Systemaccount für DirectAccess unter Windows Server 2012…
…Hallo Allerseits,
DirectAccess wird unter Windows Server 2012 in der alt-bekannten Oberfläche eingerichtet, wie Marc hier schon passend beschrieben hat: http://www.it-training-grote.de/blog/?p=5128
Im Gegensatz zum UAG-DirectAccess lässt sich über die aktuelle DirectAccess-GUI kein Skript mehr exportieren um die für DirectAccess erforderlichen GPOs mittels Domain-Admin auf einem DC via Powerhell [sic!] ins AD zu pusten.
Eine Export-Funktion gibt es zwar schon noch, diese kann aber erst nach dem Abfeuern der Settings verwendet werden?!
Ist DirectAccess ausgerollt und versucht man nun mit einem Service-Account (Domänenbenutzer mit lokalen Adminrechten auf dem DirectAccess-Gateway) auf die Remotezugriffs-Verwaltungskonsole zuzugreifen, wird einem dies mit einer leidlichen Fehlermeldung quittiert:
Die GUI ist somit für das Service-Account unbrauchbar, weder die Konfiguration noch das Monitoring oder das Reporting kann eingesehen werden. Abhilfe schafft hier die Delegierung auf den betroffenen Gruppenrichtlinienobjekten:
Nach der Berechtigungsvergabe funktioniert auch die DirectAccess-GUI für das Serviceaccount wie gewünscht:
Vielen Dank an meinen geschätzten Kollegen “Funny” für den Tipp.
Gruß, Jens Mander aka Karsten Hentrup…
<j-j>