Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Benutzer soll sich auf einem bestimmten PC nicht anmelden

Mitglied: jap

jap (Level 1) - Jetzt verbinden

21.09.2005, aktualisiert 23.07.2007, 9516 Aufrufe, 9 Kommentare

Wir haben ca 600 PCs im Netzwerk. Wir möchten, dass sich Benutzer auf bestimmten PCs nicht anmelden können. Win2000 Server (AD Domäne) XP Clients ermöglichen, daß ich einem Benutzer eine oder mehrere PCs zuseisen kann, wir benötigen aber die Funktion, dass einem Benutzer eine Anmeldung an einem oder mehreren PC verwehrt werden.

Gibt es da eine Lösung? Evtl. auch von Drittanbietern !!

Jap
Mitglied: superboh
22.09.2005 um 03:45 Uhr
Hallo,

sowas gibt es nicht, nicht dass ich wüsste auf jeden Fall.

Ich hatte so was aber auch mal benötigt und habe es dann per Loginscript (Sprache Kixstart) selbst "gestrickt".
Und zwar so, dass ich eben gleich zu Beginn des Scripts überprüft habe, ob ein User Mitglied einer bestimmten Gruppe ist und wenn ja, dann überprüft, ob der Rechnername, an dem das Login erfolgt, auf der Liste der gesperrten Rechner steht. Wenn das alles zutraff, wurde der User gleich wieder vom Script abgemeldet. Das Login-Script konnte auch nicht abgebrochen werden, weil man auch sonst sofort abgemeldet wird.

Gruss,
Thomas
Bitte warten ..
Mitglied: Soldier
22.09.2005 um 08:59 Uhr
Heißt das also, dass ihr von Anfang an allen Usern im AD unter "Anmelden an..." erlaubt, sich an allen Rechnern anzumelden?
Bitte warten ..
Mitglied: superboh
22.09.2005 um 14:12 Uhr
Ja, genau. Denke das wird wohl in den meisten Fällen so sein. Weil ein Mitarbeiter hat ja auch nicht zu allen PCs in der Firma Zugang.

Gruss,
Thomas
Bitte warten ..
Mitglied: Soldier
22.09.2005 um 18:02 Uhr
Aber das müllt doch nach und nach die Dokumente und Einstellungen voll, da ja bei jeder Neuanmeldung ein Benutzerprofil angelegt wird. Ausserdem könnte ja ein Mitarbeiter Daten einsehen, die ein anderer Mitarbeiter aus Nichtwissen oder Dummheit auf der lokalen Festplatte gespeichert hat. Datenschutz und so... Dafür sind die Admins auch verantwortlich.

Das sollen ja keine Vorwürfe sein. Bitte net falsch verstehen. Ich kenn das nur aus unsrer Firma. Da wird für jeden Benutzer ein PC installiert, auf dem sich auch nur dieser Benutzer anmelden darf. Es gibt natürlich Ausnahmen, wo auch 5 oder 6 User angemeldet werden können. Aber das ist eher die Seltenheit. Ausser die Admins natürlich. Die können überall drauf. Dafür sind sie ja Admins. Wir haben auch über 500 PCs und verfolgen das Konzept von Anfang an.

Vielleicht sind wir auch ne Ausnahme. IT-Sicherheit wird bei uns in Großbuchstaben geschrieben. Rüstungsfirma und so... Naja wie auch immer.

MfG und best wishes...
Bitte warten ..
Mitglied: superboh
23.09.2005 um 04:18 Uhr
Hallo,

also ich schreibe Sicherheit auch hoch, aber ein Mitarbeiter aus der Versand wird sich wohl kaum an einem Rechner in der Buchhaltung anmelden können, alleine weil er dort zum Büro keinen Zugang hat. Warum soll ich mir dann mehr Arbeit machen als ich so oder so schon habe? Vor allem ... wer weiss nach einer Weile noch, wer sich wo anmelden darf? Das würde eine Unmenge an Verwaltung bedeuten.
In der Abteilung selbst besteht da auch nur ein geringes Risiko, denn die Leute machen ja auch Urlaubsvertretung und so für einander.
Vor allem ... gerade das ist ja der Vorteil der Domäne und servergespeicherten Profile, dass sich jeder an allen Rechner anmelden kann. Es kommt doch auch mal vor, dass ein Rechner ausfällt, wenn sich dann der Mitarbeiter nicht auch an einem Rechner des Kollegen anmelden könnte, der grad im Urlaub ist, dann würde der gute Mensch erstmal nichts arbeiten können und die EDV ist mal wieder schuld.
Vor allem ... was wäre das für ein Chaos, wenn die Abteilungen mal wieder umziehen. Da werden auch oft die Plätze gewechselt.
Und lokal Daten ablegen? Wer so was macht, verstösst gegen die gültige Richtlinie, dass keine Daten lokal abgelegt werden. Somit hätte dann der User den schwarzen Peter.

Ok, ihr macht das anders, aber ich denke das ist dann doch die Ausnahme.

Gruss,
Thomas
Bitte warten ..
Mitglied: Harry2o
23.09.2005 um 15:07 Uhr
Eigentlich hasse ich ja Beiträge, die nur aus unqualifizierten Vermutungen bestehen.... leider habe ich auch wenig Erfahrung mit Domänenadministration.
Allerdings gibt's da eine Möglichkeit, von der ich denke, dass sie funktionieren wird - und hab's auch grade auf den "OK"-Klick ausprobiert.

