Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory Benutzer ohne Login-Recht

Frage Microsoft Windows Server

Mitglied: gubbeldigub

gubbeldigub (Level 1) - Jetzt verbinden

15.02.2015 um 09:25 Uhr, 891 Aufrufe, 4 Kommentare, 1 Danke

Hallo,

ich habe relativ wenig Erfahrung im Umgang mit AD. Also habe ich anhand eines Lehrbuches versucht ein Beispiel-Directory aufzubauen - was auch ganz gut funktioniert hat. Allerdings habe ich nun ein - wahrscheinlich triviales - Problem, das ich nicht befriedigend gelöst bekomme. Ich bräuchte 2 Benutzer, die kein Recht haben sich an einem Domänen-PC anzumelden.

Einer dieser Benutzer soll nur dazu da sein, den Netzwerker-Scanner zu authentifizieren, sodass der die gescannten Dateien auf dem (Samba)-Share ablegen darf.
Der andere Benutzer soll mit ldapsearch das Directory lesen dürfen und Attribute zurückgeben. Es soll ein simple-bind (ldapsearch -x) durchgeführt werden. Bislang funktioniert der ldapsearch - entgegen allem, was ich gelesen habe - nur mit Administratorenrechten.

Kann mir von euch jemand auf die Sprünge helfen? Vielen Dank.

Markus
Mitglied: 114757
15.02.2015, aktualisiert um 10:57 Uhr
Stichwort Deny Interactive Logon
http://windowsitpro.com/security/restricting-interactive-user-logons
http://www.alexheer.co.uk/it-blog/deny-interactive-logon-for-service-ac ...

GPO
01.
Computer Configuration/ Windows Settings/Security Settings/Local Policies/User Rights Assignment / 'Deny log on locally' and 'Deny log on through Terminal Services'
Gruß jodel
Bitte warten ..
Mitglied: gubbeldigub
16.02.2015 um 18:34 Uhr
Hallo Jodel,
ich habe das jetzt so gemacht. Allerdings wirkt die Richtlinie nur für "Lokale Anmeldung verweigern". An einem Terminalserver kann ich mich immer noch anmelden. Was mache ich falsch?
Danke, Markus
Bitte warten ..
Mitglied: 114757
16.02.2015, aktualisiert um 21:43 Uhr
Die GPO muss auf alle Rechner wirken (denn es ist ja eine Computereinstellung) , d.h du verknüpfst sie am besten im Root der GPMC dann gillt sie für alle Rechner im Netzwerk. Und du hast anscheinend die zweite Policy auch nicht umgesetzt (Log on through Terminal-Services).
Reboot aller Maschinen ist natürlich Pflicht damit die Einstellungen wirken!
Bitte warten ..
Mitglied: joehuaba
23.02.2015 um 13:38 Uhr
Das solltest du ganz einfach mit dieser Anleitung hinbekommen:

https://4sysops.com/archives/deny-and-allow-workstation-logons-with-grou ...

Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Active Directory Zertifikatdienste - Dienst kann nicht gestartet werden (1)

Frage von chb1982 zum Thema Windows Server ...

Windows Userverwaltung
Active Directory - OU Anordnung und Aufbau (9)

Frage von nightwishler zum Thema Windows Userverwaltung ...

Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(2)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Windows 7
gelöst Lokales Adminprofil defekt (25)

Frage von Yannosch zum Thema Windows 7 ...

Server
gelöst Wie erkennen, dass nur deutsche IPs Zugang zu einer Website haben? (22)

Frage von Coreknabe zum Thema Server ...

LAN, WAN, Wireless
gelöst Statische Routen mit ISC-DHCP Server für Android Devices (22)

Frage von terminator zum Thema LAN, WAN, Wireless ...

Exchange Server
gelöst Migration Exchange 2007 zu 2013 - Public Folder teilweise weg (16)

Frage von Andy1987 zum Thema Exchange Server ...