen User mit dem Passwort
für den Domänen-User übereinstimmt.

3.
Einstellungen/Konten/Anmeldeoptionen:

Schalter "Meine Anmeldeinfos verwenden, um die Geräteeinrichtung nach
einem Update oder Neustart automatisch abzuschließen und meine Apps
erneut zu öffnen" auf "Aus".
--
der tom
[eisfair-team]
Marcus Röckrath
2020-03-26 12:18:23 UTC
Permalink
Hallo Thomas,
Post by Thomas Bork
3.
Schalter "Meine Anmeldeinfos verwenden, um die Geräteeinrichtung nach
einem Update oder Neustart automatisch abzuschließen und meine Apps
erneut zu öffnen" auf "Aus".
Habe ich aus leidvoller Erfahrung auch in der Penne auf den neuen Win10-PCs
so eingestellt, weil sonst Freigaben nicht ohne manuellen Zugriff im
Explorer automatisch eingebunden wurden oder auch Autostarts nicht
durchgeführt werden.

Da hat Win10 mal wieder großes Kino im Gepäck.
--
Gruß Marcus
[eisfair-Team]
Mario Reisinger
2020-03-26 14:34:19 UTC
Permalink
Hallo Thomas,
Vermutlich meldet Dich Windows mit dem lokalen Benutzerkonto an und
nicht mit dem DomÀnen-Konto.
es gibt außer dem Administrator KEIN lokales Konto, sobald ich das
Konto "user1" in Eisfair deaktiviere ist mit user1 auch keine Anmeldung
mehr möglich - Fehlermeldung: Konto deaktiviert.
1. Stelle sicher, dass Du _alle_ verfÃŒgbaren Windows-Updates
eingespielt hast.
Lt. Windows stand heute 14:01 keine neuen Updates verfÃŒgbar
2. Stelle sicher, dass das Passwort fÃŒr den lokalen User mit dem
Passwort fÌr den DomÀnen-User Ìbereinstimmt.
es gibt außer dem Administrator kein lokalen Benutzer - welchen Sinn
hÀtte dann auch die Zentrale Benutzerverwaltung?!
Schalter "Meine Anmeldeinfos verwenden, um die GerÀteeinrichtung
nach
einem Update oder Neustart automatisch abzuschließen und meine Apps
erneut zu öffnen" auf "Aus".
"Einige dieser Einstellung sind ausgeblendet oder werden von ihrer
Organisation verwaltet" Mehr gibts da nicht... angemeldet als
admin-DomÀnen-user. Auch als lokaler User "Administrator" ist diese
Einstellung nicht vorhanden. Ein paar andere zwar, aber diese eine
nicht...
--
BG Mario
Thomas Bork
2020-03-26 15:10:45 UTC
Permalink
es gibt außer dem Administrator KEIN lokales Konto, sobald ich das
Konto "user1" in Eisfair deaktiviere ist mit user1 auch keine Anmeldung
mehr möglich - Fehlermeldung: Konto deaktiviert.
Sehr gut.
Lt. Windows stand heute 14:01 keine neuen Updates verfügbar
Sehr gut.
es gibt außer dem Administrator kein lokalen Benutzer - welchen Sinn
hätte dann auch die Zentrale Benutzerverwaltung?!
Sehr gut. Was denkst Du, was ich schon alles erlebt habe? Ich habe
diesen Punkt nicht umsonst angeführt.
"Einige dieser Einstellung sind ausgeblendet oder werden von ihrer
Organisation verwaltet" Mehr gibts da nicht... angemeldet als
admin-Domänen-user. Auch als lokaler User "Administrator" ist diese
Einstellung nicht vorhanden. Ein paar andere zwar, aber diese eine
nicht...
Suchmaschinen sind nicht so Dein Ding? Versuche es hiermit:

https://www.exilschwaelmer.de/index.php/howto/147-windows-10-autologin-deaktivieren

Zitat:
In Domänenumgebungen kann man die Option per Gruppenrichtlinie deaktivieren:

Computerkonfiguration - Richtlinien - Administrative Vorlagen -
Windows-Komponenten - Windows-Anmeldeoptionen

Automatisches Anmelden des letzten interaktiven Benutzers nach einem vom
System initiierten Neustart: Deaktiviert.
--
der tom
[eisfair-team]
Mario Reisinger
2020-03-26 17:02:14 UTC
Permalink
Hallo Tom,

ja das mit erleben kenn ich ;-)
Post by Thomas Bork
https://www.exilschwaelmer.de/index.php/howto/147-windows-10-autologin-d
eaktivieren
In DomÀnenumgebungen kann man die Option per Gruppenrichtlinie
Computerkonfiguration - Richtlinien - Administrative Vorlagen -
Windows-Komponenten - Windows-Anmeldeoptionen
Automatisches Anmelden des letzten interaktiven Benutzers nach einem vom
System initiierten Neustart: Deaktiviert.
GrundsÀtzlich kooperiere ich sehr gut mit Suchmaschinen. Es ist nur
schwierig wenn man in ein neues Thema einsteigt und einfach die
richtigen FachausdrÃŒcke nicht kennt. :lol:

