Imposible Login a 2k3 Server como "usuarios del dominio"

22/04/2005 - 17:32 por Xavi | Informe spam
Hola Saludos a Todos!

Esta es una duda básica que no he logrado resolver mirando la
documentación disponible ni por Internet:

He instalado un Windows 2003 Server Standard. Creo un usuario, en
Windows 2003, y éste es creado como miembro del grupo "Usuarios del
Dominio". Este grupo pertenece a "Usuarios". Cuando intento conectarme
al dominio desde un Windows XP Pro SP1, me solicita el nombre del
dominio, el usuario y el pwd. Le introduzco los datos correctamente
pero me da "No se puedo conectar al dominio. Acceso denegado".

Si al mismo usuario lo hago miembro de "Administradores" o bien al
grupo "Usuarios del dominio" le doy privilegios de Adminstradores
entonces si que se conecta sin problema al dominio.

No entiendo porqué una instalación desde 0 del Windows 2003 Server no
permite que se loginen los usuarios con los permisos de "Usuarios del
Dominio".

¿Qué permisos o opciones debo cambiar para permitir que un usuario se
conecte al dominio sin darle permisos de Administrador?

Gracias a todos.

Saludos.

Preguntas similare

Leer las respuestas

#1 Juansa [MS MVP]
22/04/2005 - 18:53 | Informe spam
Cuando dices conectar al dominio no sé si te refieres a iniciar sesión en el dominio.
Has instalado un windows server 2003 estándar, lo has promocionado a controlador de dominio, se ha instalado el DNS y se ha activado el Directorio Activo.
Creas el usuario y efectivamente, por defecto pertene al grupo usuarios del dominio.
Luego has unido al dominio el equipo con XP sp1, el cual apunta al DNS del dominio, es decir a la IP del servidor.
Cuando inicias sesión desde el XP la ventana muestra dos cuadros de texto, usuario y contraseña, y el tercero es un cuadro combinado que mostrará o el nombre del dominio o el nombre del equipo (se puede elegir uno u otro).
Se introduce usuario y contraseña creados en Usuarios y equipos de Active Directory en el servidor y el cuadro combinado mostrando el nombre del dominio.
No debería dar ningún error e iniciar correctamente.


Espero serte de ayuda.
Salu2


Juansa
MS MVP Windows Server Networking
http://www.msmvps.com/juansa/

"Xavi" escribió en el mensaje news:
Hola Saludos a Todos!

Esta es una duda básica que no he logrado resolver mirando la
documentación disponible ni por Internet:

He instalado un Windows 2003 Server Standard. Creo un usuario, en
Windows 2003, y éste es creado como miembro del grupo "Usuarios del
Dominio". Este grupo pertenece a "Usuarios". Cuando intento conectarme
al dominio desde un Windows XP Pro SP1, me solicita el nombre del
dominio, el usuario y el pwd. Le introduzco los datos correctamente
pero me da "No se puedo conectar al dominio. Acceso denegado".

Si al mismo usuario lo hago miembro de "Administradores" o bien al
grupo "Usuarios del dominio" le doy privilegios de Adminstradores
entonces si que se conecta sin problema al dominio.

No entiendo porqué una instalación desde 0 del Windows 2003 Server no
permite que se loginen los usuarios con los permisos de "Usuarios del
Dominio".

¿Qué permisos o opciones debo cambiar para permitir que un usuario se
conecte al dominio sin darle permisos de Administrador?

Gracias a todos.

Saludos.


Respuesta Responder a este mensaje
#2 Xavi
25/04/2005 - 17:10 | Informe spam
Gracias por responder Juansa.

Te adelanto que ya funciona y que el 2003 Server permite
iniciar sesión tanto a un usuario Administrador como a uno no
Administrador.

On Fri, 22 Apr 2005 18:53:16 +0200, "Juansa [MS MVP]"
wrote:

Cuando dices conectar al dominio no sé si te refieres a iniciar sesión en el dominio.


Si a eso me refiero.
Has instalado un windows server 2003 estándar, lo has promocionado a controlador de dominio, se ha instalado el DNS y se ha activado el Directorio Activo.


lo he instalado, supongo que por omisión lo debe poner como
controlador de dominiom, pero lo que no había hecho era configurar el
servidor DNS. Si que funcionaba el Directorio Activo.

