gubbeldigub
Goto Top

Active Directory Benutzer ohne Login-Recht

Hallo,

ich habe relativ wenig Erfahrung im Umgang mit AD. Also habe ich anhand eines Lehrbuches versucht ein Beispiel-Directory aufzubauen - was auch ganz gut funktioniert hat. Allerdings habe ich nun ein - wahrscheinlich triviales - Problem, das ich nicht befriedigend gelöst bekomme. Ich bräuchte 2 Benutzer, die kein Recht haben sich an einem Domänen-PC anzumelden.

Einer dieser Benutzer soll nur dazu da sein, den Netzwerker-Scanner zu authentifizieren, sodass der die gescannten Dateien auf dem (Samba)-Share ablegen darf.
Der andere Benutzer soll mit ldapsearch das Directory lesen dürfen und Attribute zurückgeben. Es soll ein simple-bind (ldapsearch -x) durchgeführt werden. Bislang funktioniert der ldapsearch - entgegen allem, was ich gelesen habe - nur mit Administratorenrechten.

Kann mir von euch jemand auf die Sprünge helfen? Vielen Dank.

Markus

Content-Key: 263526

Url: https://administrator.de/contentid/263526

Ausgedruckt am: 28.03.2024 um 13:03 Uhr

Mitglied: 114757
114757 15.02.2015 aktualisiert um 10:57:34 Uhr
Goto Top
Stichwort Deny Interactive Logon
http://windowsitpro.com/security/restricting-interactive-user-logons
http://www.alexheer.co.uk/it-blog/deny-interactive-logon-for-service-ac ...

GPO
Computer Configuration/ Windows Settings/Security Settings/Local Policies/User Rights Assignment / 'Deny log on locally' and 'Deny log on through Terminal Services'  
Gruß jodel
Mitglied: gubbeldigub
gubbeldigub 16.02.2015 um 18:34:20 Uhr
Goto Top
Hallo Jodel,
ich habe das jetzt so gemacht. Allerdings wirkt die Richtlinie nur für "Lokale Anmeldung verweigern". An einem Terminalserver kann ich mich immer noch anmelden. Was mache ich falsch?
Danke, Markus
Mitglied: 114757
114757 16.02.2015 aktualisiert um 21:43:20 Uhr
Goto Top
Die GPO muss auf alle Rechner wirken (denn es ist ja eine Computereinstellung) , d.h du verknüpfst sie am besten im Root der GPMC dann gillt sie für alle Rechner im Netzwerk. Und du hast anscheinend die zweite Policy auch nicht umgesetzt (Log on through Terminal-Services).
Reboot aller Maschinen ist natürlich Pflicht damit die Einstellungen wirken!
Mitglied: joehuaba
joehuaba 23.02.2015 um 13:38:29 Uhr
Goto Top
Das solltest du ganz einfach mit dieser Anleitung hinbekommen:

https://4sysops.com/archives/deny-and-allow-workstation-logons-with-grou ...

face-smile