Ich habe mir den Link von dir (danke) durchgelesen und bin zu dem
Schluss gekommen das ich diese Option grundsÀtzlich gar nicht
deaktivieren möchte, da die User zu 99% immer am selben Computer
arbeiten. Zum Testen wÀre es natÌrlich kein Thema wenn es die Ursache
sein kann. Da bin ich aber schon beim nÀchsten Problem, das definitiv
bei mir liegt - Gruppenrichtlinien bearbeiten... irgendwie fehlen mir
dazu noch die Grundlagen - womit und wo?!?! Hast du da einen Tip fÃŒr
Grundlagen-Lesestoff? Also das ich es von einem PC in der DomÀne mit
DomÀnenadminrechten machen muss hab ich verstanden - denk ich
zumindest...

Danke BG Mario
Marcus Röckrath
2020-03-26 17:17:00 UTC
Permalink
Hallo Mario,
Post by Mario Reisinger
Ich habe mir den Link von dir (danke) durchgelesen und bin zu dem
Schluss gekommen das ich diese Option grundsätzlich gar nicht
deaktivieren möchte, da die User zu 99% immer am selben Computer
arbeiten.
Auch in meiner Schule arbeiten die User immer an ihrem eigenen PC und genau
da hat mir diese Option massiv Probleme bereinigt:

Keine Ausführung von Autostarts, wenn der User vorher angemeldet war.

Also fehlen nach dem Restart die automatisch zu startenden Programme.

Programme, die auf einer Freigabe liegen, die mit einem Laufwerksbuchstaben
verbunden sind, starten nicht, weil die Verbindung nach dem Restart nicht
wiederhergestellt wird.

Erst nach Öffnen der Freigabe/verbundenen Laufwerksbuchsteb im Explorer kann
das Programm wieder per Desktoplink gestartet werden.

Aus meiner Sicht ist die Option schlicht eine Katastrophe, die man sich nur
so in Redmond ausdenken konnte.
--
Gruß Marcus
[eisfair-Team]
Thomas Bork
2020-03-26 18:25:38 UTC
Permalink
Post by Mario Reisinger
Ich habe mir den Link von dir (danke) durchgelesen und bin zu dem
Schluss gekommen das ich diese Option grundsätzlich gar nicht
deaktivieren möchte, da die User zu 99% immer am selben Computer
arbeiten. Zum Testen wäre es natürlich kein Thema wenn es die Ursache
sein kann. Da bin ich aber schon beim nächsten Problem, das definitiv
bei mir liegt - Gruppenrichtlinien bearbeiten... irgendwie fehlen mir
dazu noch die Grundlagen - womit und wo?!?! Hast du da einen Tip für
Grundlagen-Lesestoff? Also das ich es von einem PC in der Domäne mit
Domänenadminrechten machen muss hab ich verstanden - denk ich
zumindest...
gpedit.msc - funktioniert nur ab Win 10 Pro oder Enterprise.

Und glaube mir (oder Marcus):
Aufgrund vielfältiger Bugs möchtest Du diese Option definit ausschalten.
Auf den Win-10-Rechnern, die ich betreue, deaktiviere ich ausserdem die
Schellstart-Option, die genauso für Probleme sorgt.
--
der tom
[eisfair-team]
Mario Reisinger
2020-03-26 18:44:38 UTC
Permalink
Alles klar, dann schalte ich die Option aus. Danke fÃŒr die Infos. Werde
mich dann morgen mit gpedit auseinandersetzten ;-) Dank Corona ist ja
genug Zeit fÃŒr solche neuen Baustellen ;-)

BG Mario
Marcus Röckrath
2020-03-26 19:03:07 UTC
Permalink
Hallo Thomas,
Post by Thomas Bork
Aufgrund vielfältiger Bugs möchtest Du diese Option definit ausschalten.
Hier macht sie aktiviert täglich Ärger auf den Arbeitsplätzen - zeigt aber
uch nur, was für ein D*****-Betriebssystem Win ist.
Post by Thomas Bork
Auf den Win-10-Rechnern, die ich betreue, deaktiviere ich ausserdem die
Schellstart-Option, die genauso für Probleme sorgt.
Schnellstart schalte ich erstes ab.
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
2020-03-26 19:14:05 UTC
Permalink
Hallo Thomas,
Post by Thomas Bork
Aufgrund vielfältiger Bugs möchtest Du diese Option definit ausschalten.
Da hatte ich jetzt einen Beitrag von Mario vermutet: Ich habe es doch auf
den Kisten abgeschaltet, denn es machte aktiviert Ärger.

Was dass in meinem früheren Post nicht klar geworden?

Ich wollte deinen Vorschlag gegenüber Mario eigentlich verstärken.
--
Gruß Marcus
[eisfair-Team]
Thomas Bork
2020-03-26 20:02:13 UTC
Permalink
Post by Marcus Röckrath
Post by Thomas Bork
Aufgrund vielfältiger Bugs möchtest Du diese Option definit ausschalten.
Da hatte ich jetzt einen Beitrag von Mario vermutet: Ich habe es doch auf
den Kisten abgeschaltet, denn es machte aktiviert Ärger.
Ich meinte damit, dass Mario aufgrund unserer Erfahrungen mir oder eben
auch Dir glauben solle. Deutsch ist echt keine einfache Sprache und
lässt einigen Raum für Fehlinterpretationen...
--
der tom
[eisfair-team]
Marcus Röckrath
2020-03-26 20:19:07 UTC
Permalink
Hallo Thomas,
Post by Thomas Bork
Ich meinte damit, dass Mario aufgrund unserer Erfahrungen mir oder eben
auch Dir glauben solle. Deutsch ist echt keine einfache Sprache und
lässt einigen Raum für Fehlinterpretationen...
:-)

Win10 geht mir langsam immer mehr auf den S***.

Privat kann man es ja umgehen, aber in der Penne leider nicht und ich muss
es warten.

Alleine die Schutzeinstellung Apps nur aus dem Store zu installieren,
verhindert teilweise die Installation ganz normaler Programme.
--
Gruß Marcus
[eisfair-Team]
Thomas Bork
2020-03-26 21:04:04 UTC
Permalink
Post by Marcus Röckrath
Alleine die Schutzeinstellung Apps nur aus dem Store zu installieren,
verhindert teilweise die Installation ganz normaler Programme.
Wer das setzt, ist doch selbst schuld. Ich finde es ok, dass es die
Einstellmöglichkeit gibt. Hat ja selbst Android.
--
der tom
[eisfair-team]
Marcus Röckrath
2020-03-26 21:17:37 UTC
Permalink
Hallo Thomas,
Post by Thomas Bork
Post by Marcus Röckrath
Alleine die Schutzeinstellung Apps nur aus dem Store zu installieren,
verhindert teilweise die Installation ganz normaler Programme.
Wer das setzt, ist doch selbst schuld. Ich finde es ok, dass es die
Einstellmöglichkeit gibt. Hat ja selbst Android.
Wenn es nur um Apps geht, was die Einstellung suggeriert, wäre das auch ok.
Auch in libreelec habe ich das üblicherweise so stehen und schalte das dann
bewußt in bestimmten Fällen aus.

Apps und Programme sind aber etwas anderes.

Unter Win10 kann problemlos in der strengen Einstellung libreoffice,
firefox, .. installiert werden, aber eben ein paar andere Programme (nicht
Apps) nicht.

Ich müsste jetzt nochmal nachschauen, welche das waren, spätestens beim
nächsten Update dieser Programme wird es mir wieder auf die Füße fallen.

Die Option müsste demnach "Installation von Programmen und Apps" nur aus den
erlaubten heißen und dann auch konsequent handeln und nicht manche
Programme durchlassen und andere nicht.
--
Gruß Marcus
[eisfair-Team]
Thomas Bork
2020-03-27 10:55:12 UTC
Permalink
Post by Marcus Röckrath
Unter Win10 kann problemlos in der strengen Einstellung libreoffice,
firefox, .. installiert werden, aber eben ein paar andere Programme (nicht
Apps) nicht.
Prüfe in dem Fall mal, ob es die Programme, die sich installieren
lassen, auch im Store gibt und die anderen eben nicht.
--
der tom
[eisfair-team]
Marcus Röckrath
2020-03-28 09:33:31 UTC
Permalink
Hallo Thomas,
Post by Thomas Bork
Post by Marcus Röckrath
Unter Win10 kann problemlos in der strengen Einstellung libreoffice,
firefox, .. installiert werden, aber eben ein paar andere Programme
(nicht Apps) nicht.
Prüfe in dem Fall mal, ob es die Programme, die sich installieren
lassen, auch im Store gibt und die anderen eben nicht.
Da ich gerade eines dieser Programme aktualisieren musste, kann ich sagen,
dass es das Program nicht im Microsoft Appstore gibt.

Es handelt sich um ein spezielles Schulverwaltungsprogramm namen "Pedav
Untis Tool 365".
--
Gruß Marcus
[eisfair-Team]
Mario Reisinger
2020-04-23 07:08:56 UTC
Permalink
Hallo,

bin leider erst jetzt dazu gekommen, aber irgendwie schein ich da was
komplett falsch zu machen oder zu verstehen... wenn ich gpedit starte,
fehlt "Richtlinien" und in der Programmleiste steht "Editor fÃŒr lokale
Gruppenrichtlinien".

Ich versteh das schon richtig, dass ich mit gpedit mit einem
Administrator Konto (auf dem Samba zur Gruppe Root gehörend) von jedem
PC die Einstellungen fÃŒr "alle" Verwalten kann?!?!

