4
interaktive Anmeldung für Laptopbenutzer in W2K3 Domäne
Hallo,
ich möchte für unsere mobilen Benutzer die Laptops so einrichten, dass diese sich mit Ihrem Domänen Account anmelden können, ohne dass eine Verbindung zur Domäne besteht.
Alle Angaben beziehen sich daher auch auf Domänenbenutzer
folgende Situation:
Windows Domäne 2003, Client XP, User = Hauptbenutzer
Ich möchte für Laptopbenutzer einrichten, dass diese sich ohne Verbindung zur Domäne anmelden können.
Zustand alt: Keine Anmeldung ohne Netzwerkverbindung möglich
Zustand jetzt: Anmeldung ohne Netzwerkverbindung für Domänen-Admins möglich
Zustand soll: Anmeldung ohne Netzwerkverbindung für Hauptbenutzer möglich
Ich habe bisher folgendes per GPO Eingestellt:
Was mache ich Falsch, muß ich noch was für den User einstellen? Wenn ja was und wo.
Die GPO ist mit der OU der Laptops verknüpft
Vielen Dank für eure Hilfe
151KG
Windows Domäne 2003, Client XP, User = Hauptbenutzer
Ich möchte für Laptopbenutzer einrichten, dass diese sich ohne Verbindung zur Domäne anmelden können.
Zustand alt: Keine Anmeldung ohne Netzwerkverbindung möglich
Zustand jetzt: Anmeldung ohne Netzwerkverbindung für Domänen-Admins möglich
Zustand soll: Anmeldung ohne Netzwerkverbindung für Hauptbenutzer möglich
Ich habe bisher folgendes per GPO Eingestellt:
Computerconfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\
Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen: 50 Anmeldungen
Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich Deaktiviert
Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen Aktiviert Was mache ich Falsch, muß ich noch was für den User einstellen? Wenn ja was und wo.
Die GPO ist mit der OU der Laptops verknüpft
Vielen Dank für eure Hilfe
151KG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 127665
Url: https://administrator.de/contentid/127665
Printed on: April 19, 2024 at 21:04 o'clock
4 Comments
Latest comment
Servus,
das ist überhaupt keine gute Idee!
Die Benutzer haben zu viele Rechte und können sich mit Hauptbenutzer Rechten auch Admin-Rechte zulegen.
[A member of the Power Users group may be able to gain administrator rights and permissions in Windows Server 2003, Windows 2000, or Windows XP]
http://support.microsoft.com/kb/825069/en-us
Das ist doch bereits "out-of-the-box" so. Dazu muss nichts zusätzlich konfiguriert werden.
Diese Richtlinie in der standardmäßig die Zahl 10 enthalten ist, gilt für die zu zwischenspeichernden Benutzerkonten.
Das bedeutet, es werden standardmäßig 10 Benutzerkonten lokal gecachet. Wenn sich die ersten 10 Benutzer EINMAL erfolgreich an der Domäne
authentifiziert haben, können sie sich das nächste Mal lokal, mit ihren zwischengespeicherten Benutzerinformationen
(also ohne eine Verbindung zum DC/Netzwerk) anmelden. Mit den zwischengespeicherten Benutzerinformationen kann sich
dann der Benutzer auf ewig anmelden.
Versucht sich der 11. Benutzer mit seinen zwischengespeicherten Benutzerinformationen
ohne eine Verbindung zur Domäne anzumelden, schlägt das fehl.
Das ist in der Hilfe und auf diversen Seiten leider sehr unglücklich formuliert.
Wie bereits erwähnt, du musst nicht zusätzlich etwas konfigurieren.
Zwingend ist, der Benutzer muss sich zuerst EINMAL erfolgreich an der Domäne angemeldet haben, erst danach kann er
sich ab der zweiten Anmeldung ohne eine Verbindung zur Domäne zu haben mit seinen zwischengespeicherten Benutezrinformationen anmelden.
Viele Grüße
Yusuf Dikmenoglu
User = Hauptbenutzer
das ist überhaupt keine gute Idee!
Die Benutzer haben zu viele Rechte und können sich mit Hauptbenutzer Rechten auch Admin-Rechte zulegen.
[A member of the Power Users group may be able to gain administrator rights and permissions in Windows Server 2003, Windows 2000, or Windows XP]
http://support.microsoft.com/kb/825069/en-us
Ich möchte für Laptopbenutzer einrichten, dass diese sich ohne Verbindung zur Domäne anmelden können.
Das ist doch bereits "out-of-the-box" so. Dazu muss nichts zusätzlich konfiguriert werden.
Ich habe bisher folgendes per GPO Eingestellt:
Diese Richtlinie in der standardmäßig die Zahl 10 enthalten ist, gilt für die zu zwischenspeichernden Benutzerkonten.
Das bedeutet, es werden standardmäßig 10 Benutzerkonten lokal gecachet. Wenn sich die ersten 10 Benutzer EINMAL erfolgreich an der Domäne
authentifiziert haben, können sie sich das nächste Mal lokal, mit ihren zwischengespeicherten Benutzerinformationen
(also ohne eine Verbindung zum DC/Netzwerk) anmelden. Mit den zwischengespeicherten Benutzerinformationen kann sich
dann der Benutzer auf ewig anmelden.
Versucht sich der 11. Benutzer mit seinen zwischengespeicherten Benutzerinformationen
ohne eine Verbindung zur Domäne anzumelden, schlägt das fehl.
Das ist in der Hilfe und auf diversen Seiten leider sehr unglücklich formuliert.
Was mache ich Falsch, muß ich noch was für den User einstellen?
Wie bereits erwähnt, du musst nicht zusätzlich etwas konfigurieren.
Zwingend ist, der Benutzer muss sich zuerst EINMAL erfolgreich an der Domäne angemeldet haben, erst danach kann er
sich ab der zweiten Anmeldung ohne eine Verbindung zur Domäne zu haben mit seinen zwischengespeicherten Benutezrinformationen anmelden.
Viele Grüße
Yusuf Dikmenoglu
Hallo
> User = Hauptbenutzer
das ist überhaupt keine gute Idee!
Ich weiß, sowas nennt man Altlasten 
> Ich möchte für Laptopbenutzer einrichten, dass diese
sich ohne Verbindung zur Domäne anmelden können.
Das ist doch bereits "out-of-the-box" so. Dazu muss nichts
zusätzlich konfiguriert werden.
Prinzipiell ja, nur dass mein Vorgänger das aus Sicherheitsgründen deaktiviert hat. Leider finde ich neben den genannten Einstellungen nicht, was er noch gemacht hat, dass diese Funktion stört.
Das ist klar, und auch gegeben.
Viele Grüße
Yusuf Dikmenoglu
Viele Grüße
151KG
> User = Hauptbenutzer
das ist überhaupt keine gute Idee!
> Ich möchte für Laptopbenutzer einrichten, dass diese
sich ohne Verbindung zur Domäne anmelden können.
Das ist doch bereits "out-of-the-box" so. Dazu muss nichts
zusätzlich konfiguriert werden.
Prinzipiell ja, nur dass mein Vorgänger das aus Sicherheitsgründen deaktiviert hat. Leider finde ich neben den genannten Einstellungen nicht, was er noch gemacht hat, dass diese Funktion stört.
> Was mache ich Falsch, muß ich noch was für den User
einstellen?
Wie bereits erwähnt, du musst nicht zusätzlich etwas
konfigurieren.
Zwingend ist, der Benutzer muss sich zuerst EINMAL erfolgreich an der
Domäne angemeldet haben, erst danach kann er
sich ab der zweiten Anmeldung ohne eine Verbindung zur Domäne zu
haben mit seinen zwischengespeicherten Benutezrinformationen
anmelden.
einstellen?
Wie bereits erwähnt, du musst nicht zusätzlich etwas
konfigurieren.
Zwingend ist, der Benutzer muss sich zuerst EINMAL erfolgreich an der
Domäne angemeldet haben, erst danach kann er
sich ab der zweiten Anmeldung ohne eine Verbindung zur Domäne zu
haben mit seinen zwischengespeicherten Benutezrinformationen
anmelden.
Das ist klar, und auch gegeben.
Viele Grüße
Yusuf Dikmenoglu
Viele Grüße
151KG
Dann führe doch auf dem Client "RSOP.msc" aus und kontrolliere welche GPOs unter dem angemeldeten Benutzer wirken.
Danach kontrollierst du die Einstellungen in jeder GPO die in RSOP angezeigt werden.
Gruß, Yusuf Dikmenoglu
Danach kontrollierst du die Einstellungen in jeder GPO die in RSOP angezeigt werden.
Gruß, Yusuf Dikmenoglu
Danke Yusuf,
das Tool ist Super, bringt mich aber im Moment nicht weiter.
Ich kann mir zwar anzeigen lassen, was alles eingestellt ist, weiß aber trotzdem noch nicht, welche Einstellung diejenige ist die ich Suche.
Irgendwie habe ich den Eindruck, dass es sich um ein Rechteproblem handelt, da der Domänen Admin sich ja anmelden kann.
Hast Du noch eine Idee?
Viele Grüße
151KG
das Tool ist Super, bringt mich aber im Moment nicht weiter.
Ich kann mir zwar anzeigen lassen, was alles eingestellt ist, weiß aber trotzdem noch nicht, welche Einstellung diejenige ist die ich Suche.
Irgendwie habe ich den Eindruck, dass es sich um ein Rechteproblem handelt, da der Domänen Admin sich ja anmelden kann.
Hast Du noch eine Idee?
Viele Grüße
151KG
