Fehler: "Mit diesem Konto kann man sich nicht von diesem Computer aus anmelden" (The Account is not authorized to log in from this station)

"Mit diesem Konto kann man sich nicht von diesem Computer aus anmelden"
(The account is not authorized to log in from this station)

Vorwort
Sie erhalten die Fehlermeldung "Mit diesem Konto kann man sich nicht von diesem Computer aus anmelden"
(eng. The account is not authorized to log in from this station) wenn Sie auf einem Windows Server 2003 R2 SP2
dcrpmo Ausführen um diesen zu einem zusätzlichen Domänen Controller in einer Windows 2000 Domäne
zu machen. Die Fehlermeldung kann auch erscheinen, wenn sie den neuen Server zu einem Mitgliedserver
einer Windows 2000 Domäne machen wollen.

Lösung
Sie haben bereits durchgeführt bzw. kontrolliert:
-DNS ist ok
-Filezugriff auf den 2000er funktioniert
-Updates aktuell
-adprep /forestprep /domainprep /gprep wurde mit R2, CD2 durchgeführt
-Rechte sollten stimmen sowie Passwort

Der Fehler hängt lt. diversen Foreneinträgen, und dem nur bedingt weiterhelfenden MS KB Artikel KB823659
mit SMB Einstellungen zusammen.

Sie müssen folgende die Nachfolgenden Richtlinien deaktivieren damit das Problem gelöst wird.
Sollten Sie SMB verwenden wollen, so wäre es Ratsam die vorherigen Einstellungen zu sichern (zB. mit GPMC) oder
zu notieren. Sie können dann Schritt für Schritt die ursprünglichen Einstellungen wiederherstellen um zu sehen welche
Einstellung speziell bei Ihnen den Fehler verursacht.

Folgende Richtlinien auf dem Windows Server 2003 R2 SP2 unter den Sicherheitseinstellungen
der lokalen Gruppenrichtlinie deaktivieren:
-Domänenmitglied: Daten des Sicheren Kanals Digital signieren (wenn möglich)
-Domänenmitglied: Daten des Sicheren Kanals Digital verschlüsseln (wenn möglich)
-Domänenmitglied: Daten des Sicheren Kanals Digital verschlüsseln oder signieren (wenn möglich)
-Domänenmitglied: Starker Sitzungs-Schlüssel erforderlich (Windows 2000 oder höher)
-Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)
-Microsoft-Netzwerk (Client): Kommunikation digital signieren (Wenn Server zustimmt)
-Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)
-Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbieter...
-Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
-Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)

Auf dem Windows 2000 Server SP4 DC, in der DefaultDomainController GP folgende Richtlinien
deaktivieren:
-Clientkommunikation digital signieren (immer)
-Clientkommunikation digital signieren (wenn möglich)
-Serverkommunikation digital signieren (immer)
-Serverkommunikation digital signieren (wenn möglich)
-Sicherer Kanal: Daten des sicheren Kanals digital signieren (wenn möglich)
-Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)
-Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)

Erstellt von: Stefan Haßlinger
Im Jahr: 2007