Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Nur bestimmte User in der Domäne an einem PC anmelden

Frage Microsoft Windows Userverwaltung

Mitglied: TiTux

TiTux (Level 2) - Jetzt verbinden

04.02.2008, aktualisiert 28.04.2008, 23976 Aufrufe, 12 Kommentare

Servus,

es gibt einen DC in einem Windows 2003 Server Netzwerk. Dort hängt unter anderem ein PC drin, an dem sich nur 4 Benutzer mit Ihren
Konten anmelden dürfen.

Kann ich das nur über die Lokale Sicherheitsrichtlinie am PC selber definieren oder klappt das auch übers Active Directory,
was natürlich Pflicht sein sollte?!

Habe diesbezüglich nichts gefunden.

Gruß
Rainer
Mitglied: Supaman
04.02.2008 um 10:44 Uhr
soweit ich weis, kann man direkt im AD userkonto die pcs raussuchen, an denen sie sich anmelden können, sogar mit zeitbereich z.b. 8-18h.
Bitte warten ..
Mitglied: kolli01
04.02.2008 um 11:04 Uhr
soweit ich weis, kann man direkt im AD
userkonto die pcs raussuchen, an denen sie
sich anmelden können, sogar mit
zeitbereich z.b. 8-18h.

So werden aber nur die Benutzer mit der entsprechenden Eintragung im Userprofil eingeschränkt und ändert nicht daran, daß sich andere Benutzer trotzdem an der Arbeitsstation anmelden können.
Bitte warten ..
Mitglied: TiTux
04.02.2008 um 11:46 Uhr
Yep, dass bringt mir leider nichts. Damit kann ich nur sagen, dass sich ein bestimmter Benutzer nur an bestimmten Rechnern anmelden darf.

Ich möchte das nicht auf Benutzer-Konto Ebene definieren, sondern auf Rechner Ebene.
Bitte warten ..
Mitglied: Enki
04.02.2008 um 12:01 Uhr
Die Einstellung ist nur über den User möglich, aber wenn es dir darum gehen sollte möglichst einfach einige user diversen PCs zuzuordnen, kannst du ja mit multiselect arbeiten.
z.B. 10 User markieren, eigenschaften => Konto => Computerbeschränkungen

Komme so eigentlich recht gut klar.

Mit freundlichen Grüßen

Enki
Bitte warten ..
Mitglied: Dani
04.02.2008 um 12:08 Uhr
Hallo Rainer,
du wirst doch sicher ein Logonscript (Benutzerebene) haben, dass auf jedem Rechner ausgeführt wird.

Somit könntest du folgendes machen:
01.
@echo off 
02.
..... 
03.
if /i "%computername%" == "test" ( 
04.
 
05.
if not "%username" == "carsten.mueller" shutdown -a -t 00 
06.
if not "%username" == "sandra.bogendühler" shutdown -a -t 00 
07.
if not "%username" == "christian.schwerter" shutdown -a -t 00 
08.
if not "%username" == "carsten.mueller" shutdown -a -t 00 
09.
)
Er kann sich zwar anmelden, aber er wird sofort wieder abgemeldet.

Eine andere Lösung wären die lok. Sicherheitsrichtlinien. Sprich unter "Lokale Richtlinien" => "Zuweisen von Benutzerrechten" im Schlüssel "Lokal anmelden" kannst du definieren, wer sich an diesem Computer anmelden darf (wie schon von dir gesagt).
Das Problem ist eben, du kannst GPO's nur auf OU's legn, nicht auf Clients!


Grüße
Dani
Bitte warten ..
Mitglied: Enki
04.02.2008 um 12:19 Uhr
das ganze mit einem Script zu lösen, halte ich für eine nicht so elegante Lösung, zudem die User ja immernoch anmelden dürfen.

P.s.: bei Shutdown ist der Parameter -a zum beenden des herunterfahrens, -l ist für den logoff.
Bitte warten ..
Mitglied: TiTux
04.02.2008 um 14:08 Uhr
So wie es aussieht kommt doch nur die Lokale Sicherheitsrichtlinie für mich in Frage.

In mein Logon-Script müsste ich ja alle User eintragen, die gleich wieder abgemeldet werden
sollen, ausser den vieren, denen es erlaubt ist. Das ist keine Lösung.

