Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst AD-Benutzer Zugriff auf alle Server außer einem verbieten

Mitglied: dduchardt

dduchardt (Level 1) - Jetzt verbinden

03.07.2012 um 14:20 Uhr, 6881 Aufrufe, 6 Kommentare

Hallo,

Wir haben einen eingeschränkten AD-Benutzer, der auf lediglich einen Server zugreifen können soll. Außerdem soll er sich an genau einem PC anmelden können.

Hintergrund dafür, dass alles im AD abzubilden ist, dass der Benutzer außerdem über AD-Integration noch am Internetproxy (und einige anderen Lösoungen) zur Authtenifizierung genutzt wird.

Leider haben wir auf vielen Servern Freigaben, auf die alle AD-Benutzer zugreifen dürfen.

Wir würden nur ungern die ganzen Freigaben ändern.

Ich habe dann mal die GPOs durchforstet und dort für eine Benutzergruppe (der User ist logischerweise Mitglied) das lokale anmelden und den Zugriff übers Netzwerk verboten. Die OUs entsprechend ein wenig erweitert und Inhalte umsortiert.

An den Servern, auf die die GPO per OU wirkt, sind die entsprechenden Einträge lokal in der Richtlinienverwaltung auch gesetzt.
Lediglich bei dem einen Server und an dem einen PC sind die Einträge nicht vorhanden.
Also eigentlich so, wie es sein soll.

Der Haken: Zugriff auf Freigaben funktioniert trotzdem weiterhin wunderbar.

Hoffe von euch hat da einer eine Erklärung für oder weiß, wie ich das sonst realisieren kann.

Umgebung ist komplett Server 2008 R2 und Win 7.

Grüße und Danke schonmal.
Mitglied: kontext
03.07.2012, aktualisiert um 14:28 Uhr
HeyHo,

also das mit der Anmeldung an einem bestimmen PC kannst du übers AD steuern.
User - Eigenschaften - Konto - Anmelden an ..
... dort gibts du denn PC an wo sich der User anmelden kann und das wars - User kann sich nur auf dem Rechner anmelden

Und was willst du nun genau machen mit den Shares?
Der User soll sich nur auf einen Server verbinden können und auf die anderen nicht, hab ich das so richtig verstanden?

Greetz
zanko
Bitte warten ..
Mitglied: dduchardt
03.07.2012 um 14:32 Uhr
Ja.

Gibt auch einen Nachtrag. Ich hab in der GPO ja eine AD-Gruppe definiert, die das nicht können soll.
Das funktioniert trotz gpupdate und Neustart nicht.
Setze ich den Benutzer jedoch direkt in der GPO ein, dann greift die Regel.

Damit ist das Problem zwar grundsätzlich gelöst aber fürs Handling irgendwie schon blöd.
Jetzt muss man bei jedem weiteren Benutzer bei dem das gelten soll die GPO anpassen.
Anders hätte man den User nur in die AD-Gruppe packen müssen.
Bitte warten ..
Mitglied: kontext
03.07.2012 um 14:37 Uhr
HeyHo,

alles klar - dann noch ein paar Fragen:

Ist der User in der Gruppe?
Wie hast du die GPO erstellt?
Was sagt das Eventlog?
Was sagt rsop / gpresult?

Hatte früher schon mal das Problem das ich mehrere Male neu durchstarten musste ...
... Nach ein paar Neustarts hat der Client die GPO gezogen und war in der Gruppe

Greetz
Bitte warten ..
Mitglied: Penny.Cilin
03.07.2012, aktualisiert um 14:41 Uhr
Bzgl. der Anmeldung an genau einem PC/Workstation kann man dies im Benutzerkonto im Reiter "Account" unter dem Buttom "Logon To angeben"

In dem folgenden Dialog gibt man die Arbeitsstation an, an welcher sich ein benutzer anmelden kann. Hier kann man auch die Anmeldezeiten einschränken.

[edit] zu spät.
Bitte warten ..
Mitglied: Chonta
03.07.2012 um 14:59 Uhr
Hallo,

du Musst den benutzer in eine extra Gruppe bringen und dieser Gruppe bei allen Freigaben das Leserecht verweigern.
Anmelderechte haben nichts mit Freigaberechten zu tun.

Denk daran, die Gruppenmitgleidschaft wird für einen Benutzer im Ticket immer erst bei einer Neuanmeldung gesetzt!
Dh wird der benutzer Mitglied einer Gruppe ist aber angemeldet und meldet sich nicht neu an, hat er von dort wo er angemeldet ist so Zugriff, als wäre er nicht in der Gruppe.

Gruß

Chonta
Bitte warten ..
Mitglied: dduchardt
03.07.2012 um 15:06 Uhr
Eigentlich war das alles 0815.
RDP aufn PDC, dort die Gruppe in Benutzer & Computer angelegt, den Gruppenrichtlinieneditor geöffnet und eine neue Richtlinie angelegt (noch nicht verknüpft).
Dort die Einträge gesetzt für "Lokal anmelden verweigern" und "Zugriff vom Netzwerk auf diesen Computer verweigern" für die eben erzeugt Gruppe.
Dann ein wenig OUs geschubst und ein paar Server verschoben damit es vom "Wirkungskreis" her passt.
Anschließend die Richtlinie mit den OUs verknüpft in denen die Server liegen, auf die sie wirken soll (4 Stk).
Dann 5 Minuten gewartet fürs replizieren und dann Client und Server mit gpupdate aktualisiert.
Als das nicht ging hab ich neu gestartet und als das auch nix geholfen hat, hab ich überprüft ob in der lokalen Richtlinienverwaltung auch das Richtige drin steht.
Da das aber alles passte war ich dann doch etwas ratlos.

Als ich den ersten Beitrag getippt habe bin ich auf die Idee mit der Gruppe gekommen und hab dann die Gruppe aus der Richtlinie rausgenommen und stattdessen den User direkt eingetragen.
Seitdem greift das (gpupdate schickte).

gpresult hab ich natürlich auch gecheckt. Er meldet auf einem betroffenen Server, dass die GPO genommen wird (is auch klar, da die lokale Richtlinie ja verändert ist).
Auf dem Client sagt er, dass der User in der entsprechenden Gruppe ist.

Eventlog auf dem Client ist soweit clean. Keine Fehler vom gpupdate oder sowas. Auf dem Server steht auch nix verdächtiges drin.
Bitte warten ..
Ähnliche Inhalte
Windows Server

AD Bestimmten Benutzer (Hilfsadmin) nur Zugriff auf eine OU geben

Frage von conym18Windows Server1 Kommentar

Hallo, wir haben eine AD mit unterschiedlichen Standorten und dadurch unterschiedlichen OUs. Nun soll ein Benutzer erhöhte AD "Bearbeitungsrechte" ...

Windows Server

Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer

gelöst Frage von JulianOhmWindows Server4 Kommentare

Hallo, ich suche eine Möglichkeit einen Benutzer im AD anzulegen, der Zugriff auf die AD Benutzer hat. Er soll ...

Windows Server

SBS2011 Benutzer nicht im AD SBSUsers

Frage von helmuthelmut2000Windows Server1 Kommentar

Hallo, Ich habe folgendes Problem, An einem SBS2011 wurden ca. 15 Benutzer nicht über die SBS-Konsole angelegt sondern über ...

Windows Userverwaltung

AD wie mit lokalen Benutzern umgehen

Frage von geocastWindows Userverwaltung14 Kommentare

Guten Morgen zusammen Ich wollte mal fragen, wie ihr damit Umgeht und zwar, wenn man einen PC vorbereitet für ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...