Beim Lesen habe ich jetzt immer wieder gelesen, das der DNS-Server
zwingend der Samba Server (DC) sein muss. Aber wenn ich diesen als DNS
im DHCP eintrage geht kein DNS mehr. In der Doku von Eisfair Samba
konnte ich diesen "zwang" nicht herauslesen. Außerdem kann ich mich ja
an der DomÀne Anmleden, also scheint es ja auch zu klappen wenn der DNS
nicht der Samba DC ist? Oder muss ich Bind9 auf dem Samba Server
installieren und die lokale Auflösung dem DC Ìberlassen und nur
externe an das Gateway weiterreichen?

Ich hab mir jetzt noch "Samba 4: Das Handbuch fÃŒr Administratoren von
Stefan Kania" rausgesucht - ist das als Grundlagen-Buch geeignet? Kennt
das jemand bzw gibt es bessere Alternativen?

BG Mario
Post by Thomas Bork
In DomÀnenumgebungen kann man die Option per Gruppenrichtlinie
Computerkonfiguration - Richtlinien - Administrative Vorlagen -
Windows-Komponenten - Windows-Anmeldeoptionen
Automatisches Anmelden des letzten interaktiven Benutzers nach einem vom
System initiierten Neustart: Deaktiviert.
Thomas Bork
2020-04-23 18:35:54 UTC
Permalink
Post by Mario Reisinger
Ich versteh das schon richtig, dass ich mit gpedit mit einem
Administrator Konto (auf dem Samba zur Gruppe Root gehörend) von jedem
PC die Einstellungen für "alle" Verwalten kann?!?!
Nein. Einen solchen Mechanismus gibt es nur für AD-Domänen. Ich
unterstütze nur Domänen nach dem NT4-Domänen-Modell.
Post by Mario Reisinger
Beim Lesen habe ich jetzt immer wieder gelesen, das der DNS-Server
zwingend der Samba Server (DC) sein muss. Aber wenn ich diesen als DNS
im DHCP eintrage geht kein DNS mehr. In der Doku von Eisfair Samba
konnte ich diesen "zwang" nicht herauslesen. Außerdem kann ich mich ja
an der Domäne Anmleden, also scheint es ja auch zu klappen wenn der DNS
nicht der Samba DC ist? Oder muss ich Bind9 auf dem Samba Server
installieren und die lokale Auflösung dem DC überlassen und nur
externe an das Gateway weiterreichen?
Die obige Voraussetzung gilt nur für AD-Domänen, die ich nicht unterstütze.
--
der tom
[eisfair-team]
Mario Reisinger
2020-04-28 16:26:29 UTC
Permalink
Thomas Bork schrieb am Thu, 23 April 2020 20:35
Nein. Einen solchen Mechanismus gibt es nur fÌr AD-DomÀnen. Ich
unterstÌtze nur DomÀnen nach dem NT4-DomÀnen-Modell.
Ok das bedeutet ich habe die Benutzerverwaltung vom DamÀnen-Controller
und muss die Parameter (Gruppenrichtlinen) auf jedem PC bei der
Einrichtung einmalig Manuell setzten?


Aber ich habe trotzdem nicht die Möglichkeit diesen Parameter zu
setzten da meine Baumstruktur nicht dem der Anleitung entspricht:

Statt: Computerkonfiguration - Richtlinien - Administrative Vorlagen -
Windows-Komponenten - Windows-Anmeldeoptionen: Automatisches Anmelden
des letzten interaktiven Benutzers nach einem vom System initiierten
Neustart: Deaktiviert.


habe ich: Computerkonfiguration - Administrative Vorlagen -
Windows-Komponenten - Windows-Anmeldeoptionen: Nach Neustart automatisch
anmelden und letzten interaktiven Benutzer sperren

Das kommt dem aber nur Àhnlich und bewirkt jedoch auch nichts.
Irgendwie komme ich da jetzt nicht weiter...
--
BG Mario
Thomas Bork
2020-05-03 20:11:09 UTC
Permalink
Ok das bedeutet ich habe die Benutzerverwaltung vom Damänen-Controller
und muss die Parameter (Gruppenrichtlinen) auf jedem PC bei der
Einrichtung einmalig Manuell setzten?
Ja.
Aber ich habe trotzdem nicht die Möglichkeit diesen Parameter zu
Statt: Computerkonfiguration - Richtlinien - Administrative Vorlagen -
Windows-Komponenten - Windows-Anmeldeoptionen: Automatisches Anmelden
des letzten interaktiven Benutzers nach einem vom System initiierten
Neustart: Deaktiviert.
habe ich: Computerkonfiguration - Administrative Vorlagen -
Windows-Komponenten - Windows-Anmeldeoptionen: Nach Neustart automatisch
anmelden und letzten interaktiven Benutzer sperren
Das kommt dem aber nur ähnlich und bewirkt jedoch auch nichts.
Irgendwie komme ich da jetzt nicht weiter...
Die Namen, Texte und Auswirkungen können sich von Windows-Version zu
Windows-Version unterscheiden.