Creas el usuario y efectivamente, por defecto pertene al grupo usuarios del dominio.


si
Luego has unido al dominio el equipo con XP sp1, el cual apunta al DNS del dominio, es decir a la IP del servidor.


no no había cambiado el DNS del XP para q apuntase al server, pero
creo que tampoco es imprescindible.
Al intentar unirme al dominio desde la opción "cambiar" de la solapa
"Nombre de equipo" de las "Propiedades del Sistema" me daba siempre el
mismo error Acceso Denegado, por lo que probé a darle privilegios de
Administrador al Usuario y entonces si Iniciaba correctamente sesión.
A la que le quitaba los permisos de Administrador ya no podía iniciar
sesión. Y aquí me clavé horas y horas pues nunca reiniciaba el XP y
iniciaba sesión desde el inicio de sesión del SO. Supongo que ese fue
el fallo y por tanto imagino que el proceso correcto es el siguiente:
teniendo el XP Pro inicialñmente en un grupo de trabajo, iniciar
sesión con un usuario Administrador, reinicar el equipo y entonces si
que ya se puede iniciar sesión con un usuario no Administrador? Porque
así me funciona pero no se si es el método correcto.

Si es así de qué me sirve el Servidor de DNS pues, para averiguar el
por qué antes no me funcionaba, he Parado el servidor DNS y en el XP
Pro le he quitado la dirección DNS del 2003 Server y sigue iniciando
sesión correctamente pero parece que le cuesta más rato iniciar
sesión. Hasta hago un ping al server2003 y me traduce la IP y del
server al XP Pro (ping portatil) y también traduce.



Cuando inicias sesión desde el XP la ventana muestra dos cuadros de texto, usuario y contraseña, y el tercero es un cuadro combinado que mostrará o el nombre del dominio o el nombre del equipo (se puede elegir uno u otro).


Como te explico, aquí no llegué ...
Se introduce usuario y contraseña creados en Usuarios y equipos de Active Directory en el servidor y el cuadro combinado mostrando el nombre del dominio.
No debería dar ningún error e iniciar correctamente.


Pues la de horas que perdí ..


Gracias por tu atención y perdona el "rollo" pero es que me gustaría
no quedarme con dudas.
Respuesta Responder a este mensaje
#3 Juansa [MS MVP]
25/04/2005 - 19:32 | Informe spam
Intentaré seguir tu orden ;-)

Cuando se instala un Servidor con Windows Server 2003, por defecto es un servidor stand alone, es decir, independiente y no como Controlador de Dominio (DC). Hasta que no utilizas el asistente o el comando dcpromo, que practicamente son igual, no hay dominio. Por cierto, si ese servidor lo unes a un dominio existente entonces dispondrías de un Servidor miembro. Esas son las tres formas de funcionamiento para un W2003, independiente (grupo de trabajo), miembro y controlador de dominio (Dominio).

Efectivamente los usuarios de un dominio se crean en la MMC Usuarios y equipos de Active Directory, y si es accesible es por que el servidor es un Controlador de Dominio.

Los equipos deben unirse al dominio, y para ello es fundamental que puedan acceder a un DNS que resuelva los nombres de dominio (que tenga la zona de búsqueda directa del dominio), normalmente cuando se promociona a DC te lo solicita y si no lo hay debe instalarse en el mismo.
No es imprescindible, pero de hecho *es* muy necesario, y el toque final es configurar ese DNS con reenviadores, que son las IP de los DNS que normalmente nos ofrecen nuestros proveedores, así nos aseguramos que los equipos del dominio resuelven correctamente dentro de nuestra red y en caso de necesitar consultas externas éstas serán reenviadas a otros DNS.
El modus correcto sería configurar los valores de red, entre ellos la IP del DNS que resuelva el dominio, luego unir ese equipo al dominio, al unirlo se piden credenciales para crear la cuenta de equipo. Una vez unido al dominio, los usuarios podrán iniciar sesión correctamente al tiempo que el equipo recibirá las configuraciones de usurio y equipo que se marquen en las politicas del dominio y las directivas de seguridad, si está en un grupo de trabajo no las recibirá.

Iniciar le costará más si no puede resolver el dominio, ahora puede que lo esté haciendo gracias a los caché que guarda, en cualquier momento puede que ya no inicie sesión. Y si también traduce es por lo mismo.

Mi consejo, si tienes un dominio, es que los equipos estén unidos al mismo y no como grupo de trabajo, aunque tú eres el que decides lo que más te interese.

Espero serte de ayuda.
Salu2


Juansa
MS MVP Windows Server Networking
http://www.msmvps.com/juansa/

"Xavi" escribió en el mensaje news:
Gracias por responder Juansa.