Und ich verstehe noch nicht, was mir das Multiselect bringen soll, wenn ich allen Benutzern bis
auf vieren das einloggen auf einem einzelnen PC verweigern möchte.
Bitte warten ..
Mitglied: DORNI
04.02.2008 um 14:38 Uhr
????

Ok wenn ich die Frage richtig verstanden willst du das sich nur user a,b,c anmelden kann an dem Rechner und die restliche nicht.

Das ist mit Domäne das einfachste von der Welt du legst eine Gruppe an in der die User a,b,c sind.

Diesen Gruppe trägst du unter dem PC in die Lokale Gruppe User oder Power User ein und entfernst im gleichen zug da die Domain User

fertig.

P.S: wenn nur einzelne user erlaubt sein sollen kannst du die auch in den Lokalen gruppen hinterlegen was aber nicht die eleganteste Lösung ist.

CU DORNI
Bitte warten ..
Mitglied: kolli01
04.02.2008 um 14:47 Uhr
So wie es aussieht kommt doch nur die Lokale
Sicherheitsrichtlinie für mich in
Frage.

In mein Logon-Script müsste ich ja alle
User eintragen, die gleich wieder abgemeldet
werden
sollen, ausser den vieren, denen es erlaubt
ist. Das ist keine Lösung.

Und ich verstehe noch nicht, was mir das
Multiselect bringen soll, wenn ich allen
Benutzern bis
auf vieren das einloggen auf einem einzelnen
PC verweigern möchte.



Ich hab mal ein bissle rumprobiert: Das Recht "lokale Anmeldung" ist die Lösung, allerdings kannst Du diese auch per GPO verteilen. Dazu legst Du ein Richtlinienobjekt an, in dem nur das Benutzerrecht für lokale Anmeldung hinterlegt wird. Diese Einstellung enthält dann die Benutzer, welche sich an diesem PC anmelden können. Der lokale Administrator muß aber auf jeden Fall hier auch eingetragen sein. Bei der Sicherheitsfilterung stellst du ein, daß diese Richtlinie nur von dem Rechner, den Du einschränken willst, gezogen wird (alle Voreinstellungen rauswerfen). Alle anderen überlesen diese Richtlinie. Damit sind dann alle Konten, die nicht in der GPO eingetragen sind aussen vor. Einfach mal mit einem Testrechner ausprobieren. ggf. die entsprechende GPO an die erste Stelle der Vererbung setzen.


Gruß Rüdiger
Bitte warten ..
Mitglied: DORNI
04.02.2008 um 15:10 Uhr
  • Also noch mal zum mitschreiben gehe auf den ADS

  • Lege eine Gruppe an "Abteilung xy"

  • füge dieser Gruppe die 4 User zu

  • entferne auf dem Rechner unter den Gruppen "Users" und "Power Users" alle Gruppen und User

  • füge den Lokalen Gruppen "Users" und/oder "Power Users" die Domaingruppe "Abteilung xy" zu

Fertig somit können sich nur Administratoren (An der Gruppe änderst du ja nichts) und die in die Gruppe eingetragenene User anmelden.

Warum Umständlich wenns auch einfach geht.

CU DORNI
Bitte warten ..
Mitglied: kolli01
05.02.2008 um 09:05 Uhr
* Also noch mal zum mitschreiben gehe auf den
ADS

  • Lege eine Gruppe an "Abteilung
xy"

  • füge dieser Gruppe die 4 User zu

  • entferne auf dem Rechner unter den Gruppen
"Users" und "Power
Users" alle Gruppen und User

  • füge den Lokalen Gruppen
"Users" und/oder "Power
Users" die Domaingruppe "Abteilung
xy" zu

Fertig somit können sich nur
Administratoren (An der Gruppe änderst
du ja nichts) und die in die Gruppe
eingetragenene User anmelden.

Warum Umständlich wenns auch einfach
geht.

CU DORNI

Hi Dorni,

klar, geht so auch. Heißt aber auch, daß ich so einen Teil direkt am Rechner machen muß. Was ist aber, wenn es z.B. die Rechner einer ganzen Abteilung sind (z.b. Buchhaltung, Personalwesen etc) oder irgendwas geändert werden soll? Dann bietet sich imho die Verteilung per GPO geradezu an.

Gruß Rüdiger
Bitte warten ..
Mitglied: TiTux
28.04.2008 um 16:27 Uhr
Sorry,

dass ich mich erst jetzt gemeldet habe.

Danke für die Tipps und Lösungsvorschläge. Super!

Gruß
Rainer
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...