Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domain Anmeldung erzwingen

Frage Microsoft Windows Server

Mitglied: Lotus75

Lotus75 (Level 1) - Jetzt verbinden

06.12.2007, aktualisiert 07.12.2007, 8880 Aufrufe, 2 Kommentare

Hallo liebe Administratorengemeinde

Ich stehe kurz vor meiner ersten Installation eines Domain Controllers und habe einen alten PC als Windows Server 2003 zu Testzwecken eingerichtet. Dabei stellen sich bei meiner Testinstallation folgende Fragen:

Bei uns in der Firma sind sehr viele Berater tätig, die mit ihrem persönlichen Laptop in der Firma arbeiten wollen und irgendwie in das Netzwerk eingebunden werden müssen. Wie kann ich das am besten tun? Ich habe gemerkt, dass Active Directory-Benuter auch ohne Domain Anmeldung Zugriff auf den Server haben, indem sie einfach sich lokal anmelden und beim Zugreiffen auf den Server (z.B. über die IP-Adresse) einfach ihre Benutzername und ihr Passwort angeben.
Kann ich das irgendwie verbieten? So dass sie sich gezwungenermassen an die Domain anmelden müssen?

Kann ich bei diesen "lokal angemeldeten Benutzern" auch irgendwie erzwingen, dass sie das Passwort sporadisch ändern müssen? Wenn ich nämlich in den Eigenschaften vom Benutzer auf dem Server angebe "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" kann er sich gar nicht mehr anmelden.

Vielen Dank für Eure Hilfe.
Mitglied: datasearch
07.12.2007 um 01:18 Uhr
Bei uns in der Firma sind sehr viele Berater tätig, die mit ihrem persönlichen Laptop in der Firma arbeiten wollen und irgendwie in das Netzwerk eingebunden werden müssen. Wie kann ich das am besten tun?

Zwischngespeicherte Anmeldungen ermöglichen den Beratern sich auch ohne verbindung zu einem DC am Laptop unter verwendung des Domänen-logons anzumelden. Das kannst du mit einem GPO auf die OU mit den Computerkonten der Berater erledigen.

Ich habe gemerkt, dass Active Directory-Benuter auch ohne Domain Anmeldung Zugriff auf den Server haben, indem sie einfach sich lokal anmelden und beim Zugreiffen auf den Server (z.B. über die IP-Adresse) einfach ihre Benutzername und ihr Passwort angeben.
Kann ich das irgendwie verbieten? So dass sie sich gezwungenermassen an die Domain anmelden müssen?

Nur teilweise indem du das Sicherheitslevel auf den Fileservern änderst. Eine weiteres GPO auf die OU mit den Fileservern kann das erledigen. Ganz sicher lässt sich das aber nur mit Gruppen verhindern. Zb. zugriff vom Netzwerk auf diesen Computer zulassen -> Domänen-Computer ...

Kann ich bei diesen "lokal angemeldeten Benutzern" auch irgendwie erzwingen, dass sie das Passwort sporadisch ändern müssen? Wenn ich nämlich in den Eigenschaften vom Benutzer auf dem Server angebe "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" kann er sich gar nicht mehr anmelden.

Wenn die Computer in der Domäne sind, greifen die GPO-Einstellungen zur Kennwortsicherheit. Ansonsten musst du eine Sicherheitsvorlage erstellen und per Hand auf die Computer anwenden.

Die Einstellung kann nur noch durch die Option "Benutzer kann kennwort nicht ändern" und "läuft nie ab" umgangen werden. Dazu muss der MA aber Admin auf dem System sein.
Bitte warten ..
Mitglied: Lotus75
07.12.2007 um 08:29 Uhr
>Zwischngespeicherte Anmeldungen ermöglichen den Beratern sich auch ohne verbindung zu einem DC am Laptop unter verwendung des Domänen-logons anzumelden. Das kannst du mit einem GPO auf die OU mit den Computerkonten der Berater erledigen.

Was genau ist eine zwischengespeicherte Anmeldung? Ist dann das Benutzerprofil auch auf dem Server?

>Nur teilweise indem du das Sicherheitslevel auf den Fileservern änderst. Eine weiteres GPO auf die OU mit den Fileservern kann das erledigen. Ganz sicher lässt sich das aber nur mit Gruppen verhindern. Zb. zugriff vom Netzwerk auf diesen Computer zulassen -> Domänen-Computer ...

Muss ich das auf jedem Fileserver machen, oder reicht diese GPO auf dem DC?

>Wenn die Computer in der Domäne sind, greifen die GPO-Einstellungen zur Kennwortsicherheit. Ansonsten musst du eine Sicherheitsvorlage erstellen und per Hand auf die Computer anwenden. Die Einstellung kann nur noch durch die Option "Benutzer kann kennwort nicht ändern" und "läuft nie ab" umgangen werden. Dazu muss der MA aber Admin auf dem System sein.

Wo genau muss ich "Benutzer kann kennwort nicht ändern" einstellen? Müsste dann ja irgendwo lokal sein. Aber eigentlich will ich ja genau das gegenteil. Ich will dass auch diese Benutzer das Passwort (von ihrem Konto auf dem DC) alle 30 Tage oder so ändern müssen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
UnKnown nicht gefunden: Non-existent domain (6)

Frage von m8ichael zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2016 Installation und die Domain Funktionsebene (1)

Frage von RobertMC zum Thema Exchange Server ...

Exchange Server
gelöst Autodiscover bei halb interner - halb externer Domain (13)

Frage von invernesscream zum Thema Exchange Server ...

Windows Server
Message of the Day bei Anmeldung am Terminalserver (1)

Frage von CptMult zum Thema Windows Server ...

Neue Wissensbeiträge
Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(2)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Heiß diskutierte Inhalte
Exchange Server
Exchange 2016 Standard Server 2012 R2 Hetzner Mail (36)

Frage von Datsspeed zum Thema Exchange Server ...

Windows 7
gelöst Lokales Adminprofil defekt (25)

Frage von Yannosch zum Thema Windows 7 ...

Windows 10
Windows Store Apps ohne Windows Store installieren (10)

Frage von keefien zum Thema Windows 10 ...

Internet Domänen
Nameserver ein Geist? (9)

Frage von zelamedia zum Thema Internet Domänen ...