Es handelt sich doch um Windows-XP Clients (Spielt hier sogar keine Rolle ob Home oder Pro, denn das gibt's in beiden).

Bei XP (vllt sogar schon bei 2000) gibt's in den Lokalen Sicherheitseinstellungen eine Option, mit dem man Benutzern die lokale Anmeldung verweigern kann. Man findet sie in den Lokalen Sicherheitseinstellungen (also Start, Ausführen, secpol.msc) unter "Lokale Richtlinien, Zuweisen von Benutzerrechten" und heißt "Lokale Anmeldung verweigern".
Dort kann man nun quasi die Benutzer auswählen, denen man die Anmeldung verweigern will. Wenn man als Suchpfad die Domäne hernimmt, kann man jetzt alle Benutzer aus besagter Domäne suchen und dann diejenigen auswählen, die sich nicht anmelden dürfen.
(Natürlich wirken diese Änderungen nur, wenn man sie mit Administratorrechten ausführt - allerdings vorsicht, man kann hier auch den Administrator eintragen!)

Wie gesagt, ich hab's nicht bis ganz durchprobiert, aber das klappt in der Theorie (und dass es auf einen Rechner ohne Domäne in einem Netzwerk funktioniert weiß ich).
Allerdings ist das halt bei 600 Rechnern eine ziemlich langwierige und aufwendige Arbeit, lokal bei allen 600 Rechnern die entsprechenden Einstellungen zu treffen.
Aber das ist die Möglichkeit, die (per Vermutung) funktionieren wird.

Das Loginskript, das zentral liegt, ist natürlich exponentiell weniger Arbeit, aber die beschriebene Möglichkeit gibt's auf jeden Fall auch


Cheers
~Harry


PS: Wünsche Antwort - wenn's versucht wird - ob das funktioniert, danke.
Bitte warten ..
Mitglied: jap
23.09.2005 um 18:23 Uhr
Hallo,

die Diskussion hat sich ja munter ohne mich entwickelt, ich war ein paar Tage offline.
Danke für die interessanten Beiträge !!

An die Lösung per LogonScript habe ich auch schon gedacht, Ich habe allerdings gehofft, dass es eine "professionellere" Lösung gibt.

Nun dann werde ich wohl etwas basteln müssen

Jap
Bitte warten ..
Mitglied: rajsio
26.09.2005 um 05:38 Uhr
Hallo

ich verstehe die Problematik nicht so ganz.
Du schreibst etwas von wegen Sicherheit.

Ich frage mal anders herum.
Wo sihst Du den da Sicheheitsbedenken?

Ich nehme an dass deine MA doch keine lokalen Admins sind. Oder?

Beim anmelden landet jeder Benutzer in seinem Ordner unter Dokumente und Einstellungen.
Für diese Ordner gibt es Berechtigungen und Besitzer.
Schau dir diese mal an.

Wenn Benutzer A beim Benutzer B mal etwas sehen darf, dann hast Du etwas falsch gemacht.

Zum Mül und Daten auf den PCs.
Habt Ihr Fileserver?
Wenn ja dann werden die Laufwerke beim Anmelden angezogen (nehme ich an).
Eigene Dateien etc. lagert man auf diese aus, somit werden diese nicht auf den PCs hinterlassen.

Zum Mül und Profile.
Servergespeicherte Profile mit GPO dass diese beim abmelden wieder gelöscht werden.
Rate ich von ab.

Servergespeicherte Profile ja aber lässt diese auf auf den PCs.
Wenn die wichtigen Daten und Ordner auf Filer umgelenk werden dann sind die Profile klein.

mfg
Raphael
Bitte warten ..
Mitglied: turangaleela
23.07.2007 um 12:58 Uhr
man kann bestimmte Rechner ausschließen indem man ein "-" vor den rechnernamen setzt, also ein logisches nicht. Hab das grade ausprobiert und bei mir funktioniert das wunderbar!

STREICHEN!
FUNKTIONIERT DOCH NICHT!
Bitte warten ..
Ähnliche Inhalte
Windows 7

Bestimmter Benutzer kann sich nicht anmelden

gelöst Frage von xbast1xWindows 76 Kommentare

Hallo zusammen, Ich habe gerade ein DELL Latitude E7240 Wndows 7 64 bit prof. zur Wartung bei mir. Ich ...

Windows Server

Benutzer lässt sich nur an einem Clientcomputer anmelden

gelöst Frage von AmmannWindows Server19 Kommentare

Hallo Zusammen, wer kann mir helfen. Ich habe ein Netzwerk mit 10 Clients und SBS 2011 Essential. Alle Clients ...

Windows Server

Domänen-Benutzer Anmelde-Überwachung

Frage von PseudoNymWindows Server1 Kommentar

Hallo, ich habe hier ein seltsames Problem, was mich sehr bunruhigt. (Wer nicht den ganzen Text lesen will s.u. ...

Windows Server

Nur bestimmte Benutzer dürfen sich an bestimten PCs anmelden - per GPO

gelöst Frage von johanna-pWindows Server2 Kommentare

Hallo, ich möchte, dass sich an ca. 40 PCs in einer AD nur bestimmte User anmelden können. Also : ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 6 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 7 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 10 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...