Richtlinien für lokale Computer
Computerkonfiguration
Administrative Vorlagen
Windows-Komponenten
Windows-Anmeldeoptionen
Nach Neustart automatisch anmelden und letzten interaktiven Benutzer sperren

Deaktiviert

Ich kann damit keine Probleme feststellen. Du solltest aber noch einmal
genau überprüfen ...

1.
... ob Du ein abweichendes Passwort für einen gleichnamigen lokalen User
gespeichert hast.

Stichwort Anmeldeinformationsverwaltung

Es ist nicht immer auf Anhieb zu sehen, ob Windows Dich lokal oder an
einer Domäne anmelden möchte. Willst Du sicherstellen, dass Du
tatsächlich an der Domäne angemeldet wirst, gebe

Domänenname\Username

in das Feld für den Benutzernamen ein.

Willst Du sicherstellen, dass Du lokal angemeldet wirst, gebe

Computername\Username

in das Feld für den Benutzernamen ein.

Wenn das System aus der Bildschirmsperre kommt, siehst Du keinen unteren
Teil mehr, in dem Du eruieren kannst, ob Du an der Maschine oder an der
Domäne angemeldet wirst.


2.
... ob es tatsächlich keinen lokalen User dieses Namens gibt. Du
schriebst am Anfang:

###
es gibt außer dem Administrator KEIN lokales Konto, sobald ich das
Konto "user1" in Eisfair deaktiviere ist mit user1 auch keine Anmeldung
mehr möglich - Fehlermeldung: Konto deaktiviert.
###

Ich glaube nicht, dass der von Dir bei der Installation angelegte
Benutzer Administrator hiess. Wenn es also "user1" war, gibt es auch
einen lokalen Benutzer.

Vergleiche dazu C:\Benutzer\*

Meinetwegen mit der Powershell als Administrator. Beispiel:

C:\Users>dir
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 06ED-BF28

Verzeichnis von C:\Users

03.05.2020 21:44 <DIR> .
03.05.2020 21:44 <DIR> ..
04.09.2016 17:56 <DIR> Default.migrated
30.07.2019 11:25 <DIR> Public
03.05.2020 21:42 <DIR> root.TESTDOM
03.05.2020 21:39 <DIR> tb
03.05.2020 21:25 <DIR> x.TESTDOM
0 Datei(en), 0 Bytes
7 Verzeichnis(se), 36.271.898.624 Bytes frei

C:\Users>

Lokale Userkonten haben keinen Punkt, wie z.B. der User tb.
Domänenkonten haben einen Punkt, wie z.B. x.TESTDOM. Es gibt hier keinen
lokalen User x und kein lokales Profil x, sondern nur das Profil des
Domänen-Users TESTDOM\x (x.TESTDOM).
--
der tom
[eisfair-team]
Mario Reisinger
2020-05-04 12:43:12 UTC
Permalink
Thomas Bork schrieb am Sun, 03 May 2020 22:11
Die Namen, Texte und Auswirkungen können sich von Windows-Version
zu
Windows-Version unterscheiden.
Richtlinien fÃŒr lokale Computer
Computerkonfiguration
Administrative Vorlagen
Windows-Komponenten
Windows-Anmeldeoptionen
Nach Neustart automatisch anmelden und letzten interaktiven Benutzer sperren
Deaktiviert
Genau diesen MenÃŒpunkt habe ich so und auch deaktiviert. Trotzdem ist
nach einem Neustart z.B. bereits der letzte User vorausgewÀhlt.
Ich kann damit keine Probleme feststellen. Du solltest aber noch einmal
genau ÃŒberprÃŒfen ...
1.
.... ob Du ein abweichendes Passwort fÃŒr einen gleichnamigen
lokalen User
gespeichert hast.
Stichwort Anmeldeinformationsverwaltung
Es gibt nur einen einzigen aktivierten User auf dem Windows. Das ist der
User "Administrator" mit meinem "Standardkennwort" welches ich fÃŒr
Inbetriebnahmen verwende. Das war jedoch bis gerade eben auch das
gleiche das root bzw. der Adminuser auf dem Samba. Nun nicht mehr.

Weiters kann ich nicht die Anmeldeinformationsverwaltung öffnen.
"Fehler bei AusfÃŒhren der Aktion. Fehlercode 0x8009024...."