Te adelanto que ya funciona y que el 2003 Server permite
iniciar sesión tanto a un usuario Administrador como a uno no
Administrador.

On Fri, 22 Apr 2005 18:53:16 +0200, "Juansa [MS MVP]"
wrote:

Cuando dices conectar al dominio no sé si te refieres a iniciar sesión en el dominio.


Si a eso me refiero.
Has instalado un windows server 2003 estándar, lo has promocionado a controlador de dominio, se ha instalado el DNS y se ha activado el Directorio Activo.


lo he instalado, supongo que por omisión lo debe poner como
controlador de dominiom, pero lo que no había hecho era configurar el
servidor DNS. Si que funcionaba el Directorio Activo.

Creas el usuario y efectivamente, por defecto pertene al grupo usuarios del dominio.


si
Luego has unido al dominio el equipo con XP sp1, el cual apunta al DNS del dominio, es decir a la IP del servidor.


no no había cambiado el DNS del XP para q apuntase al server, pero
creo que tampoco es imprescindible.
Al intentar unirme al dominio desde la opción "cambiar" de la solapa
"Nombre de equipo" de las "Propiedades del Sistema" me daba siempre el
mismo error Acceso Denegado, por lo que probé a darle privilegios de
Administrador al Usuario y entonces si Iniciaba correctamente sesión.
A la que le quitaba los permisos de Administrador ya no podía iniciar
sesión. Y aquí me clavé horas y horas pues nunca reiniciaba el XP y
iniciaba sesión desde el inicio de sesión del SO. Supongo que ese fue
el fallo y por tanto imagino que el proceso correcto es el siguiente:
teniendo el XP Pro inicialñmente en un grupo de trabajo, iniciar
sesión con un usuario Administrador, reinicar el equipo y entonces si
que ya se puede iniciar sesión con un usuario no Administrador? Porque
así me funciona pero no se si es el método correcto.

Si es así de qué me sirve el Servidor de DNS pues, para averiguar el
por qué antes no me funcionaba, he Parado el servidor DNS y en el XP
Pro le he quitado la dirección DNS del 2003 Server y sigue iniciando
sesión correctamente pero parece que le cuesta más rato iniciar
sesión. Hasta hago un ping al server2003 y me traduce la IP y del
server al XP Pro (ping portatil) y también traduce.



Cuando inicias sesión desde el XP la ventana muestra dos cuadros de texto, usuario y contraseña, y el tercero es un cuadro combinado que mostrará o el nombre del dominio o el nombre del equipo (se puede elegir uno u otro).


Como te explico, aquí no llegué ...
Se introduce usuario y contraseña creados en Usuarios y equipos de Active Directory en el servidor y el cuadro combinado mostrando el nombre del dominio.
No debería dar ningún error e iniciar correctamente.


Pues la de horas que perdí ..


Gracias por tu atención y perdona el "rollo" pero es que me gustaría
no quedarme con dudas.


Respuesta Responder a este mensaje
#4 Xavi
25/04/2005 - 21:45 | Informe spam
Gracias de nuevo Juansa por tu respuesta.

Queda perfectamente explicado lo que respondes.

Efectivamente, en mi caso, si que promocioné, a través del
asistente, el dominio en su momento y por tanto es un PDC.

Lo que no recuerdo es que me solicitase la instalación o
configuración del servidor de DNS en el momento que ejecuté el
asistente de configuración del Active Directory.

Por lo que dices me imagino que a nivel de resolución de DNS
interna / externa, la configuración recomendable debe ser en los
clientes tan sólo apuntar la dirección del servidor de DNS del W2003 y
en el servidor definir una zona local y que los reenviadores apunten a
las DNS del ISP para poder salir a Inet, no?

"... luego unir ese equipo al dominio, al unirlo se piden
credenciales para crear la cuenta de equipo. Una vez unido al dominio,
los usuarios podrán iniciar sesión correctamente..." : no entiendo el
orden. En mejor seguir este orden que indicas o da exactamente lo
mismo crear primero los usuarios en el server y luego unir esos
clientes?

Es muy complejo unir clientes con W98 a W2003? Leí por encima
las intrucciones de Microsoft y parecía complejo. No se si los habrás
unido y cuesta

Gracias por tu atención.





