Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domain Anmeldung erzwingen

Frage Microsoft Windows Server

Mitglied: Lotus75

Lotus75 (Level 1) - Jetzt verbinden

06.12.2007, aktualisiert 07.12.2007, 8790 Aufrufe, 2 Kommentare

Hallo liebe Administratorengemeinde

Ich stehe kurz vor meiner ersten Installation eines Domain Controllers und habe einen alten PC als Windows Server 2003 zu Testzwecken eingerichtet. Dabei stellen sich bei meiner Testinstallation folgende Fragen:

Bei uns in der Firma sind sehr viele Berater tätig, die mit ihrem persönlichen Laptop in der Firma arbeiten wollen und irgendwie in das Netzwerk eingebunden werden müssen. Wie kann ich das am besten tun? Ich habe gemerkt, dass Active Directory-Benuter auch ohne Domain Anmeldung Zugriff auf den Server haben, indem sie einfach sich lokal anmelden und beim Zugreiffen auf den Server (z.B. über die IP-Adresse) einfach ihre Benutzername und ihr Passwort angeben.
Kann ich das irgendwie verbieten? So dass sie sich gezwungenermassen an die Domain anmelden müssen?

Kann ich bei diesen "lokal angemeldeten Benutzern" auch irgendwie erzwingen, dass sie das Passwort sporadisch ändern müssen? Wenn ich nämlich in den Eigenschaften vom Benutzer auf dem Server angebe "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" kann er sich gar nicht mehr anmelden.

Vielen Dank für Eure Hilfe.
Mitglied: datasearch
07.12.2007 um 01:18 Uhr
Bei uns in der Firma sind sehr viele Berater tätig, die mit ihrem persönlichen Laptop in der Firma arbeiten wollen und irgendwie in das Netzwerk eingebunden werden müssen. Wie kann ich das am besten tun?

Zwischngespeicherte Anmeldungen ermöglichen den Beratern sich auch ohne verbindung zu einem DC am Laptop unter verwendung des Domänen-logons anzumelden. Das kannst du mit einem GPO auf die OU mit den Computerkonten der Berater erledigen.

Ich habe gemerkt, dass Active Directory-Benuter auch ohne Domain Anmeldung Zugriff auf den Server haben, indem sie einfach sich lokal anmelden und beim Zugreiffen auf den Server (z.B. über die IP-Adresse) einfach ihre Benutzername und ihr Passwort angeben.
Kann ich das irgendwie verbieten? So dass sie sich gezwungenermassen an die Domain anmelden müssen?

Nur teilweise indem du das Sicherheitslevel auf den Fileservern änderst. Eine weiteres GPO auf die OU mit den Fileservern kann das erledigen. Ganz sicher lässt sich das aber nur mit Gruppen verhindern. Zb. zugriff vom Netzwerk auf diesen Computer zulassen -> Domänen-Computer ...

Kann ich bei diesen "lokal angemeldeten Benutzern" auch irgendwie erzwingen, dass sie das Passwort sporadisch ändern müssen? Wenn ich nämlich in den Eigenschaften vom Benutzer auf dem Server angebe "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" kann er sich gar nicht mehr anmelden.

Wenn die Computer in der Domäne sind, greifen die GPO-Einstellungen zur Kennwortsicherheit. Ansonsten musst du eine Sicherheitsvorlage erstellen und per Hand auf die Computer anwenden.

Die Einstellung kann nur noch durch die Option "Benutzer kann kennwort nicht ändern" und "läuft nie ab" umgangen werden. Dazu muss der MA aber Admin auf dem System sein.
Bitte warten ..
Mitglied: Lotus75
07.12.2007 um 08:29 Uhr
>Zwischngespeicherte Anmeldungen ermöglichen den Beratern sich auch ohne verbindung zu einem DC am Laptop unter verwendung des Domänen-logons anzumelden. Das kannst du mit einem GPO auf die OU mit den Computerkonten der Berater erledigen.

Was genau ist eine zwischengespeicherte Anmeldung? Ist dann das Benutzerprofil auch auf dem Server?

>Nur teilweise indem du das Sicherheitslevel auf den Fileservern änderst. Eine weiteres GPO auf die OU mit den Fileservern kann das erledigen. Ganz sicher lässt sich das aber nur mit Gruppen verhindern. Zb. zugriff vom Netzwerk auf diesen Computer zulassen -> Domänen-Computer ...

Muss ich das auf jedem Fileserver machen, oder reicht diese GPO auf dem DC?

>Wenn die Computer in der Domäne sind, greifen die GPO-Einstellungen zur Kennwortsicherheit. Ansonsten musst du eine Sicherheitsvorlage erstellen und per Hand auf die Computer anwenden. Die Einstellung kann nur noch durch die Option "Benutzer kann kennwort nicht ändern" und "läuft nie ab" umgangen werden. Dazu muss der MA aber Admin auf dem System sein.

Wo genau muss ich "Benutzer kann kennwort nicht ändern" einstellen? Müsste dann ja irgendwo lokal sein. Aber eigentlich will ich ja genau das gegenteil. Ich will dass auch diese Benutzer das Passwort (von ihrem Konto auf dem DC) alle 30 Tage oder so ändern müssen.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Batch & Shell
gelöst PowerShell Domain Join (2)

Frage von Patrick-IT zum Thema Batch & Shell ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...

Microsoft
Keine Anmeldung mehr möglich (Server 2012 R2) (4)

Frage von Shnuuu zum Thema Microsoft ...

Windows Netzwerk
gelöst DNS - Weiterleitung zu DNS-Server in anderer Domain (5)

Frage von Schauer zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...