Habe [1] als Ursache ergoogelt, jedoch ist mir jetzt unklar ob das so ok
ist oder damit zusammen hÀngt, das an meiner DC Konfig was nicht
passt...
Es ist nicht immer auf Anhieb zu sehen, ob Windows Dich lokal oder an
einer DomÀne anmelden möchte. Willst Du sicherstellen, dass Du
tatsÀchlich an der DomÀne angemeldet wirst, gebe
DomÀnenname\Username
[...]
2.
.... ob es tatsÀchlich keinen lokalen User dieses Namens gibt. Du
###
es gibt außer dem Administrator KEIN lokales Konto, sobald ich das
Konto "user1" in Eisfair deaktiviere ist mit user1 auch keine
Anmeldung
mehr möglich - Fehlermeldung: Konto deaktiviert.
###
Ich glaube nicht, dass der von Dir bei der Installation angelegte
Benutzer Administrator hiess. Wenn es also "user1" war, gibt es auch
einen lokalen Benutzer.
Vergleiche dazu C:\Benutzer\*
C:\Users>dir
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 06ED-BF28
Verzeichnis von C:\Users
03.05.2020 21:44 <DIR> .
03.05.2020 21:44 <DIR> ..
04.09.2016 17:56 <DIR> Default.migrated
30.07.2019 11:25 <DIR> Public
03.05.2020 21:42 <DIR> root.TESTDOM
03.05.2020 21:39 <DIR> tb
03.05.2020 21:25 <DIR> x.TESTDOM
0 Datei(en), 0 Bytes
7 Verzeichnis(se), 36.271.898.624 Bytes frei
C:\Users>
Lokale Userkonten haben keinen Punkt, wie z.B. der User tb.
DomÀnenkonten haben einen Punkt, wie z.B. x.TESTDOM. Es gibt hier
keinen
lokalen User x und kein lokales Profil x, sondern nur das Profil des
DomÀnen-Users TESTDOM\x (x.TESTDOM).
Nein es gibt lokal nur den User "Administrator". Das ist eine
vorbereitets Image in welche, nur dieser User existiert. Alle anderen
sind gelöscht oder deaktiviert.

Allerdings habe ich keine "." User - sieht aus als wÀren sie Lokal.

C:\Users>dir
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EAD4-B869

Verzeichnis von C:\Users

04.05.2020 14:17 <DIR> .
04.05.2020 14:17 <DIR> ..
04.05.2020 10:53 <DIR> Administrator
04.05.2020 13:26 <DIR> aluigi
04.05.2020 13:37 <DIR> fragr
07.03.2020 05:22 <DIR> Public
04.05.2020 14:18 <DIR> root

Administrator ist wie gesagt der einzige User auf dem PC, alle anderen
kommen vom DC.

Irgendwas stimmt hier ganz und granicht.

[1]
https://support.microsoft.com/de-at/help/3205778/dpapi-masterkey-backup-failures-when-rwdc-isn-t-available
--
Großen Dank fÃŒr die Geduld!
BG Mario
Marcus Röckrath
2020-05-04 13:41:08 UTC
Permalink
Hallo Mario,
Genau diesen Menüpunkt habe ich so und auch deaktiviert. Trotzdem ist
nach einem Neustart z.B. bereits der letzte User vorausgewählt.
Ich kenne es von den 20 im Februar neu installierten Win10-Pro-PCs nicht
anders, als das bei Einschalten immer der letzte Nutzer im
Anmeldebildschirm voreingestellt ist.

Automatisch angemeldet wird er aber nicht.

Den Schnellstart in den Energieeinstellungen habe ich natürlich deaktiviert.
--
Gruß Marcus
[eisfair-Team]
Thomas Bork
2020-05-04 17:42:07 UTC
Permalink
Post by Mario Reisinger
Nein es gibt lokal nur den User "Administrator". Das ist eine
vorbereitets Image in welche, nur dieser User existiert. Alle anderen
sind gelöscht oder deaktiviert.
Ok.
Post by Mario Reisinger
Allerdings habe ich keine "." User - sieht aus als wären sie Lokal.
Vergiss das ganz schnell wieder. Das ist ein virtuelles Spielsystem von
mir gewesen, auf dem ich schon viel herumprobiert habe. Und wenn ich der
Suchmaschine meines Vertrauens glauben kann, dann wird nur ein Profil
"*.Domain" angelegt, wenn es schon einmal einen lokalen User mit
gleichem Namen gab. Um das zu beheben, muss man neben dem Löschen des
lokalen Profils auch die Registry bereinigen.

Also sorry für die Verwirrung :-)
--
der tom
[eisfair-team]
Thomas Bork
2020-05-04 22:24:50 UTC
Permalink
Post by Thomas Bork
Vergiss das ganz schnell wieder. Das ist ein virtuelles Spielsystem von
mir gewesen, auf dem ich schon viel herumprobiert habe. Und wenn ich der
Suchmaschine meines Vertrauens glauben kann, dann wird nur ein Profil
"*.Domain" angelegt, wenn es schon einmal einen lokalen User mit
gleichem Namen gab. Um das zu beheben, muss man neben dem Löschen des
lokalen Profils auch die Registry bereinigen.
Also sorry für die Verwirrung :-)
Du kannst Dir die Profile sinnvoller mit

sysdm.cpl
Erweitert
Benutzerprofile
Einstellungen

anzeigen lassen. Hier siehst Du auch, ob es sich um lokale oder um
Roaming-Profile (auf dem PDC) handelt.


Beim Bereinigen meines Spielsystems habe ich heute folgendes festgestellt:

Nachdem ich die .-Profile gelöscht und die Registry bereinigt hatte,
habe ich mich einmal mit dem Domänen-User x angemeldet. Allet schön.

Sobald man aber als Username "Administrator" eingibt, wechselt die
Anmeldung vom Domänen-Kontext auf den Kontext der lokalen Maschine.

Also "Anderer Benutzer" ist noch leer und der untere Bereich zeigt an
"Anmelden an: TESTDOM". Sobald aber als Username "Administrator"
angegeben wird, wechselt das zu "Anmelden an: Maschinenname".
Windows 10 geht dann stillschweigend davon aus, dass man sich lokal
anmelden möchte.

Das übrigens auch bei mir, obwohl bei mir gar kein lokaler Account
"Administrator" existiert. Und dann geht die Anmeldung natürlich schief.
Dass kein lokaler User "Administrator" bei mir existiert, ist natürlich
auch nur eine Lüge von Windows 10:

Unter

Systemsteuerung\Alle
Systemsteuerungselemente\Benutzerkonten\Benutzerkonten verwalten

taucht kein Administrator auf. Unter

Einstellungen\Konten\Andere Benutzer

taucht kein Administrator auf. Aber unter

Erweiterte Benutzerverwaltung\Lokale Benutzer und Gruppen\Erweitert\Benutzer

oder lusrmgr.msc\Benutzer

ist zu sehen, dass der Account auch bei mir existiert (per Default),
aber deaktiviert ist. Vermutlich prüft Windoof im Anmeldedialog auf das
Vorhandensein (ob aktiv oder nicht) von einem lokalen Administrator...

Um mich als Administrator an der Domäne anmelden zu können, muss ich
deswegen zwingend "TESTDOM\Administrator" als Username angeben. Dann
steht im unteren Bereich wieder "Anmelden an: TESTDOM" und die Anmeldung
gelingt.

Beim Anmeldevorgang sieht man dann, wie sich "Anderer Benutzer" zu
"root" verändert. Administrator wird bei uns ja auf "root" gemappt.

Oder nach einer vorher erfolgten Anmeldung wähle ich statt "Anderer
Benutzer" "root" aus und werde dabei in der Domäne angemeldet.
--
der tom
[eisfair-team]
Hilix
2020-05-05 08:28:47 UTC
Permalink
Das übrigens auch bei mir, obwohl bei mir gar kein lokaler Account "Administrator" existiert. Und dann geht die Anmeldung
Darf ich mich da mal kurz einmischen? Was ich neulich bei der etwas hackeligen Installation meines Notenscan-Programms auf
meinem Windows-System (W10Pro) gelernt habe, dass es einen "versteckten Administrator" gibt.

Auf diesem System gibt es nur 1 Userkonto, das auch Administrator-Rechte haben kann (stelle ich mir ähnlich wie bei "sudo" vor).
Das System ist nicht mit einem Verzeichnisdienst verbunden (AD/LDAP).

Dieses "versteckte" Administratorkonto kann ich als User mit Administratorrechten aktivieren und deaktivieren:

CMD (als Administrator ausführen) --> "net user Administrator /active:on

CMD (als Administrator ausführen) --> "net user Administrator /active:off

Bei aktivierten ("verstecktem") Administrator: erscheint auf dem Anmeldebildschirm unten links auch "Administrator" zu Anmelden
als Administrator. Außerdem erscheint dann in Systemeinstellungen --> Konten auch die Menüoption: Andere Konten.

In der Profile-Übersicht (sysdm.cpl) ist der lokale Administrator aber offensichtlich immer vorhanden.


Sorry, wenn die Anmerkung zu trivial war...

Grüße. / Hilmar.
Mario Reisinger
2020-05-05 15:47:20 UTC
Permalink
Schande ÃŒber mich - das Problem mit dem falschen Kennwort bei der
Reaktivierung ist geklÀrt! Wenn ich unter sysdm.cpl nachsehe, sehe ich
meinen Fehler sofort! Dort gibt es einen Administrativen User (der den
ich verwende) mit der falschen DomÀne (testdomÀne\user). Den hab ich
wohl beim Testen am Samba angelegt und einfach so behalten. Löschen und
wieder neu anlegen des SAMBA Users behebt das Problem sofort!

Sorry!

Jetzt ist nur noch die Frage, wie verwaltet man die User "richtig"?
Normale User sind einfach, anlegen und geht. Aber wie mach ich das mit
User die lokale Administratorrechte brauchen? Ich hab sie jetzt mal
einfach der Gruppe root hinzugefÃŒgt, aber dadurch haben sie natÃŒrlich
bei den Freigaben zu viel rechte...