On Mon, 25 Apr 2005 19:32:37 +0200, "Juansa [MS MVP]"
wrote:

Intentaré seguir tu orden ;-)

Cuando se instala un Servidor con Windows Server 2003, por defecto es un servidor stand alone, es decir, independiente y no como Controlador de Dominio (DC). Hasta que no utilizas el asistente o el comando dcpromo, que practicamente son igual, no hay dominio. Por cierto, si ese servidor lo unes a un dominio existente entonces dispondrías de un Servidor miembro. Esas son las tres formas de funcionamiento para un W2003, independiente (grupo de trabajo), miembro y controlador de dominio (Dominio).

Efectivamente los usuarios de un dominio se crean en la MMC Usuarios y equipos de Active Directory, y si es accesible es por que el servidor es un Controlador de Dominio.

Los equipos deben unirse al dominio, y para ello es fundamental que puedan acceder a un DNS que resuelva los nombres de dominio (que tenga la zona de búsqueda directa del dominio), normalmente cuando se promociona a DC te lo solicita y si no lo hay debe instalarse en el mismo.
No es imprescindible, pero de hecho *es* muy necesario, y el toque final es configurar ese DNS con reenviadores, que son las IP de los DNS que normalmente nos ofrecen nuestros proveedores, así nos aseguramos que los equipos del dominio resuelven correctamente dentro de nuestra red y en caso de necesitar consultas externas éstas serán reenviadas a otros DNS.
El modus correcto sería configurar los valores de red, entre ellos la IP del DNS que resuelva el dominio, luego unir ese equipo al dominio, al unirlo se piden credenciales para crear la cuenta de equipo. Una vez unido al dominio, los usuarios podrán iniciar sesión correctamente al tiempo que el equipo recibirá las configuraciones de usurio y equipo que se marquen en las politicas del dominio y las directivas de seguridad, si está en un grupo de trabajo no las recibirá.

Iniciar le costará más si no puede resolver el dominio, ahora puede que lo esté haciendo gracias a los caché que guarda, en cualquier momento puede que ya no inicie sesión. Y si también traduce es por lo mismo.

Mi consejo, si tienes un dominio, es que los equipos estén unidos al mismo y no como grupo de trabajo, aunque tú eres el que decides lo que más te interese.
Respuesta Responder a este mensaje
#5 Xavi
25/04/2005 - 21:46 | Informe spam
Quizá el último post lo debería de haber puesto en un hilo nuevo... no
sé.

Gracias,
On Mon, 25 Apr 2005 19:32:37 +0200, "Juansa [MS MVP]"
wrote:

Intentaré seguir tu orden ;-)

Cuando se instala un Servidor con Windows Server 2003, por defecto es un servidor stand alone, es decir, independiente y no como Controlador de Dominio (DC). Hasta que no utilizas el asistente o el comando dcpromo, que practicamente son igual, no hay dominio. Por cierto, si ese servidor lo unes a un dominio existente entonces dispondrías de un Servidor miembro. Esas son las tres formas de funcionamiento para un W2003, independiente (grupo de trabajo), miembro y controlador de dominio (Dominio).

Efectivamente los usuarios de un dominio se crean en la MMC Usuarios y equipos de Active Directory, y si es accesible es por que el servidor es un Controlador de Dominio.

Los equipos deben unirse al dominio, y para ello es fundamental que puedan acceder a un DNS que resuelva los nombres de dominio (que tenga la zona de búsqueda directa del dominio), normalmente cuando se promociona a DC te lo solicita y si no lo hay debe instalarse en el mismo.
No es imprescindible, pero de hecho *es* muy necesario, y el toque final es configurar ese DNS con reenviadores, que son las IP de los DNS que normalmente nos ofrecen nuestros proveedores, así nos aseguramos que los equipos del dominio resuelven correctamente dentro de nuestra red y en caso de necesitar consultas externas éstas serán reenviadas a otros DNS.
El modus correcto sería configurar los valores de red, entre ellos la IP del DNS que resuelva el dominio, luego unir ese equipo al dominio, al unirlo se piden credenciales para crear la cuenta de equipo. Una vez unido al dominio, los usuarios podrán iniciar sesión correctamente al tiempo que el equipo recibirá las configuraciones de usurio y equipo que se marquen en las politicas del dominio y las directivas de seguridad, si está en un grupo de trabajo no las recibirá.

Iniciar le costará más si no puede resolver el dominio, ahora puede que lo esté haciendo gracias a los caché que guarda, en cualquier momento puede que ya no inicie sesión. Y si también traduce es por lo mismo.

Mi consejo, si tienes un dominio, es que los equipos estén unidos al mismo y no como grupo de trabajo, aunque tú eres el que decides lo que más te interese.
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida