6
AD-Benutzer Zugriff auf alle Server außer einem verbieten
Hallo,
Wir haben einen eingeschränkten AD-Benutzer, der auf lediglich einen Server zugreifen können soll. Außerdem soll er sich an genau einem PC anmelden können.
Hintergrund dafür, dass alles im AD abzubilden ist, dass der Benutzer außerdem über AD-Integration noch am Internetproxy (und einige anderen Lösoungen) zur Authtenifizierung genutzt wird.
Leider haben wir auf vielen Servern Freigaben, auf die alle AD-Benutzer zugreifen dürfen.
Wir würden nur ungern die ganzen Freigaben ändern.
Ich habe dann mal die GPOs durchforstet und dort für eine Benutzergruppe (der User ist logischerweise Mitglied) das lokale anmelden und den Zugriff übers Netzwerk verboten. Die OUs entsprechend ein wenig erweitert und Inhalte umsortiert.
An den Servern, auf die die GPO per OU wirkt, sind die entsprechenden Einträge lokal in der Richtlinienverwaltung auch gesetzt.
Lediglich bei dem einen Server und an dem einen PC sind die Einträge nicht vorhanden.
Also eigentlich so, wie es sein soll.
Der Haken: Zugriff auf Freigaben funktioniert trotzdem weiterhin wunderbar.
Hoffe von euch hat da einer eine Erklärung für oder weiß, wie ich das sonst realisieren kann.
Umgebung ist komplett Server 2008 R2 und Win 7.
Grüße und Danke schonmal.
Wir haben einen eingeschränkten AD-Benutzer, der auf lediglich einen Server zugreifen können soll. Außerdem soll er sich an genau einem PC anmelden können.
Hintergrund dafür, dass alles im AD abzubilden ist, dass der Benutzer außerdem über AD-Integration noch am Internetproxy (und einige anderen Lösoungen) zur Authtenifizierung genutzt wird.
Leider haben wir auf vielen Servern Freigaben, auf die alle AD-Benutzer zugreifen dürfen.
Wir würden nur ungern die ganzen Freigaben ändern.
Ich habe dann mal die GPOs durchforstet und dort für eine Benutzergruppe (der User ist logischerweise Mitglied) das lokale anmelden und den Zugriff übers Netzwerk verboten. Die OUs entsprechend ein wenig erweitert und Inhalte umsortiert.
An den Servern, auf die die GPO per OU wirkt, sind die entsprechenden Einträge lokal in der Richtlinienverwaltung auch gesetzt.
Lediglich bei dem einen Server und an dem einen PC sind die Einträge nicht vorhanden.
Also eigentlich so, wie es sein soll.
Der Haken: Zugriff auf Freigaben funktioniert trotzdem weiterhin wunderbar.
Hoffe von euch hat da einer eine Erklärung für oder weiß, wie ich das sonst realisieren kann.
Umgebung ist komplett Server 2008 R2 und Win 7.
Grüße und Danke schonmal.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 187414
Url: https://administrator.de/contentid/187414
Printed on: April 20, 2024 at 03:04 o'clock
6 Comments
Latest comment
HeyHo,
also das mit der Anmeldung an einem bestimmen PC kannst du übers AD steuern.
User - Eigenschaften - Konto - Anmelden an ..
... dort gibts du denn PC an wo sich der User anmelden kann und das wars - User kann sich nur auf dem Rechner anmelden
Und was willst du nun genau machen mit den Shares?
Der User soll sich nur auf einen Server verbinden können und auf die anderen nicht, hab ich das so richtig verstanden?
Greetz
zanko
also das mit der Anmeldung an einem bestimmen PC kannst du übers AD steuern.
User - Eigenschaften - Konto - Anmelden an ..
... dort gibts du denn PC an wo sich der User anmelden kann und das wars - User kann sich nur auf dem Rechner anmelden
Und was willst du nun genau machen mit den Shares?
Der User soll sich nur auf einen Server verbinden können und auf die anderen nicht, hab ich das so richtig verstanden?
Greetz
zanko
Ja.
Gibt auch einen Nachtrag. Ich hab in der GPO ja eine AD-Gruppe definiert, die das nicht können soll.
Das funktioniert trotz gpupdate und Neustart nicht.
Setze ich den Benutzer jedoch direkt in der GPO ein, dann greift die Regel.
Damit ist das Problem zwar grundsätzlich gelöst aber fürs Handling irgendwie schon blöd.
Jetzt muss man bei jedem weiteren Benutzer bei dem das gelten soll die GPO anpassen.
Anders hätte man den User nur in die AD-Gruppe packen müssen.
Gibt auch einen Nachtrag. Ich hab in der GPO ja eine AD-Gruppe definiert, die das nicht können soll.
Das funktioniert trotz gpupdate und Neustart nicht.
Setze ich den Benutzer jedoch direkt in der GPO ein, dann greift die Regel.
Damit ist das Problem zwar grundsätzlich gelöst aber fürs Handling irgendwie schon blöd.
Jetzt muss man bei jedem weiteren Benutzer bei dem das gelten soll die GPO anpassen.
Anders hätte man den User nur in die AD-Gruppe packen müssen.
HeyHo,
alles klar - dann noch ein paar Fragen:
Ist der User in der Gruppe?
Wie hast du die GPO erstellt?
Was sagt das Eventlog?
Was sagt rsop / gpresult?
Hatte früher schon mal das Problem das ich mehrere Male neu durchstarten musste ...
... Nach ein paar Neustarts hat der Client die GPO gezogen und war in der Gruppe
Greetz
alles klar - dann noch ein paar Fragen:
Ist der User in der Gruppe?
Wie hast du die GPO erstellt?
Was sagt das Eventlog?
Was sagt rsop / gpresult?
Hatte früher schon mal das Problem das ich mehrere Male neu durchstarten musste ...
... Nach ein paar Neustarts hat der Client die GPO gezogen und war in der Gruppe
Greetz
Bzgl. der Anmeldung an genau einem PC/Workstation kann man dies im Benutzerkonto im Reiter "Account" unter dem Buttom "Logon To angeben"
In dem folgenden Dialog gibt man die Arbeitsstation an, an welcher sich ein benutzer anmelden kann. Hier kann man auch die Anmeldezeiten einschränken.
[edit] zu spät.
In dem folgenden Dialog gibt man die Arbeitsstation an, an welcher sich ein benutzer anmelden kann. Hier kann man auch die Anmeldezeiten einschränken.
[edit] zu spät.
Hallo,
du Musst den benutzer in eine extra Gruppe bringen und dieser Gruppe bei allen Freigaben das Leserecht verweigern.
Anmelderechte haben nichts mit Freigaberechten zu tun.
Denk daran, die Gruppenmitgleidschaft wird für einen Benutzer im Ticket immer erst bei einer Neuanmeldung gesetzt!
Dh wird der benutzer Mitglied einer Gruppe ist aber angemeldet und meldet sich nicht neu an, hat er von dort wo er angemeldet ist so Zugriff, als wäre er nicht in der Gruppe.
Gruß
Chonta
du Musst den benutzer in eine extra Gruppe bringen und dieser Gruppe bei allen Freigaben das Leserecht verweigern.
Anmelderechte haben nichts mit Freigaberechten zu tun.
Denk daran, die Gruppenmitgleidschaft wird für einen Benutzer im Ticket immer erst bei einer Neuanmeldung gesetzt!
Dh wird der benutzer Mitglied einer Gruppe ist aber angemeldet und meldet sich nicht neu an, hat er von dort wo er angemeldet ist so Zugriff, als wäre er nicht in der Gruppe.
Gruß
Chonta
Eigentlich war das alles 0815.
RDP aufn PDC, dort die Gruppe in Benutzer & Computer angelegt, den Gruppenrichtlinieneditor geöffnet und eine neue Richtlinie angelegt (noch nicht verknüpft).
Dort die Einträge gesetzt für "Lokal anmelden verweigern" und "Zugriff vom Netzwerk auf diesen Computer verweigern" für die eben erzeugt Gruppe.
Dann ein wenig OUs geschubst und ein paar Server verschoben damit es vom "Wirkungskreis" her passt.
Anschließend die Richtlinie mit den OUs verknüpft in denen die Server liegen, auf die sie wirken soll (4 Stk).
Dann 5 Minuten gewartet fürs replizieren und dann Client und Server mit gpupdate aktualisiert.
Als das nicht ging hab ich neu gestartet und als das auch nix geholfen hat, hab ich überprüft ob in der lokalen Richtlinienverwaltung auch das Richtige drin steht.
Da das aber alles passte war ich dann doch etwas ratlos.
Als ich den ersten Beitrag getippt habe bin ich auf die Idee mit der Gruppe gekommen und hab dann die Gruppe aus der Richtlinie rausgenommen und stattdessen den User direkt eingetragen.
Seitdem greift das (gpupdate schickte).
gpresult hab ich natürlich auch gecheckt. Er meldet auf einem betroffenen Server, dass die GPO genommen wird (is auch klar, da die lokale Richtlinie ja verändert ist).
Auf dem Client sagt er, dass der User in der entsprechenden Gruppe ist.
Eventlog auf dem Client ist soweit clean. Keine Fehler vom gpupdate oder sowas. Auf dem Server steht auch nix verdächtiges drin.
RDP aufn PDC, dort die Gruppe in Benutzer & Computer angelegt, den Gruppenrichtlinieneditor geöffnet und eine neue Richtlinie angelegt (noch nicht verknüpft).
Dort die Einträge gesetzt für "Lokal anmelden verweigern" und "Zugriff vom Netzwerk auf diesen Computer verweigern" für die eben erzeugt Gruppe.
Dann ein wenig OUs geschubst und ein paar Server verschoben damit es vom "Wirkungskreis" her passt.
Anschließend die Richtlinie mit den OUs verknüpft in denen die Server liegen, auf die sie wirken soll (4 Stk).
Dann 5 Minuten gewartet fürs replizieren und dann Client und Server mit gpupdate aktualisiert.
Als das nicht ging hab ich neu gestartet und als das auch nix geholfen hat, hab ich überprüft ob in der lokalen Richtlinienverwaltung auch das Richtige drin steht.
Da das aber alles passte war ich dann doch etwas ratlos.
Als ich den ersten Beitrag getippt habe bin ich auf die Idee mit der Gruppe gekommen und hab dann die Gruppe aus der Richtlinie rausgenommen und stattdessen den User direkt eingetragen.
Seitdem greift das (gpupdate schickte).
gpresult hab ich natürlich auch gecheckt. Er meldet auf einem betroffenen Server, dass die GPO genommen wird (is auch klar, da die lokale Richtlinie ja verändert ist).
Auf dem Client sagt er, dass der User in der entsprechenden Gruppe ist.
Eventlog auf dem Client ist soweit clean. Keine Fehler vom gpupdate oder sowas. Auf dem Server steht auch nix verdächtiges drin.
