Man möchte eine Remotedesktopverbindung herstellen.
Der Clientcomputer, von welchem aus die Verbindung hergestellt wird, ist nicht Mitglied der gleichen Active Directory Gesamtstruktur wie der Zielcomputer.
Die Verbindung schlägt mit folgender Fehlermeldung fehl:
A user account restriction (for example, a time-of-day restriction) is preventing you from logging on. For assistance, contact your system administrator or technical support.
Ursache
Das Phänomen tritt auf, wenn der betreffende Benutzer Mitglied der Sicherheitsgruppe "Protected Users" ist und eine der folgenden Bedingungen zutrifft:
Der Zugriff erfolgt von einem System außerhalb der Active Directory Gesamtstruktur, welcher der Zielcomputer angehört.
Die Anmeldung erfolgte im Format DOMÄNE\Benutzername.
Die zugrundeliegende Ursache ist, dass in diesem Fall keine Authentifizierung via Kerberos vorgenommen wird, sondern ein Fallback auf NTLM stattfindet.
Wenn der Benutzer Mitglied von "Protected Users" ist, ist jedoch die Verwendung von NTLM nicht möglich.
Lösung
Man kann die Authentifizierung via Kerberos erzwingen, indem man die Anmeldung im Format Benutzername@Domäne vornimmt, also den Benutzerprinzipalnamen (User Principal Name, UPN) verwendet.
Darüber hinaus muss darauf geachtet werden, dass die Verbindung über den vollqualifizierten DNS-Namen des Zielsystems und nicht über dessen IP-Adresse hergestellt wird.
Man möchte eine Remotedesktopverbindung herstellen.
Der Clientcomputer, von welchem aus die Verbindung hergestellt wird, ist nicht Mitglied der gleichen Active Directory Gesamtstruktur wie der Zielcomputer.
Die Verbindung schlägt mit folgender Fehlermeldung fehl:
A user account restriction (for example, a time-of-day restriction) is preventing you from logging on. For assistance, contact your system administrator or technical support.
Ursache
Das Phänomen tritt auf, wenn der betreffende Benutzer Mitglied der Sicherheitsgruppe "Protected Users" ist und eine der folgenden Bedingungen zutrifft:
Der Zugriff erfolgt von einem System außerhalb der Active Directory Gesamtstruktur, welcher der Zielcomputer angehört.
Die Anmeldung erfolgte im Format DOMÄNE\Benutzername.
Die zugrundeliegende Ursache ist, dass in diesem Fall keine Authentifizierung via Kerberos vorgenommen wird, sondern ein Fallback auf NTLM stattfindet.
Wenn der Benutzer Mitglied von "Protected Users" ist, ist jedoch die Verwendung von NTLM nicht möglich.
Lösung
Man kann die Authentifizierung via Kerberos erzwingen, indem man die Anmeldung im Format Benutzername@Domäne vornimmt, also den Benutzerprinzipalnamen (User Principal Name, UPN) verwendet.
Darüber hinaus muss darauf geachtet werden, dass die Verbindung über den vollqualifizierten DNS-Namen des Zielsystems und nicht über dessen IP-Adresse hergestellt wird.
x
Cookie-Zustimmung verwalten
Unser Webseiten Template mit den darin inkludierten Plugins verwendet Cookies. Sie stimmen der Nutzung von Cookies und unseren Datenschutzbestimmungen zu.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
