9
Benutzer soll sich auf einem bestimmten PC nicht anmelden
Wir haben ca 600 PCs im Netzwerk. Wir möchten, dass sich Benutzer auf bestimmten PCs nicht anmelden können. Win2000 Server (AD Domäne) XP Clients ermöglichen, daß ich einem Benutzer eine oder mehrere PCs zuseisen kann, wir benötigen aber die Funktion, dass einem Benutzer eine Anmeldung an einem oder mehreren PC verwehrt werden.
Gibt es da eine Lösung? Evtl. auch von Drittanbietern !!
Jap
Gibt es da eine Lösung? Evtl. auch von Drittanbietern !!
Jap
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 16482
Url: https://administrator.de/contentid/16482
Printed on: April 16, 2024 at 13:04 o'clock
9 Comments
Latest comment
Hallo,
sowas gibt es nicht, nicht dass ich wüsste auf jeden Fall.
Ich hatte so was aber auch mal benötigt und habe es dann per Loginscript (Sprache Kixstart) selbst "gestrickt".
Und zwar so, dass ich eben gleich zu Beginn des Scripts überprüft habe, ob ein User Mitglied einer bestimmten Gruppe ist und wenn ja, dann überprüft, ob der Rechnername, an dem das Login erfolgt, auf der Liste der gesperrten Rechner steht. Wenn das alles zutraff, wurde der User gleich wieder vom Script abgemeldet. Das Login-Script konnte auch nicht abgebrochen werden, weil man auch sonst sofort abgemeldet wird.
Gruss,
Thomas
sowas gibt es nicht, nicht dass ich wüsste auf jeden Fall.
Ich hatte so was aber auch mal benötigt und habe es dann per Loginscript (Sprache Kixstart) selbst "gestrickt".
Und zwar so, dass ich eben gleich zu Beginn des Scripts überprüft habe, ob ein User Mitglied einer bestimmten Gruppe ist und wenn ja, dann überprüft, ob der Rechnername, an dem das Login erfolgt, auf der Liste der gesperrten Rechner steht. Wenn das alles zutraff, wurde der User gleich wieder vom Script abgemeldet. Das Login-Script konnte auch nicht abgebrochen werden, weil man auch sonst sofort abgemeldet wird.
Gruss,
Thomas
Heißt das also, dass ihr von Anfang an allen Usern im AD unter "Anmelden an..." erlaubt, sich an allen Rechnern anzumelden?
Ja, genau. Denke das wird wohl in den meisten Fällen so sein. Weil ein Mitarbeiter hat ja auch nicht zu allen PCs in der Firma Zugang.
Gruss,
Thomas
Gruss,
Thomas
Aber das müllt doch nach und nach die Dokumente und Einstellungen voll, da ja bei jeder Neuanmeldung ein Benutzerprofil angelegt wird. Ausserdem könnte ja ein Mitarbeiter Daten einsehen, die ein anderer Mitarbeiter aus Nichtwissen oder Dummheit auf der lokalen Festplatte gespeichert hat. Datenschutz und so... Dafür sind die Admins auch verantwortlich.
Das sollen ja keine Vorwürfe sein. Bitte net falsch verstehen. Ich kenn das nur aus unsrer Firma. Da wird für jeden Benutzer ein PC installiert, auf dem sich auch nur dieser Benutzer anmelden darf. Es gibt natürlich Ausnahmen, wo auch 5 oder 6 User angemeldet werden können. Aber das ist eher die Seltenheit. Ausser die Admins natürlich. Die können überall drauf. Dafür sind sie ja Admins.
Wir haben auch über 500 PCs und verfolgen das Konzept von Anfang an.
Vielleicht sind wir auch ne Ausnahme. IT-Sicherheit wird bei uns in Großbuchstaben geschrieben. Rüstungsfirma und so... Naja wie auch immer.
MfG und best wishes...
Das sollen ja keine Vorwürfe sein. Bitte net falsch verstehen. Ich kenn das nur aus unsrer Firma. Da wird für jeden Benutzer ein PC installiert, auf dem sich auch nur dieser Benutzer anmelden darf. Es gibt natürlich Ausnahmen, wo auch 5 oder 6 User angemeldet werden können. Aber das ist eher die Seltenheit. Ausser die Admins natürlich. Die können überall drauf. Dafür sind sie ja Admins.
Wir haben auch über 500 PCs und verfolgen das Konzept von Anfang an.Vielleicht sind wir auch ne Ausnahme. IT-Sicherheit wird bei uns in Großbuchstaben geschrieben. Rüstungsfirma und so... Naja wie auch immer.
MfG und best wishes...
Hallo,
also ich schreibe Sicherheit auch hoch, aber ein Mitarbeiter aus der Versand wird sich wohl kaum an einem Rechner in der Buchhaltung anmelden können, alleine weil er dort zum Büro keinen Zugang hat. Warum soll ich mir dann mehr Arbeit machen als ich so oder so schon habe? Vor allem ... wer weiss nach einer Weile noch, wer sich wo anmelden darf? Das würde eine Unmenge an Verwaltung bedeuten.
In der Abteilung selbst besteht da auch nur ein geringes Risiko, denn die Leute machen ja auch Urlaubsvertretung und so für einander.
Vor allem ... gerade das ist ja der Vorteil der Domäne und servergespeicherten Profile, dass sich jeder an allen Rechner anmelden kann. Es kommt doch auch mal vor, dass ein Rechner ausfällt, wenn sich dann der Mitarbeiter nicht auch an einem Rechner des Kollegen anmelden könnte, der grad im Urlaub ist, dann würde der gute Mensch erstmal nichts arbeiten können und die EDV ist mal wieder schuld.
Vor allem ... was wäre das für ein Chaos, wenn die Abteilungen mal wieder umziehen. Da werden auch oft die Plätze gewechselt.
Und lokal Daten ablegen? Wer so was macht, verstösst gegen die gültige Richtlinie, dass keine Daten lokal abgelegt werden. Somit hätte dann der User den schwarzen Peter.
Ok, ihr macht das anders, aber ich denke das ist dann doch die Ausnahme.
Gruss,
Thomas
also ich schreibe Sicherheit auch hoch, aber ein Mitarbeiter aus der Versand wird sich wohl kaum an einem Rechner in der Buchhaltung anmelden können, alleine weil er dort zum Büro keinen Zugang hat. Warum soll ich mir dann mehr Arbeit machen als ich so oder so schon habe? Vor allem ... wer weiss nach einer Weile noch, wer sich wo anmelden darf? Das würde eine Unmenge an Verwaltung bedeuten.
In der Abteilung selbst besteht da auch nur ein geringes Risiko, denn die Leute machen ja auch Urlaubsvertretung und so für einander.
Vor allem ... gerade das ist ja der Vorteil der Domäne und servergespeicherten Profile, dass sich jeder an allen Rechner anmelden kann. Es kommt doch auch mal vor, dass ein Rechner ausfällt, wenn sich dann der Mitarbeiter nicht auch an einem Rechner des Kollegen anmelden könnte, der grad im Urlaub ist, dann würde der gute Mensch erstmal nichts arbeiten können und die EDV ist mal wieder schuld.
Vor allem ... was wäre das für ein Chaos, wenn die Abteilungen mal wieder umziehen. Da werden auch oft die Plätze gewechselt.
Und lokal Daten ablegen? Wer so was macht, verstösst gegen die gültige Richtlinie, dass keine Daten lokal abgelegt werden. Somit hätte dann der User den schwarzen Peter.
Ok, ihr macht das anders, aber ich denke das ist dann doch die Ausnahme.
Gruss,
Thomas
Eigentlich hasse ich ja Beiträge, die nur aus unqualifizierten Vermutungen bestehen.... leider habe ich auch wenig Erfahrung mit Domänenadministration.
Allerdings gibt's da eine Möglichkeit, von der ich denke, dass sie funktionieren wird - und hab's auch grade auf den "OK"-Klick ausprobiert.
Es handelt sich doch um Windows-XP Clients (Spielt hier sogar keine Rolle ob Home oder Pro, denn das gibt's in beiden).
Bei XP (vllt sogar schon bei 2000) gibt's in den Lokalen Sicherheitseinstellungen eine Option, mit dem man Benutzern die lokale Anmeldung verweigern kann. Man findet sie in den Lokalen Sicherheitseinstellungen (also Start, Ausführen, secpol.msc) unter "Lokale Richtlinien, Zuweisen von Benutzerrechten" und heißt "Lokale Anmeldung verweigern".
Dort kann man nun quasi die Benutzer auswählen, denen man die Anmeldung verweigern will. Wenn man als Suchpfad die Domäne hernimmt, kann man jetzt alle Benutzer aus besagter Domäne suchen und dann diejenigen auswählen, die sich nicht anmelden dürfen.
(Natürlich wirken diese Änderungen nur, wenn man sie mit Administratorrechten ausführt - allerdings vorsicht, man kann hier auch den Administrator eintragen!)
Wie gesagt, ich hab's nicht bis ganz durchprobiert, aber das klappt in der Theorie (und dass es auf einen Rechner ohne Domäne in einem Netzwerk funktioniert weiß ich).
Allerdings ist das halt bei 600 Rechnern eine ziemlich langwierige und aufwendige Arbeit, lokal bei allen 600 Rechnern die entsprechenden Einstellungen zu treffen.
Aber das ist die Möglichkeit, die (per Vermutung) funktionieren wird.
Das Loginskript, das zentral liegt, ist natürlich exponentiell weniger Arbeit, aber die beschriebene Möglichkeit gibt's auf jeden Fall auch
Cheers
~Harry
PS: Wünsche Antwort - wenn's versucht wird - ob das funktioniert, danke.
Allerdings gibt's da eine Möglichkeit, von der ich denke, dass sie funktionieren wird - und hab's auch grade auf den "OK"-Klick ausprobiert.
Es handelt sich doch um Windows-XP Clients (Spielt hier sogar keine Rolle ob Home oder Pro, denn das gibt's in beiden).
Bei XP (vllt sogar schon bei 2000) gibt's in den Lokalen Sicherheitseinstellungen eine Option, mit dem man Benutzern die lokale Anmeldung verweigern kann. Man findet sie in den Lokalen Sicherheitseinstellungen (also Start, Ausführen, secpol.msc) unter "Lokale Richtlinien, Zuweisen von Benutzerrechten" und heißt "Lokale Anmeldung verweigern".
Dort kann man nun quasi die Benutzer auswählen, denen man die Anmeldung verweigern will. Wenn man als Suchpfad die Domäne hernimmt, kann man jetzt alle Benutzer aus besagter Domäne suchen und dann diejenigen auswählen, die sich nicht anmelden dürfen.
(Natürlich wirken diese Änderungen nur, wenn man sie mit Administratorrechten ausführt - allerdings vorsicht, man kann hier auch den Administrator eintragen!)
Wie gesagt, ich hab's nicht bis ganz durchprobiert, aber das klappt in der Theorie (und dass es auf einen Rechner ohne Domäne in einem Netzwerk funktioniert weiß ich).
Allerdings ist das halt bei 600 Rechnern eine ziemlich langwierige und aufwendige Arbeit, lokal bei allen 600 Rechnern die entsprechenden Einstellungen zu treffen.
Aber das ist die Möglichkeit, die (per Vermutung) funktionieren wird.
Das Loginskript, das zentral liegt, ist natürlich exponentiell weniger Arbeit, aber die beschriebene Möglichkeit gibt's auf jeden Fall auch
Cheers
~Harry
PS: Wünsche Antwort - wenn's versucht wird - ob das funktioniert, danke.
Hallo,
die Diskussion hat sich ja munter ohne mich entwickelt, ich war ein paar Tage offline.
Danke für die interessanten Beiträge !!
An die Lösung per LogonScript habe ich auch schon gedacht, Ich habe allerdings gehofft, dass es eine "professionellere" Lösung gibt.
Nun dann werde ich wohl etwas basteln müssen
Jap
die Diskussion hat sich ja munter ohne mich entwickelt, ich war ein paar Tage offline.
Danke für die interessanten Beiträge !!
An die Lösung per LogonScript habe ich auch schon gedacht, Ich habe allerdings gehofft, dass es eine "professionellere" Lösung gibt.
Nun dann werde ich wohl etwas basteln müssen
Jap
Hallo
ich verstehe die Problematik nicht so ganz.
Du schreibst etwas von wegen Sicherheit.
Ich frage mal anders herum.
Wo sihst Du den da Sicheheitsbedenken?
Ich nehme an dass deine MA doch keine lokalen Admins sind. Oder?
Beim anmelden landet jeder Benutzer in seinem Ordner unter Dokumente und Einstellungen.
Für diese Ordner gibt es Berechtigungen und Besitzer.
Schau dir diese mal an.
Wenn Benutzer A beim Benutzer B mal etwas sehen darf, dann hast Du etwas falsch gemacht.
Zum Mül und Daten auf den PCs.
Habt Ihr Fileserver?
Wenn ja dann werden die Laufwerke beim Anmelden angezogen (nehme ich an).
Eigene Dateien etc. lagert man auf diese aus, somit werden diese nicht auf den PCs hinterlassen.
Zum Mül und Profile.
Servergespeicherte Profile mit GPO dass diese beim abmelden wieder gelöscht werden.
Rate ich von ab.
Servergespeicherte Profile ja aber lässt diese auf auf den PCs.
Wenn die wichtigen Daten und Ordner auf Filer umgelenk werden dann sind die Profile klein.
mfg
Raphael
ich verstehe die Problematik nicht so ganz.
Du schreibst etwas von wegen Sicherheit.
Ich frage mal anders herum.
Wo sihst Du den da Sicheheitsbedenken?
Ich nehme an dass deine MA doch keine lokalen Admins sind. Oder?
Beim anmelden landet jeder Benutzer in seinem Ordner unter Dokumente und Einstellungen.
Für diese Ordner gibt es Berechtigungen und Besitzer.
Schau dir diese mal an.
Wenn Benutzer A beim Benutzer B mal etwas sehen darf, dann hast Du etwas falsch gemacht.
Zum Mül und Daten auf den PCs.
Habt Ihr Fileserver?
Wenn ja dann werden die Laufwerke beim Anmelden angezogen (nehme ich an).
Eigene Dateien etc. lagert man auf diese aus, somit werden diese nicht auf den PCs hinterlassen.
Zum Mül und Profile.
Servergespeicherte Profile mit GPO dass diese beim abmelden wieder gelöscht werden.
Rate ich von ab.
Servergespeicherte Profile ja aber lässt diese auf auf den PCs.
Wenn die wichtigen Daten und Ordner auf Filer umgelenk werden dann sind die Profile klein.
mfg
Raphael
man kann bestimmte Rechner ausschließen indem man ein "-" vor den rechnernamen setzt, also ein logisches nicht. Hab das grade ausprobiert und bei mir funktioniert das wunderbar!
STREICHEN!
FUNKTIONIERT DOCH NICHT!
STREICHEN!
FUNKTIONIERT DOCH NICHT!