Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

AD-Benutzer Zugriff auf alle Server außer einem verbieten

Frage Microsoft Windows Server

Mitglied: dduchardt

dduchardt (Level 1) - Jetzt verbinden

03.07.2012 um 14:20 Uhr, 6065 Aufrufe, 6 Kommentare

Hallo,

Wir haben einen eingeschränkten AD-Benutzer, der auf lediglich einen Server zugreifen können soll. Außerdem soll er sich an genau einem PC anmelden können.

Hintergrund dafür, dass alles im AD abzubilden ist, dass der Benutzer außerdem über AD-Integration noch am Internetproxy (und einige anderen Lösoungen) zur Authtenifizierung genutzt wird.

Leider haben wir auf vielen Servern Freigaben, auf die alle AD-Benutzer zugreifen dürfen.

Wir würden nur ungern die ganzen Freigaben ändern.

Ich habe dann mal die GPOs durchforstet und dort für eine Benutzergruppe (der User ist logischerweise Mitglied) das lokale anmelden und den Zugriff übers Netzwerk verboten. Die OUs entsprechend ein wenig erweitert und Inhalte umsortiert.

An den Servern, auf die die GPO per OU wirkt, sind die entsprechenden Einträge lokal in der Richtlinienverwaltung auch gesetzt.
Lediglich bei dem einen Server und an dem einen PC sind die Einträge nicht vorhanden.
Also eigentlich so, wie es sein soll.

Der Haken: Zugriff auf Freigaben funktioniert trotzdem weiterhin wunderbar.

Hoffe von euch hat da einer eine Erklärung für oder weiß, wie ich das sonst realisieren kann.

Umgebung ist komplett Server 2008 R2 und Win 7.

Grüße und Danke schonmal.
Mitglied: kontext
03.07.2012, aktualisiert um 14:28 Uhr
HeyHo,

also das mit der Anmeldung an einem bestimmen PC kannst du übers AD steuern.
User - Eigenschaften - Konto - Anmelden an ..
... dort gibts du denn PC an wo sich der User anmelden kann und das wars - User kann sich nur auf dem Rechner anmelden

Und was willst du nun genau machen mit den Shares?
Der User soll sich nur auf einen Server verbinden können und auf die anderen nicht, hab ich das so richtig verstanden?

Greetz
zanko
Bitte warten ..
Mitglied: dduchardt
03.07.2012 um 14:32 Uhr
Ja.

Gibt auch einen Nachtrag. Ich hab in der GPO ja eine AD-Gruppe definiert, die das nicht können soll.
Das funktioniert trotz gpupdate und Neustart nicht.
Setze ich den Benutzer jedoch direkt in der GPO ein, dann greift die Regel.

Damit ist das Problem zwar grundsätzlich gelöst aber fürs Handling irgendwie schon blöd.
Jetzt muss man bei jedem weiteren Benutzer bei dem das gelten soll die GPO anpassen.
Anders hätte man den User nur in die AD-Gruppe packen müssen.
Bitte warten ..
Mitglied: kontext
03.07.2012 um 14:37 Uhr
HeyHo,

alles klar - dann noch ein paar Fragen:

Ist der User in der Gruppe?
Wie hast du die GPO erstellt?
Was sagt das Eventlog?
Was sagt rsop / gpresult?

Hatte früher schon mal das Problem das ich mehrere Male neu durchstarten musste ...
... Nach ein paar Neustarts hat der Client die GPO gezogen und war in der Gruppe

Greetz
Bitte warten ..
Mitglied: Penny.Cilin
03.07.2012, aktualisiert um 14:41 Uhr
Bzgl. der Anmeldung an genau einem PC/Workstation kann man dies im Benutzerkonto im Reiter "Account" unter dem Buttom "Logon To angeben"

In dem folgenden Dialog gibt man die Arbeitsstation an, an welcher sich ein benutzer anmelden kann. Hier kann man auch die Anmeldezeiten einschränken.

[edit] zu spät.
Bitte warten ..
Mitglied: Chonta
03.07.2012 um 14:59 Uhr
Hallo,

du Musst den benutzer in eine extra Gruppe bringen und dieser Gruppe bei allen Freigaben das Leserecht verweigern.
Anmelderechte haben nichts mit Freigaberechten zu tun.

Denk daran, die Gruppenmitgleidschaft wird für einen Benutzer im Ticket immer erst bei einer Neuanmeldung gesetzt!
Dh wird der benutzer Mitglied einer Gruppe ist aber angemeldet und meldet sich nicht neu an, hat er von dort wo er angemeldet ist so Zugriff, als wäre er nicht in der Gruppe.

Gruß

Chonta
Bitte warten ..
Mitglied: dduchardt
03.07.2012 um 15:06 Uhr
Eigentlich war das alles 0815.
RDP aufn PDC, dort die Gruppe in Benutzer & Computer angelegt, den Gruppenrichtlinieneditor geöffnet und eine neue Richtlinie angelegt (noch nicht verknüpft).
Dort die Einträge gesetzt für "Lokal anmelden verweigern" und "Zugriff vom Netzwerk auf diesen Computer verweigern" für die eben erzeugt Gruppe.
Dann ein wenig OUs geschubst und ein paar Server verschoben damit es vom "Wirkungskreis" her passt.
Anschließend die Richtlinie mit den OUs verknüpft in denen die Server liegen, auf die sie wirken soll (4 Stk).
Dann 5 Minuten gewartet fürs replizieren und dann Client und Server mit gpupdate aktualisiert.
Als das nicht ging hab ich neu gestartet und als das auch nix geholfen hat, hab ich überprüft ob in der lokalen Richtlinienverwaltung auch das Richtige drin steht.
Da das aber alles passte war ich dann doch etwas ratlos.

Als ich den ersten Beitrag getippt habe bin ich auf die Idee mit der Gruppe gekommen und hab dann die Gruppe aus der Richtlinie rausgenommen und stattdessen den User direkt eingetragen.
Seitdem greift das (gpupdate schickte).

gpresult hab ich natürlich auch gecheckt. Er meldet auf einem betroffenen Server, dass die GPO genommen wird (is auch klar, da die lokale Richtlinie ja verändert ist).
Auf dem Client sagt er, dass der User in der entsprechenden Gruppe ist.

Eventlog auf dem Client ist soweit clean. Keine Fehler vom gpupdate oder sowas. Auf dem Server steht auch nix verdächtiges drin.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Batch & Shell
Mehrere AD Benutzer aus CSV Datei mit PowerShell erstellen (1)

Frage von windelterrorist zum Thema Batch & Shell ...

Windows Userverwaltung
Anzeigen ob AD Benutzer ein Kennwort hat (2)

Frage von manuelw zum Thema Windows Userverwaltung ...

Windows 7
AD-Benutzer einer Lokalen Gruppe hinzufügen(16Bit OU) (3)

Frage von WIZARDBOY zum Thema Windows 7 ...

Linux Userverwaltung
OwnCloud : neues Active Directory : gleiche AD Benutzer : neue ownCloud Benutzer (5)

Frage von ThePcSwagTogether zum Thema Linux Userverwaltung ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...