Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Domänenbenutzern die Anmeldung an Arbeitsplätzen verbieten (über GPO)

Frage Microsoft Windows Server

Mitglied: Marco-83

Marco-83 (Level 1) - Jetzt verbinden

10.12.2010 um 16:55 Uhr, 32435 Aufrufe, 7 Kommentare

Domänenbenutzern einer bestimmten OU oder Gruppe die Anmeldung an Arbeitsplätzen verbieten

Hallo zusammen,

Ich habe vor einiger Zeit eine Frage zu dem Thema, wie man einem Benutzer, den es im Active directory gibt die Anmeldung an Arbeitsplatz PC's in der Domäne verbietet. Es gab auch div. Anregungen und Vorschläge, jedoch zeigten diese keine Wirkung. Vielleicht hab ich es beim letzten mal auch nicht verständlich genug geschrieben.

Kurze Beschreibung: Es handelt sich um eine Windows Server 2008 R2 Umgebung. Wir verwalten unseren lokalen Domänen Benutzer + Benutzer die von extern über LDAP abgefragt werden

Unsere Domänen Benutzer befinden sich z.B. in der OU IT, Projektleiter, Geschäftsführer, o.ä Über dieses Modell werden die Berechtigungen intern abgehandelt.

Zusätzlich gibt es eine OU Extranet. In dieser befinden sich Benutzer, die auf unsere externen Anwendungen wie z.B. Bugtracker, Foren usw Zugriff haben. Um eine Zentrale Benutzerverwaltung zu bekommen, Pflegen wir alles im AD. Diese Benutzer bekommen bestimmte Gruppen zugewiesen, welche von den anderen Anwendungen ausgewertet werden.

Soweit so gut. Funktioniert auch alles Super

Was mir an der Situation nicht gefällt:

Die Benutzer, die sich in der OU Extranet befinden,haben auch das Recht sich lokal in unserer Domäne an jedem Arbeitsplatz anzumelden. Natürlich kommen sie nicht auf Freigaben am Server aber trotzdem stört es mich.

Über jeglichen Ansatz einer Lösung wäre ich dankbar

P.S

Ich habe schon Gruppenrichtlinien Objekte gebaut, in denen die lokale Anmeldung verweigert wird usw. usw. Wirkt aber alles nicht. Ist ja auch eigentlich keine lokale Anmeldung, die ich da untersagen möchte, sondern eine Domänen Anmeldung ;)
Mitglied: n4426
10.12.2010 um 17:06 Uhr
Hi Marco,

wenn es dich nicht stört, alle User der OU Extranet in eine weitere Gruppe hinzuzufügen (z.B. GRP_ComLokaleAnmeldungVerweigern). Dann kannst du über die GPOs diese Gruppe das Recht zur Lokalen Anmeldung verweigern.

Beachte allerdings, das du die GPO nicht auf die OU Extranet legen darfst, sondern auf die OU in der die Computer sind oder eben auf die Gesamte Domain. Es muss auch in den Computervorgaben und nicht in den Bentztervorgaben eingestellt werden.

mfg
andi
Bitte warten ..
Mitglied: Xaero1982
10.12.2010 um 20:56 Uhr
Moin,

wie wäre es denn mit:

Active Directory-Benutzer und -Computer öffnen

Such dir das entsprechende Benutzerkonto (geht nicht mit Gruppen)

Dann auf Eigenschaften.
Im Register Konto auf "Anmelden an..."

Da legst du dann die entsprechenden Rechner fest an denen sie sich anmelden dürfen ...

http://technet.microsoft.com/de-de/library/cc740199(WS.10).aspx

VG
Bitte warten ..
Mitglied: AlbertMinrich
10.12.2010 um 21:33 Uhr
möglich wäre auch ein Loginscript, dass den Benutzer sofort wieder abmeldet.
Bitte warten ..
Mitglied: Marco-83
13.12.2010 um 12:02 Uhr
Hi,

so jetzt hatte ich am Wochenende ein bisschen Zeit, um etwas zu testen.

@n4426 Die Lösung klingt gut. So hatte ich es auch versucht, nur wenn ich mir die Auswertung der Gruppenrichtlinie auf dem Client ansehe (rsop.msc) dann wirkt diese nicht. Steht auf nicht definiert
Ich habe die Richtlinie einfach testweise aus die Gesamte Domäne angewendet, und die Benutzer in die entsprechende Gruppe gelegt. Leider geht es nicht.


@Xaero1982

Das habe ich in der Vergangenheit auch schon versucht. Funktioniert auch ;) jedoch müsste ich dann mehrere 100 Konten anpassen ;( Oder eben scripten, falls möglich

@AlbertMinrich

Login Scripte gibt es bei uns auch schon zahlreiche, die müsste ich anpassen. Aber am liebsten wäre es mir wirklich über die Variante von n4426.
Bitte warten ..
Mitglied: n4426
13.12.2010 um 16:51 Uhr
Hi Marco,

ich hab jetzt nochmal bei mir nachgeschaut. Ich hab das damals in der "Default Domain Policy" definiert und bei mir funktionierts auch wunderbar.

Definier die Rechte mal in der Default Domain Policy unter
Computerkonfiguratin -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Sicherheitsrichtlinien -> Zuweisen von Benutzerrechten -> Lokal anmelden verweigern

mfg
n4426
Bitte warten ..
Mitglied: Marco-83
14.12.2010 um 17:04 Uhr
Hey,

Du hattest Recht. Genau so funktioniert es. Hast Du da eine Erklärung zu ;) ? Ich grad nicht.

Denke für den Hinweis
Bitte warten ..
Mitglied: n4426
14.12.2010 um 20:30 Uhr
Hi,

warum das so ist, weiß ich auch nicht. Ich meine aber gelesen zu haben, dass es ab einer Windows Server 2008-Domain auch möglich sein sollte es nicht in der Default Domain Policy festzulegen. Habs aber nicht ausprobiert (arbeite noch mit 2003 R2).

mfg
andi
Bitte warten ..
Ähnliche Inhalte
Windows Server
Keine Laufwerke unter Arbeitsplatz - GPO Problem
gelöst Frage von CoscosWindows Server8 Kommentare

Hallo, normalerweise ist es eine Kleinigkeit, aber nun stehe ich auf dem Schlauch. Umgebung: AD, 2008R2, WIN7 Clients Problem: ...

Windows Netzwerk
USB über GPO verbieten
gelöst Frage von SpeakerSTWindows Netzwerk15 Kommentare

Hallo, ich denke das dieses Thema schon oft durchgekaut wurde, leider nicht so wie ich es brauche. Wir haben ...

Windows Server
Anmeldung als Gast an Clients verbieten
gelöst Frage von tobivanWindows Server4 Kommentare

Hallo, gibt es eine Möglichkeit, per Skript oder GPO, die Anmeldung als "Gast" an den Clients zu verbieten (Windows ...

Windows Server
Gpo Software installation verbieten
gelöst Frage von nullpeilerWindows Server11 Kommentare

Hallo Admins, ich test gerade GPOs und ihre Auswirkungen. Gesetz des falles alle User haben an einem Client lokale ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 2 StundenInternet1 Kommentar

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 9 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 20 StundenWindows 103 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 22 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless15 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...