hacol22
Aug 06, 2007, updated at 21:32:47 (UTC)
view16579
view7
1
Goto Top

Domäne - Anmeldung an PC verweigern

GermanQuestionMicrosoft
Hallo,

in den Eigenschaften eines Benutzerkonts in AD gibt es die Möglichkeit einem Benutzer PCs zuzuordnen an denen er sich anmelden darf. Mein Frage: Gibt es auch eine Möglichkeit einem Benutzer zu verbieten sich an einem PC anzumelden? Dabei meine ich die Anmeldung mit dem Domänen-Account. Lokale Anmeldung spielt dabei keine Rolle.

MfG
hacol22
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 65556

Url: https://administrator.de/contentid/65556

Printed on: April 24, 2024 at 11:04 o'clock

7 Comments
Latest comment
Goto Top
Member: Supaman
Supaman Aug 06, 2007 at 12:48:36 (UTC)
Goto Top
klar, z.b. über die gültige anmelde-uhrzeit. oder du setzt das passwort neu und verräts das neue passwort nicht.
Member: hacol22
hacol22 Aug 06, 2007 at 13:11:19 (UTC)
Goto Top
Toll ...Ich will nicht jeden einzelnen PC(15) an dem sich ein Benutzer(22) anmelden darf in den Kontoeigenschaften zuordnen und dazu noch Uhrzeiten einstellen müssen. Da sitz ich ja nächstes Jahr noch dran. Bin ich Supaman?

Ich suche eine Möglichkeit einem Benutzer oder einer Sicherheitsgruppe das Anmelden an bestimmten PC(ein oder zwei) zu verbieten.
Member: manuel-r
manuel-r Aug 06, 2007 at 13:54:08 (UTC)
Goto Top
Wenn's nur 1 oder 2 Rechner sind, dann kannst du es ja über die lokale Richtlinie mit lokale Anmeldung verweigern umsetzen. Das musst du halt an jedem der PCs machen - geht nicht über die Domäne.

Manuel
Member: AndreasA
AndreasA Aug 06, 2007 at 14:23:05 (UTC)
Goto Top
Alternativ du stellst die beiden PCs in eine extra OU. Auf diese kannst du dann mit einer Computergruppenrichtlinie "Beschränkte Gruppen" setzen, so das z.B. unter "Benutzer" die Domänenbenutzer nicht mehr enthalten sind, sondern nur noch die, die du zuläßt (globale Sicherheitsgruppe).

Gruß Andreas
Member: hacol22
hacol22 Aug 06, 2007 at 14:42:30 (UTC)
Goto Top
Ja stimmt, über eine eigene OU hatte ich noch nicht gedacht. Das wäre eine Möglichkeit die ich auf jeden Fall versuchen würde. Habe auch schon nach einer vordefinierten Richtlinie in der globalen Policy der Domäne gesucht, leider keine gefunden. Oder muss das über ein Logon-Script gelöst werden? Kannst du mir genauere Auskunft geben?

Lokal würde auch gehen, ist natürlich etwas umständlich, aber möglich.

Vielen Dank für die Vorschläge

MfG
Member: AndreasA
AndreasA Aug 06, 2007 at 15:51:26 (UTC)
Goto Top
Lass die Finger von den Default Policies.
Erstelle dir einfach eine neue Policy und verknüpfe diese nur mit der OU, wo diese beiden PC's liegen !!!
Unter Computerkonfiguration --> Windows-Einstellungen--> Sicherheitseinstellungen--> Eingeschränkte Gruppen kannst du die Gruppe Benutzer mit der Domänengruppe befüllen, der es erlaubt ist sich dort anzumelden. Alle nicht aufgeführten Gruppen sind dann nicht mehr Mitglied dieser Gruppe, da diese Policy die lokal eingetragene Gruppe Benutzer (siehe lokale Computerverwaltung) ersetzt!!! Ergo sind die Standard Domänen-Benutzer nicht mehr Mitglied der lokalen Gruppe und können sich somit auch nicht mehr anmelden.
Lokale Benutzer wirst du ja dort auf diesen PC's nicht haben oder?

Gruß Andreas
Member: hacol22
hacol22 Aug 06, 2007 at 21:32:46 (UTC)
Goto Top
Natürlich lasse ich die Finger von der Default Policy. Hatte nur nachgesehen ob es überhaupt solch eine Option gibt. Jetzt kenne ich ja den genauen Pfad. Werde eine OU anlegen und dieser eine neue Policy zuweisen.
Nein, lokal habe ich an den Rechnern nur einen Account mit Adminrechten angelegt, da "Administrator" deaktiviert ist.

Vielen Dank für die Hilfe!

MfG
hacol22
GermanQuestionMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments