4
AD Usern die Windows Anmeldung und die Anmeldung an Freigaben verbieten
Active Directory Benutzern die Anmeldung an PC's in der Domäne und an Freigaben auf dem Server verbieten
Hallo zusammen,
folgendes Problem, sorry hab grad ein Brett vorm Kopf ;)
Wir haben in unserem Active Directory eine OU mit Benutzern, die von anderen Anwendungen über LDAP abgefragt werden. Z.B. einer internen Datenbank, einem Informations System, einem Bugtracker und zum guten Ende hängen an einigen dieser Benutzer noch Exchange Postfächer. Allerdings sind diese Benutzer noch in der Lage sich an unserer Windows Domäne, sprich an PC's im Netzwerk anzumelden. Und auch der Zugriff auf einige Freigaben der Server ist noch möglich.
Gibt es eine Möglichkeit die Anmeldung per GPO auf dieser OU zu verbieten ? Es handelt sich um ca 100 Benutzer. Also bei jedem Benutzer festlegen wo er sich anmelden darf und wo nicht ist zu langwierig ;)
Der Zugriff auf Freigaben funktioniert natürlich nur da, wo für "Jeder" Zugriff eingerichtet ist. Kann man die Authentifizierung an Freigaben nicht auch deaktivieren ? Falls es nicht möglich ist, konfiguriere ich die Freigaben eben um, aber die Windows Anmeldung muss dringend unterbunden werden, da es sich bei den Logins um einige externe Mitarbeiter handelt.
Umgebung ist 2008R2 mit Exchange 2010
Bin über jede Hilfe dankbar.
folgendes Problem, sorry hab grad ein Brett vorm Kopf ;)
Wir haben in unserem Active Directory eine OU mit Benutzern, die von anderen Anwendungen über LDAP abgefragt werden. Z.B. einer internen Datenbank, einem Informations System, einem Bugtracker und zum guten Ende hängen an einigen dieser Benutzer noch Exchange Postfächer. Allerdings sind diese Benutzer noch in der Lage sich an unserer Windows Domäne, sprich an PC's im Netzwerk anzumelden. Und auch der Zugriff auf einige Freigaben der Server ist noch möglich.
Gibt es eine Möglichkeit die Anmeldung per GPO auf dieser OU zu verbieten ? Es handelt sich um ca 100 Benutzer. Also bei jedem Benutzer festlegen wo er sich anmelden darf und wo nicht ist zu langwierig ;)
Der Zugriff auf Freigaben funktioniert natürlich nur da, wo für "Jeder" Zugriff eingerichtet ist. Kann man die Authentifizierung an Freigaben nicht auch deaktivieren ? Falls es nicht möglich ist, konfiguriere ich die Freigaben eben um, aber die Windows Anmeldung muss dringend unterbunden werden, da es sich bei den Logins um einige externe Mitarbeiter handelt.
Umgebung ist 2008R2 mit Exchange 2010
Bin über jede Hilfe dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 152896
Url: https://administrator.de/contentid/152896
Printed on: April 19, 2024 at 08:04 o'clock
4 Comments
Latest comment
Gibt es eine Möglichkeit die Anmeldung per GPO auf dieser OU zu verbieten?
Jein ... also nicht direkt:
Erstelle ein GPO in dem du unter Computerkonfiguration > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Lokale Anmeldung verweigern alle fraglichen Benutzer einträgst. Alternativ auch eine Gruppe; eine OU geht jedoch nicht.
Wenn du es schnell und einfach haben willst erstellst du also eine Gruppe "keine_ad_anmeldung", markierst in der OU mit den Account alle Accounts und fügst sie der GRuppe hinzu. Danach der Gruppe die lokale Anmeldung per GPO verweigern. Das sollte funktionieren.
Manuel
Hi Manuel,
danke für Deinen Hinweis. Das klingt soweit alles ganz logisch. Ich habe es eben ausprobiert. Leider kann ich mich danach noch immer an PC ins unserem Netzwerk mit der besagten Benutzerkennung anmelden. Ich habe eine GPO erstellt, die gruppe no_ad_login erstellt, die gruppe no_ad_login in der gpo zugewiesen und die einstellungen, die du mir genannt hast in der gpo konfiguriert. Anschließend die gpo auf die ou mit den entsprechenden usern verknüpft. Zur sicherheit noch ein gpupdate ausgeführt. Leider wirkt es nicht. Hab ich etwas vergessen ? Oder sieht jemand den Fehler ?
danke für Deinen Hinweis. Das klingt soweit alles ganz logisch. Ich habe es eben ausprobiert. Leider kann ich mich danach noch immer an PC ins unserem Netzwerk mit der besagten Benutzerkennung anmelden. Ich habe eine GPO erstellt, die gruppe no_ad_login erstellt, die gruppe no_ad_login in der gpo zugewiesen und die einstellungen, die du mir genannt hast in der gpo konfiguriert. Anschließend die gpo auf die ou mit den entsprechenden usern verknüpft. Zur sicherheit noch ein gpupdate ausgeführt. Leider wirkt es nicht. Hab ich etwas vergessen ? Oder sieht jemand den Fehler ?
Eigentlich sollte das so hinhauen.
Du kannst das GPO ja testweise mal auf die ganze Domäne verknüpfen. Falls es wirkt dürfte es ja wegen der Gruppe nur auf die gewünschten User auswirken. Außerdem kannst du mal testweise einen der User direkt in dem GPO verweigern; also namentlich meine ich. Es wäre nicht das erste mal, dass man zwar Gruppen für irgendwas berechtigen oder verweigern kann und sich das trotzdem nicht auswirkt. Mein ISA bspw. macht das auch. Der wendet Regeln brav auf namentlich benannte User an, aber nicht auf Gruppen in denen die User drin stecken - obwohl ich problemlos Gruppen zuweisen kann.
Du kannst das GPO ja testweise mal auf die ganze Domäne verknüpfen. Falls es wirkt dürfte es ja wegen der Gruppe nur auf die gewünschten User auswirken. Außerdem kannst du mal testweise einen der User direkt in dem GPO verweigern; also namentlich meine ich. Es wäre nicht das erste mal, dass man zwar Gruppen für irgendwas berechtigen oder verweigern kann und sich das trotzdem nicht auswirkt. Mein ISA bspw. macht das auch. Der wendet Regeln brav auf namentlich benannte User an, aber nicht auf Gruppen in denen die User drin stecken - obwohl ich problemlos Gruppen zuweisen kann.
Hi,
ich habe jetzt noch die verschieden Varianten ausprobiert. Es funktioniert einfach nicht. Hast Du noch eine Idee ?
ich habe jetzt noch die verschieden Varianten ausprobiert. Es funktioniert einfach nicht. Hast Du noch eine Idee ?