BG Mario
Thomas Bork
2020-05-05 19:14:08 UTC
Permalink
Schande über mich - das Problem mit dem falschen Kennwort bei der
Reaktivierung ist geklärt! Wenn ich unter sysdm.cpl nachsehe, sehe ich
meinen Fehler sofort! Dort gibt es einen Administrativen User (der den
ich verwende) mit der falschen Domäne (testdomäne\user). Den hab ich
wohl beim Testen am Samba angelegt und einfach so behalten. Löschen und
wieder neu anlegen des SAMBA Users behebt das Problem sofort!
Ok, passiert.
Jetzt ist nur noch die Frage, wie verwaltet man die User "richtig"?
Normale User sind einfach, anlegen und geht. Aber wie mach ich das mit
User die lokale Administratorrechte brauchen? Ich hab sie jetzt mal
einfach der Gruppe root hinzugefügt, aber dadurch haben sie natürlich
bei den Freigaben zu viel rechte...
Da bleiben wenig Möglichkeiten. Es gibt bei uns bisher nur statische
Group-Mappings. Siehe Dokumentation:

http://www.eisfair.org/fileadmin/eisfair/doc/node82.html#SAMBAPDC

Die einzige noch nicht vergebene Gruppe ist dabei Domänen-Hauptbenutzer
(sys, 3). Frühere Windows-Versionen kannten die lokale Gruppe der Power
Users, die mehr Rechte hatten, als die normalen User. Die Gruppe
existiert heute noch, das mit den Rechten ist angeblich nicht mehr so -
probiere also aus, welche Rechte die Gruppe noch hat.

Du musst eine lokale Gruppe auf den Clients haben (z.B. Power Users),
die bezüglich der Rechte Deinen Vorstellungen entspricht. Die
entsprechenden Samba-User, die mehr Rechte erhalten sollen, müssen als
primäre Gruppe users (Domänen-Benutzer) haben und als zusätzliche Gruppe
sys (Domänen-Hauptbenutzer).
Dann musst Du auf jedem einzelnen Client die Domänengruppe
Domänen-Hauptbenutzer (sys) auf dem Client in die lokale Gruppe (z.B.
Power Users) aufnehmen, die bezüglich der Rechte Deinen Vorstellungen
entspricht (hier gibt es keinerlei Automatik, wie bei den
Domänen-Administratoren, die automatisch der lokalen Gruppe der
Administratoren hinzugefügt werden).

Und damit haben die entsprechenden User schliesslich die Rechte der
lokalen Gruppe...
--
der tom
[eisfair-team]
Thomas Bork
2020-05-05 19:26:21 UTC
Permalink
Post by Thomas Bork
Und damit haben die entsprechenden User schliesslich die Rechte der
lokalen Gruppe...
Wenn es sich nur um ein paar User handelt, kannst Du die natürlich auch
direkt in die lokale Gruppe aufnehmen.
--
der tom
[eisfair-team]
Mario Reisinger
2020-05-26 11:24:07 UTC
Permalink
Hello,

ich hab mit den Gruppen gelöst. Danke.

Jetzt bin ich auf ein neues Problem gestoßen. Sobald ich einen PC in
die DomÀne bringe, kann EDGE keine Kennwörter mehr speichern. Er fragt
zwar, aber es wird nicht gespeichert. Das gleiche mit Chrome. Lediglich
Firefox schafft es die Kennwörter zu speichern. Jemand eine Idee? In
denGruppenrichtline hab ich nur "Konfiguration des Kennwortmanager
zulassen" gefunden und das habe ich manuell aktiviert, was aber keine
Besserung verursacht hat...

BG Mario
Mario Reisinger
2020-05-26 14:35:17 UTC
Permalink
Und bei der Eingabe einer Adresse im RDP-Client nimmt er zeitweise die
Eingaben (TastendrÃŒcke) nur eine alle 10 Sekunden an... reproduzierbar
an 4 ArbeitsplÀtzen. Kennt das PhenomÀn jemand?

BG Mario
Mario Reisinger
2020-06-05 12:42:30 UTC
Permalink
Auch ist die Synchronisation im Chrom nach jeder ab- und wieder
Anmeldung "Pausiert" und man muss sich neu mit dem Kennwort anmelden.
Bin ich der einzige hier der solche unpraktikablen PhÀnomene hat in 2
verschiedenen DomÀnen hat? Ich finde das so sehr mÌhselig arbeiten und
auch mein Kunde ist davon garnicht begeistert...?!

BG Mario

Thomas Bork
2020-05-26 21:26:58 UTC
Permalink
ich hab mit den Gruppen gelöst. Danke.
Aha. Wie?
Jetzt bin ich auf ein neues Problem gestoßen. Sobald ich einen PC in
die Domäne bringe, kann EDGE keine Kennwörter mehr speichern. Er fragt
zwar, aber es wird nicht gespeichert. Das gleiche mit Chrome. Lediglich
Firefox schafft es die Kennwörter zu speichern. Jemand eine Idee? In
denGruppenrichtline hab ich nur "Konfiguration des Kennwortmanager
zulassen" gefunden und das habe ich manuell aktiviert, was aber keine
Besserung verursacht hat...
Geht eventuell nur bei AD-Domänen. Frag MS.
--
der tom
[eisfair-team]
Loading...