Microsoft gibt folgende Informationen zu dieser GPO bekannt. Lokale Anmeldung verweigern Mit dieser Sicherheitseinstellung wird festgelegt, welchen Benutzern verweigert wird, sich am Computer anzumelden. Diese Richtlinieneinstellung löst die Richtlinieneinstellung "Lokal anmelden zulassen" ab, wenn für ein Benutzerkonto beide Richtlinien gelten. The case of the... Die von Ihnen verwendete Anmeldemethode ist nicht zulässig - Cloudbrothers. Wichtig: Wenn Sie diese Sicherheitsrichtlinie auf die Gruppe " Jeder " anwenden, kann sich kein Benutzer lokal anmelden. Nach einem Neustart wird die GPO dann auch aktiv. Sollte sich nun ein User lokal anmelden, dann erscheint folgende Meldung. Die genaue Meldung lautet: Die verwendete Anmeldemethode ist nicht zulässig. Weitere Informationen erhalten Sie von Ihrem Netzwerkadministrator. Somit habt Ihr erfolgreich verhindert, dass sich ein Anwender lokal anmelden darf.
Neustart Keine Möglichkeit, wieder in den abgesicherten Modus zu gelangen! Statdessen: "Administrator Das Konto wurde deaktiviert. Wenden Sie sich an den Systemadministrator. OK" und dann Anmelden" Und dieses Spiel setzt sich bei jedem Versuch in den abgesicherten Modus zu gelangen von Neuem. Hilft da wirklich nur noch eine völlige Neuinstallation? moinmoin ★ Team Admin ★ Beiträge: 55285 Registriert: 14. 11. 2003, 11:12 von moinmoin » 08. 2020, 15:27 Erst einmal Du hättest mal lieber damit einen eigenen Thread aufmachen sollen. Ich werde ihn nachher mal abteilen. Domänenbenutzer können sich nicht anmelden. Das, was dir da angezeigt wird, ist eigentlich die Meldung, wenn du über die Gruppenrichtlinie die lokale Anmeldung verbietest. Du bist dir sicher, dass du nur die PIN ändern wolltest, nichts anderes gemacht? von ALE23 » 08. 2020, 16:19 Hallo moinmoin, (als Norddeutscher war mir immer ein "MOIN" genug) Sorry, ich bin neu hier. Ursprünglich wollte ich wirklich nur die PIN ändern. Leider war meine vorherige Tastatur nicht einwandfrei und ggf.
Ich habe Windows 2008 Server Standard R2 und AD/DNS-Server installiert. Danach kann ich mich bei einem von mir erstellten lokalen Benutzer nicht anmelden. "Sie können sich nicht anmelden, weil die von Ihnen verwendete Anmeldemethode auf diesem Computer nicht zulässig ist" Ich habe versucht, den Benutzer zu löschen und neu zu erstellen, jedoch ohne Erfolg. Es gibt viele Fälle, in denen über diesen Fehler im Internet berichtet wurde, und ich habe alle Lösungsansätze ausprobiert, die ich den letzten 3 Stunden gefunden habe. Benutzer von Windows 2008-Domänen können sich nicht anmelden, obwohl die Standardgruppenrichtlinie die lokale Anmeldung zulässt. Ich kann mich immer noch mit dem Administratorkonto anmelden, dem Domänenadministrator. Verwenden der Gruppenrichtlinienverwaltung (Standarddomänenrichtlinie -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten). Ich habe "Lokal anmelden zulassen" aktiviert und "Domänenbenutzer" hinzugefügt. Es funktioniert nicht - ich habe sogar "Everyone" versucht. Hier sind einige Informationen zum Benutzer.
Bei Windows PCs, die sich in einer Netzwerkdomäne befinden, könnt Ihr Euch " lokal " oder auch an der Domäne anmelden. In der Regel meldet sich der Anwender mit seinem B enutzernamen und Kennwort an der Domäne an und dann stehen ihm die zugewiesenen Netzwerkressourcen zur Verfügung. Unter bestimmten Umständen kann es aber auch Sinn machen, dass ich der User lokal an seinem PC anmelden. In diesem Fall stehen ihm natürlich keine Netzwerk-Ressourcen zur Verfügung. Möchte die IT Abteilung diese lokale Anmeldung am PC aber verhindern, so kann folgende Gruppenrichtlinie gesetzt werden. Geht dazu in den Gruppenrichtlinieneditor und ruft folgenden Pfad auf. Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten Dort gibt es dann die folgende Gruppenrichtlinie. Lokal anmelden verweigern Wir haben Euch dies hier nachfolgend abgebildet. In dieser GPO könnt Ihr nun alle Benutzer oder auch Gruppenobjekte mit aufnehmen, die sich nicht mehr lokal an dem Windows PC anmelden dürfen.
Wichtig ist bei den nicht interaktiven Logs ist, dass die Events gruppiert werden. Im Standard werden alle Events eines Tages zusammengefasst angezeigt und können dann erweitert werden. Die Fehlermeldung hier war eindeutig: Failure reason Device is not in required device state: {state}. Conditional Access policy requires a compliant device, and the device is not compliant. The user must enroll their device with an approved MDM provider like Intune. Ein Blick in die Device Infos zeigt, dass der Server als noncompliant angezeigt wird. Die Ursache In diesem Fall ist dies völlig korrekt. Der Windows Server wird nicht durch Intune verwaltet und soll dies ohne offiziellen Support nicht werden. Die betreffende Conditional Access Policy erfordert aber bei der Anmeldung an Cloud Apps grundsätzlich ein compliant Device. Wer alle betroffenen Benutzer ausfindig machen möchte, kann folgende KQL Abfrage in den Azure AD Logs nutzen. AADNonInteractiveUserSignInLogs | where AppId == "38aa3b87-a06d-4817-b275-7a316988d93b" | where ConditionalAccessStatus == "failure" | sort by CreatedDateTime | project CreatedDateTime, UserPrincipalName, AppDisplayName, AppId, IPAddress, ConditionalAccessStatus, ConditionalAccessPolicies Die Lösung Die Lösung ist in diesem Fall die Cloud App "Azure Windows VM Sign-In" von der entsprechenden Conditional Access Policy auszunehmen.
Beginnend mit den notwendigen Vorarbeiten, den erforderlichen Anpassungen, über das Reporting und Ausnahmelisten pflegen. Die größte Hürde für den nächsten Schritt war aber sicherlich die letzten 9%.