Lokaler und Domänen-Benutzer gleich benannt

Dies ist mir bereits vor einiger Zeit mal passiert: Ein Benutzer ließ sich trotz aller entsprechenden Rechte einfach nicht auf einem Terminalserver anmelden. Der Sonderfall war allerdings, dass der Rechner, von dem aus der Zugriff stattfinden sollte, nicht Mitglied der Domäne gewesen ist und die Anmeldeinformationen für die RDP-Sitzungen dort vom entsprechenden Benutzer gespeichert wurden. Dann bekam der Nutzer einen neuen Rechner und plötzlich kam er nicht mehr auf den Terminalserver.

 

Problem

Es wurde zwar die Verbindung zum Remotedesktop-Sitzungshost (damals noch ein Windows Server 2008 R2) aufgebaut, aber es kam dort dann nur die Meldung, dass das Kennwort für den Benutzer falsch sei. Unter Server 2019 passiert dort einfach nichts und es wird einem der Anmeldebildschirm ohne vorgegebenen Benutzernamen in der Eingabemaske angezeigt:

Das ist irgendwie auch ein etwas merkwürdiges Verhalten, aber egal. Wenn ich mich recht erinnere hatte man beim Server 2008 R2 dann gar keine Option mehr und die Sitzung ging nach der bestätigten Fehlermeldung einfach wieder komplett zu, ohne dass man manuell einen anderen Benutzer eingeben konnte.

Wie man den Server so konfiguriert, dass er zuerst die Sitzung und einem somit den Anmeldebildschirm anzeigt, als würde man sich an dem Server direkt befinden, liegt an der Sicherheitsrichtlinie für die RDP-Verbindung und ist ein Thema für einen eigenen Artikel.

 

Lösung

Nach etwas Hin- und Herprobieren dämmerte mir, dass eigentlich nur eine Sache der Grund für das Problem sein kann: Das lokale, sowie auch das Domänenbenutzerkonto trugen clevererweise den gleichen Namen. Dadurch wurde ohne Hinterlegung der Domäne in der RDP-Verbindungsdatei natürlich immer versucht den lokalen Benutzer für die Anmeldung zu verwenden:

Diese Datei war wohl bei der Neueinrichtung des Computers, zu welchem Zeitpunkt auch der Fehler mit dem lokalen gleich benannten Benutzer entstand, einfach vom alten Rechner kopiert worden. Deshalb funktionierte es auch vorher ohne Probleme, da der Benutzerkonflikt nicht auftrat.

Befindet sich der Rechner in der Domäne oder auch nicht dann stellt es zwar kein Problem dar, wenn man lokal zusätzlich einen gleich benannten Account anlegt. Mit dem lokalen Standard-Administrator-Account klappt dies ja auch. Allerdings muss man dann immer aufpassen, weil man immer explizit die Domäne beim Benutzernamen angeben muss, da man sonst versucht sich mit dem lokalen Account irgendwo anzumelden. Dies ist schon mit dem Administrator-Account nervig und ich weiß nicht, wie oft ich schon darauf hereingefallen bin, wenn ich mich an einem Server angemeldet habe und „Administrator“ eingegeben habe und mich dann nicht mit dem Kennwort des Domain-Admins anmelden konnte…

 

Schreibe einen Kommentar