10
AD: Lokale Anmeldung verbieten aber Freigabe mounten zulassen
Hallo zusammen,
folgendes Szenario:
Wir möchten in unserem AD einem Benutzer das lokale Anmelden an allen Windows-Rechnern verbieten. Dennoch soll es möglich sein, sich von einem anderen angemeldeten Benutzerkonto aus, eine Freigabe unter Angabe des gesperrten Benutzers zu mounten.
Leider ist das nicht möglich. Sobald die lokale Anmeldung an einer Maschine für jemanden gesperrt ist, kann er offenbar auch keine Ressourcen auf diesem oder einem anderen Rechner nutzen.
Ist das Problem verständlich? Also Benutzer X für lokale Anmeldung gesperrt - Benutzer Y meldet sich an und mountet \\server\freigabe als Benutzer X ==> verboten
Wie würdet ihr das lösen wollen?
Beste Grüße
Hubert
folgendes Szenario:
Wir möchten in unserem AD einem Benutzer das lokale Anmelden an allen Windows-Rechnern verbieten. Dennoch soll es möglich sein, sich von einem anderen angemeldeten Benutzerkonto aus, eine Freigabe unter Angabe des gesperrten Benutzers zu mounten.
Leider ist das nicht möglich. Sobald die lokale Anmeldung an einer Maschine für jemanden gesperrt ist, kann er offenbar auch keine Ressourcen auf diesem oder einem anderen Rechner nutzen.
Ist das Problem verständlich? Also Benutzer X für lokale Anmeldung gesperrt - Benutzer Y meldet sich an und mountet \\server\freigabe als Benutzer X ==> verboten
Wie würdet ihr das lösen wollen?
Beste Grüße
Hubert
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 308325
Url: https://administrator.de/contentid/308325
Printed on: April 20, 2024 at 00:04 o'clock
10 Comments
Latest comment
Hi,
Du hast die lokale Anmeldung über die lokale Sicherheitsrichtlinine verweigert, richtig? (oder per GPO gesetzt)
Es war mir bisher auch nicht bewusst, aber es kann hut sein, dass des dann auch nicht mit dem Verbinden von Netzlaufwerken unter diesem anderen Benutzer funktioniert.
Falls der "andere" Benutzer sich generell nicht interaktiv anmelden dürfen soll oder nur an wenigen Computern, dann könntest Du den Weg über das Benutzerobjekt versuchen. Dort kann man angeben, an welchen Computern sich der Benutzer anmelden darf.
Aber ein Frage: Warum dieses Konstrukt? Warum nicht einfach dem Benutzer Y die entsprechende Berechtigungen erteilen wie sie offenbar der Benutzer X hat?
E.
Du hast die lokale Anmeldung über die lokale Sicherheitsrichtlinine verweigert, richtig? (oder per GPO gesetzt)
Es war mir bisher auch nicht bewusst, aber es kann hut sein, dass des dann auch nicht mit dem Verbinden von Netzlaufwerken unter diesem anderen Benutzer funktioniert.
Falls der "andere" Benutzer sich generell nicht interaktiv anmelden dürfen soll oder nur an wenigen Computern, dann könntest Du den Weg über das Benutzerobjekt versuchen. Dort kann man angeben, an welchen Computern sich der Benutzer anmelden darf.
Aber ein Frage: Warum dieses Konstrukt? Warum nicht einfach dem Benutzer Y die entsprechende Berechtigungen erteilen wie sie offenbar der Benutzer X hat?
E.
Hallo,
wo ist denn da bitte der Sinn wenn sich ein Benutzer nicht anmelden darf aber es mit einem andeen benutzerkonto (für das er die Zugangsdaten hat?) wieder anmelden kann?
Wie hast Du das mit dem nicht anmelden bitte umgesetzt?
Bei einem DC darf sich ein normaler Benutzer auch nicht anmelden, weil die Lokale Anmeldung ist für alle nicht Domänen-Administratoren nicht möglich, aber auf die Freigaben darf jeder Zugreifen.
Das Mounten von Freigaben in anderem Benutzerkontext ist übrigens nicht so ohneweiteres machbar, vor allem wenn zu dem Server schon Verbindungen im Benutzerkontext des angemeldeten Benutzers bestehen.
Sprich eine Verbindung zu einer Serverresource kann/soll immer nur im Benutzerkontext des angemeldeten Benutzers erfolgen.
Gruß
Chonta
wo ist denn da bitte der Sinn wenn sich ein Benutzer nicht anmelden darf aber es mit einem andeen benutzerkonto (für das er die Zugangsdaten hat?) wieder anmelden kann?
Wie hast Du das mit dem nicht anmelden bitte umgesetzt?
Bei einem DC darf sich ein normaler Benutzer auch nicht anmelden, weil die Lokale Anmeldung ist für alle nicht Domänen-Administratoren nicht möglich, aber auf die Freigaben darf jeder Zugreifen.
Das Mounten von Freigaben in anderem Benutzerkontext ist übrigens nicht so ohneweiteres machbar, vor allem wenn zu dem Server schon Verbindungen im Benutzerkontext des angemeldeten Benutzers bestehen.
Sprich eine Verbindung zu einer Serverresource kann/soll immer nur im Benutzerkontext des angemeldeten Benutzers erfolgen.
Gruß
Chonta
Das Mounten von Freigaben in anderem Benutzerkontext ist übrigens nicht so ohneweiteres machbar, vor allem wenn zu dem Server schon Verbindungen im Benutzerkontext des angemeldeten Benutzers bestehen.
Vollkommen richtig! Das habe ich gar nicht bedacht ...
zunächst mal Danke für eure Antworten.
Der Benutzer kommt von extern und soll nur seine eigene Hardware benutzen dürfen. Oder der Zugriff erfolgt von einem Linux aus udn wir wollen keine Anmeldung an unseren Maschinen erlauben.
Die lokale Anmeldung haben wir am Benutzeraccount direkt verboten, indem wir nur die Anmeldung an einem nicht existierendem Rechner erlaubt haben.
Der Hinweis mit den ACL ist sicher gut gemeint, aber was soll ich denn da umsetzen genau?
Beste Grüße
Hubert
Der Benutzer kommt von extern und soll nur seine eigene Hardware benutzen dürfen. Oder der Zugriff erfolgt von einem Linux aus udn wir wollen keine Anmeldung an unseren Maschinen erlauben.
Die lokale Anmeldung haben wir am Benutzeraccount direkt verboten, indem wir nur die Anmeldung an einem nicht existierendem Rechner erlaubt haben.
Der Hinweis mit den ACL ist sicher gut gemeint, aber was soll ich denn da umsetzen genau?
Beste Grüße
Hubert
Noch mal zu Kontrolle:
- Externer Benutzer mit eigenem Computer.
- Dieser Computer ist nicht Mitglied in Eurer Domäne, richtig? Falls ja, dann kann sich der AD-Benutzer gar nicht lokal anmelden. Falls nein, wieso dann Mitglied?
- Der externe Benutzer ist mit einem lokalen Konto am Computer angemeldet?
Ich glaube so langsam verstehe ich.
Der Typ kommt da nach dem BYOD-Prinzip in die Firma. Der soll dann wohl auf eine bestimmte Freigabe in dem Netzwerk zugreifen können. Dafür müsste in dem AD ein Benutzer angelegt werden. Damit dieser Typ sich aber nicht an einem beliebigen Rechner der Firma mit seinen Zugangsdaten anmelden kann, versuch der TO das Lokal Anmelden zu verbieten. Habe ich das soweit richtig verstanden?
Krämer
Der Typ kommt da nach dem BYOD-Prinzip in die Firma. Der soll dann wohl auf eine bestimmte Freigabe in dem Netzwerk zugreifen können. Dafür müsste in dem AD ein Benutzer angelegt werden. Damit dieser Typ sich aber nicht an einem beliebigen Rechner der Firma mit seinen Zugangsdaten anmelden kann, versuch der TO das Lokal Anmelden zu verbieten. Habe ich das soweit richtig verstanden?
Krämer
Hallo,
Dan das bitte entfernen.
Einen AD User anlegen und eine Gruppe anlegen in der der Benutzer drin ist. Die Gruppe dan bei den Freigaben/NTFS hinterlegen wo Zugriff benötigt wird.
Ein GPO anlegen das auf alle Computer wirkt.
Das GPO in diesem GPO wird derBenutzergruppe die Lokale anmeldung verweigern (Sicherheut/lokale Richtlinie/zuweisen von Benutzerrechten.
Alternativ entferne den Benutzer aus den Domänenbenutzern und erlaube nur den Domänenbenutzern die lokale Anmledung an den Computern der Dopmäne, falls die Verweigerung zuweit geht.
Dann sollte der Zugriff auf Freigaben dennoch funktionieren.
Gruß
Chonta
PS: Schau in der Deffault Domaincontroller Policy nach wies eingestellt ist. Die neue GPO darf nur auf die Computer/Server der Domäne wirken, nicht auf die DC, also nicht mit der Domäne verknüpfen.
Der Benutzer kommt von extern und soll nur seine eigene Hardware benutzen dürfen.
Ok danke für die Info, das ist wichtig.Oder der Zugriff erfolgt von einem Linux aus udn wir wollen keine Anmeldung an unseren Maschinen erlauben.
Das ist aber blöd weil ohne Anmeldung kein Zugriff auf die FreigabenDie lokale Anmeldung haben wir am Benutzeraccount direkt verboten, indem wir nur die Anmeldung an einem nicht existierendem Rechner erlaubt haben.
Dan das bitte entfernen.
Einen AD User anlegen und eine Gruppe anlegen in der der Benutzer drin ist. Die Gruppe dan bei den Freigaben/NTFS hinterlegen wo Zugriff benötigt wird.
Ein GPO anlegen das auf alle Computer wirkt.
Das GPO in diesem GPO wird derBenutzergruppe die Lokale anmeldung verweigern (Sicherheut/lokale Richtlinie/zuweisen von Benutzerrechten.
Alternativ entferne den Benutzer aus den Domänenbenutzern und erlaube nur den Domänenbenutzern die lokale Anmledung an den Computern der Dopmäne, falls die Verweigerung zuweit geht.
Dann sollte der Zugriff auf Freigaben dennoch funktionieren.
Gruß
Chonta
PS: Schau in der Deffault Domaincontroller Policy nach wies eingestellt ist. Die neue GPO darf nur auf die Computer/Server der Domäne wirken, nicht auf die DC, also nicht mit der Domäne verknüpfen.
Alternativ entferne den Benutzer aus den Domänenbenutzern
Hinweis: Das geht nicht so einfach. Dem Benutzer muss vorher eine andere Gruppe als seine Primär-Gruppe festgelegt werden. Erst dann kann man ihn aus den Domänen-Benutzern entfernen.
Vielen Dank für die Vorschläge,
wir werden versuchen das umzusetzen. Ich berichte an dieser Stelle...
lg
Hubert
wir werden versuchen das umzusetzen. Ich berichte an dieser Stelle...
lg
Hubert
