Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domain Anmeldung erzwingen

Frage Microsoft Windows Server

Mitglied: Lotus75

Lotus75 (Level 1) - Jetzt verbinden

06.12.2007, aktualisiert 07.12.2007, 8923 Aufrufe, 2 Kommentare

Hallo liebe Administratorengemeinde

Ich stehe kurz vor meiner ersten Installation eines Domain Controllers und habe einen alten PC als Windows Server 2003 zu Testzwecken eingerichtet. Dabei stellen sich bei meiner Testinstallation folgende Fragen:

Bei uns in der Firma sind sehr viele Berater tätig, die mit ihrem persönlichen Laptop in der Firma arbeiten wollen und irgendwie in das Netzwerk eingebunden werden müssen. Wie kann ich das am besten tun? Ich habe gemerkt, dass Active Directory-Benuter auch ohne Domain Anmeldung Zugriff auf den Server haben, indem sie einfach sich lokal anmelden und beim Zugreiffen auf den Server (z.B. über die IP-Adresse) einfach ihre Benutzername und ihr Passwort angeben.
Kann ich das irgendwie verbieten? So dass sie sich gezwungenermassen an die Domain anmelden müssen?

Kann ich bei diesen "lokal angemeldeten Benutzern" auch irgendwie erzwingen, dass sie das Passwort sporadisch ändern müssen? Wenn ich nämlich in den Eigenschaften vom Benutzer auf dem Server angebe "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" kann er sich gar nicht mehr anmelden.

Vielen Dank für Eure Hilfe.
Mitglied: datasearch
07.12.2007 um 01:18 Uhr
Bei uns in der Firma sind sehr viele Berater tätig, die mit ihrem persönlichen Laptop in der Firma arbeiten wollen und irgendwie in das Netzwerk eingebunden werden müssen. Wie kann ich das am besten tun?

Zwischngespeicherte Anmeldungen ermöglichen den Beratern sich auch ohne verbindung zu einem DC am Laptop unter verwendung des Domänen-logons anzumelden. Das kannst du mit einem GPO auf die OU mit den Computerkonten der Berater erledigen.

Ich habe gemerkt, dass Active Directory-Benuter auch ohne Domain Anmeldung Zugriff auf den Server haben, indem sie einfach sich lokal anmelden und beim Zugreiffen auf den Server (z.B. über die IP-Adresse) einfach ihre Benutzername und ihr Passwort angeben.
Kann ich das irgendwie verbieten? So dass sie sich gezwungenermassen an die Domain anmelden müssen?

Nur teilweise indem du das Sicherheitslevel auf den Fileservern änderst. Eine weiteres GPO auf die OU mit den Fileservern kann das erledigen. Ganz sicher lässt sich das aber nur mit Gruppen verhindern. Zb. zugriff vom Netzwerk auf diesen Computer zulassen -> Domänen-Computer ...

Kann ich bei diesen "lokal angemeldeten Benutzern" auch irgendwie erzwingen, dass sie das Passwort sporadisch ändern müssen? Wenn ich nämlich in den Eigenschaften vom Benutzer auf dem Server angebe "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" kann er sich gar nicht mehr anmelden.

Wenn die Computer in der Domäne sind, greifen die GPO-Einstellungen zur Kennwortsicherheit. Ansonsten musst du eine Sicherheitsvorlage erstellen und per Hand auf die Computer anwenden.

Die Einstellung kann nur noch durch die Option "Benutzer kann kennwort nicht ändern" und "läuft nie ab" umgangen werden. Dazu muss der MA aber Admin auf dem System sein.
Bitte warten ..
Mitglied: Lotus75
07.12.2007 um 08:29 Uhr
>Zwischngespeicherte Anmeldungen ermöglichen den Beratern sich auch ohne verbindung zu einem DC am Laptop unter verwendung des Domänen-logons anzumelden. Das kannst du mit einem GPO auf die OU mit den Computerkonten der Berater erledigen.

Was genau ist eine zwischengespeicherte Anmeldung? Ist dann das Benutzerprofil auch auf dem Server?

>Nur teilweise indem du das Sicherheitslevel auf den Fileservern änderst. Eine weiteres GPO auf die OU mit den Fileservern kann das erledigen. Ganz sicher lässt sich das aber nur mit Gruppen verhindern. Zb. zugriff vom Netzwerk auf diesen Computer zulassen -> Domänen-Computer ...

Muss ich das auf jedem Fileserver machen, oder reicht diese GPO auf dem DC?

>Wenn die Computer in der Domäne sind, greifen die GPO-Einstellungen zur Kennwortsicherheit. Ansonsten musst du eine Sicherheitsvorlage erstellen und per Hand auf die Computer anwenden. Die Einstellung kann nur noch durch die Option "Benutzer kann kennwort nicht ändern" und "läuft nie ab" umgangen werden. Dazu muss der MA aber Admin auf dem System sein.

Wo genau muss ich "Benutzer kann kennwort nicht ändern" einstellen? Müsste dann ja irgendwo lokal sein. Aber eigentlich will ich ja genau das gegenteil. Ich will dass auch diese Benutzer das Passwort (von ihrem Konto auf dem DC) alle 30 Tage oder so ändern müssen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Inhalt aus alter Domain in neue ohne vertrauensstellung (2)

Frage von red-ed zum Thema Windows Server ...

Windows 10
Anmeldung im Windows Store funktioniert nicht mehr (2)

Frage von Desert-Igel zum Thema Windows 10 ...

Windows Userverwaltung
Gleiches Benutzerprofil für alle Domain-User auf einem Rechner (4)

Frage von Micky65 zum Thema Windows Userverwaltung ...

Internet Domänen
gelöst Domain Leitet nicht an angegebene IP Weiter - Was kann ich tuen? (18)

Frage von Interception zum Thema Internet Domänen ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (52)

Frage von sabines zum Thema Internet ...

Netzwerke
LAN2LAN Verbindung sehr langsam flaschenhals gesucht (27)

Frage von PixL86 zum Thema Netzwerke ...

Router & Routing
PFsense - Netzverbindung steht, aber kein Internet vorhanden (24)

Frage von aschmid zum Thema Router & Routing ...

Windows Server
gelöst Windows 2016 Hyper-V und VHDS (19)

Frage von emeriks zum Thema Windows Server ...