Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

AD-Benutzer Zugriff auf alle Server außer einem verbieten

Frage Microsoft Windows Server

Mitglied: dduchardt

dduchardt (Level 1) - Jetzt verbinden

03.07.2012 um 14:20 Uhr, 6683 Aufrufe, 6 Kommentare

Hallo,

Wir haben einen eingeschränkten AD-Benutzer, der auf lediglich einen Server zugreifen können soll. Außerdem soll er sich an genau einem PC anmelden können.

Hintergrund dafür, dass alles im AD abzubilden ist, dass der Benutzer außerdem über AD-Integration noch am Internetproxy (und einige anderen Lösoungen) zur Authtenifizierung genutzt wird.

Leider haben wir auf vielen Servern Freigaben, auf die alle AD-Benutzer zugreifen dürfen.

Wir würden nur ungern die ganzen Freigaben ändern.

Ich habe dann mal die GPOs durchforstet und dort für eine Benutzergruppe (der User ist logischerweise Mitglied) das lokale anmelden und den Zugriff übers Netzwerk verboten. Die OUs entsprechend ein wenig erweitert und Inhalte umsortiert.

An den Servern, auf die die GPO per OU wirkt, sind die entsprechenden Einträge lokal in der Richtlinienverwaltung auch gesetzt.
Lediglich bei dem einen Server und an dem einen PC sind die Einträge nicht vorhanden.
Also eigentlich so, wie es sein soll.

Der Haken: Zugriff auf Freigaben funktioniert trotzdem weiterhin wunderbar.

Hoffe von euch hat da einer eine Erklärung für oder weiß, wie ich das sonst realisieren kann.

Umgebung ist komplett Server 2008 R2 und Win 7.

Grüße und Danke schonmal.
Mitglied: kontext
03.07.2012, aktualisiert um 14:28 Uhr
HeyHo,

also das mit der Anmeldung an einem bestimmen PC kannst du übers AD steuern.
User - Eigenschaften - Konto - Anmelden an ..
... dort gibts du denn PC an wo sich der User anmelden kann und das wars - User kann sich nur auf dem Rechner anmelden

Und was willst du nun genau machen mit den Shares?
Der User soll sich nur auf einen Server verbinden können und auf die anderen nicht, hab ich das so richtig verstanden?

Greetz
zanko
Bitte warten ..
Mitglied: dduchardt
03.07.2012 um 14:32 Uhr
Ja.

Gibt auch einen Nachtrag. Ich hab in der GPO ja eine AD-Gruppe definiert, die das nicht können soll.
Das funktioniert trotz gpupdate und Neustart nicht.
Setze ich den Benutzer jedoch direkt in der GPO ein, dann greift die Regel.

Damit ist das Problem zwar grundsätzlich gelöst aber fürs Handling irgendwie schon blöd.
Jetzt muss man bei jedem weiteren Benutzer bei dem das gelten soll die GPO anpassen.
Anders hätte man den User nur in die AD-Gruppe packen müssen.
Bitte warten ..
Mitglied: kontext
03.07.2012 um 14:37 Uhr
HeyHo,

alles klar - dann noch ein paar Fragen:

Ist der User in der Gruppe?
Wie hast du die GPO erstellt?
Was sagt das Eventlog?
Was sagt rsop / gpresult?

Hatte früher schon mal das Problem das ich mehrere Male neu durchstarten musste ...
... Nach ein paar Neustarts hat der Client die GPO gezogen und war in der Gruppe

Greetz
Bitte warten ..
Mitglied: Penny.Cilin
03.07.2012, aktualisiert um 14:41 Uhr
Bzgl. der Anmeldung an genau einem PC/Workstation kann man dies im Benutzerkonto im Reiter "Account" unter dem Buttom "Logon To angeben"

In dem folgenden Dialog gibt man die Arbeitsstation an, an welcher sich ein benutzer anmelden kann. Hier kann man auch die Anmeldezeiten einschränken.

[edit] zu spät.
Bitte warten ..
Mitglied: Chonta
03.07.2012 um 14:59 Uhr
Hallo,

du Musst den benutzer in eine extra Gruppe bringen und dieser Gruppe bei allen Freigaben das Leserecht verweigern.
Anmelderechte haben nichts mit Freigaberechten zu tun.

Denk daran, die Gruppenmitgleidschaft wird für einen Benutzer im Ticket immer erst bei einer Neuanmeldung gesetzt!
Dh wird der benutzer Mitglied einer Gruppe ist aber angemeldet und meldet sich nicht neu an, hat er von dort wo er angemeldet ist so Zugriff, als wäre er nicht in der Gruppe.

Gruß

Chonta
Bitte warten ..
Mitglied: dduchardt
03.07.2012 um 15:06 Uhr
Eigentlich war das alles 0815.
RDP aufn PDC, dort die Gruppe in Benutzer & Computer angelegt, den Gruppenrichtlinieneditor geöffnet und eine neue Richtlinie angelegt (noch nicht verknüpft).
Dort die Einträge gesetzt für "Lokal anmelden verweigern" und "Zugriff vom Netzwerk auf diesen Computer verweigern" für die eben erzeugt Gruppe.
Dann ein wenig OUs geschubst und ein paar Server verschoben damit es vom "Wirkungskreis" her passt.
Anschließend die Richtlinie mit den OUs verknüpft in denen die Server liegen, auf die sie wirken soll (4 Stk).
Dann 5 Minuten gewartet fürs replizieren und dann Client und Server mit gpupdate aktualisiert.
Als das nicht ging hab ich neu gestartet und als das auch nix geholfen hat, hab ich überprüft ob in der lokalen Richtlinienverwaltung auch das Richtige drin steht.
Da das aber alles passte war ich dann doch etwas ratlos.

Als ich den ersten Beitrag getippt habe bin ich auf die Idee mit der Gruppe gekommen und hab dann die Gruppe aus der Richtlinie rausgenommen und stattdessen den User direkt eingetragen.
Seitdem greift das (gpupdate schickte).

gpresult hab ich natürlich auch gecheckt. Er meldet auf einem betroffenen Server, dass die GPO genommen wird (is auch klar, da die lokale Richtlinie ja verändert ist).
Auf dem Client sagt er, dass der User in der entsprechenden Gruppe ist.

Eventlog auf dem Client ist soweit clean. Keine Fehler vom gpupdate oder sowas. Auf dem Server steht auch nix verdächtiges drin.
Bitte warten ..
Ähnliche Inhalte
Windows Server
AD Bestimmten Benutzer (Hilfsadmin) nur Zugriff auf eine OU geben
Frage von conym18Windows Server1 Kommentar

Hallo, wir haben eine AD mit unterschiedlichen Standorten und dadurch unterschiedlichen OUs. Nun soll ein Benutzer erhöhte AD "Bearbeitungsrechte" ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer
gelöst Frage von JulianOhmWindows Server4 Kommentare

Hallo, ich suche eine Möglichkeit einen Benutzer im AD anzulegen, der Zugriff auf die AD Benutzer hat. Er soll ...

Windows Server
SBS2011 Benutzer nicht im AD SBSUsers
Frage von helmuthelmut2000Windows Server1 Kommentar

Hallo, Ich habe folgendes Problem, An einem SBS2011 wurden ca. 15 Benutzer nicht über die SBS-Konsole angelegt sondern über ...

Windows Userverwaltung
AD wie mit lokalen Benutzern umgehen
Frage von geocastWindows Userverwaltung14 Kommentare

Guten Morgen zusammen Ich wollte mal fragen, wie ihr damit Umgeht und zwar, wenn man einen PC vorbereitet für ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 3 TagenWebbrowser7 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 3 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...