Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Usern auf WinXP Rechnern die Anmeldung verbieten

Frage Microsoft Windows Userverwaltung

Mitglied: BerraBerra

BerraBerra (Level 1) - Jetzt verbinden

27.06.2014 um 12:17 Uhr, 2777 Aufrufe, 19 Kommentare, 2 Danke

Hallo,
wir haben letztens alle Rechner auf Win7 umgestellt bzw. neue gekauft.
Wir haben im AD alle Computeraccounts der Windows XP Rechner gelöscht bzw. deaktiviert.
Heißt also, diejenigen, die sich mit ihrem Windows XP Rechner im Netzwerk anmelden möchten, bekommen die Meldung, dass ihr Computerkonto nicht gefunden werden konnte bzw. deaktiviert wurde.

Unsere User sind allerdings sehr schlau. Sie fahren jetzt ihren alten Rechner ohne Netzwerk hoch und loggen sich mit ihrem Domänen-Benutzernamen und ihrem -Kennwort dort ein (da kein Netzwerk verfügbar ist, wird auch das Computerkonto nicht überprüft).
Und erst wenn der Rechner komplett hochgefahren ist, verbinden sie sich mit dem Netzwerk.
Da nun das Computerkonto nicht mehr abgefragt wird, können sie problemlos im Netzwerk arbeiten.
DAS würde ich gerne verhindern.
Ich habe keine Idee, wie ich das machen soll.

Lieben Gruß
BerraBerra
Mitglied: MksMlr
27.06.2014 um 12:31 Uhr
Hallo unter Gruppen einfach die Domänenbenutzer entfernen! Fertig.
Bitte warten ..
Mitglied: MksMlr
27.06.2014 um 12:32 Uhr
Rechte Maustaste auf Arbeitesplatz --> Lokale Benutzer und Gruppen --> Gruppen --> Benutzer --> Domänenbenutzer entfernen.
Bitte warten ..
Mitglied: sk-it83
27.06.2014 um 12:49 Uhr
Mal doof gefragt, du sagst ihr habt auf Win 7 umgestellt, wieso gibt es den überhaupt noch die alten XP Rechner?

Arbeiten die jetzt mit beiden Systemen oder wie?

Best practice wäre ja wohl die Kisten in den Keller zu verpacken oder zu verschrotten.
Bitte warten ..
Mitglied: Pjordorf
27.06.2014 um 12:51 Uhr
Hallo,

Zitat von BerraBerra:
Unsere User sind allerdings sehr schlau. Sie fahren jetzt ihren alten Rechner ohne Netzwerk hoch
Nimm ihnen die Patchkabel weg oder nimm den ganzen PC weg. Wieso stehen die da noch und wieso können die Mitarbeiter damit noch was tun wenn ihr doch alle ausgetauscht habt. Eliminiere das Problem an der Wurzel. Oder besser, entferne die Patchkabel am Switch (wo die ja wohl NICHT dran kommen). Oder 802.1X am Switch mit der MAC oder oder oder oder.

http://de.wikipedia.org/wiki/IEEE_802.1X

Such dir eine dir genehme Lösung für eure eigens geschaffenen Probleme aus.

Gruß,
Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
27.06.2014 um 12:52 Uhr
Zitat von BerraBerra:

Ich habe keine Idee, wie ich das machen soll.

Lieben Gruß
BerraBerra

Alle XP-Rechner einsammeln oder Platte putzen

Wenn alle da auf Win7 umgestetl wurden ist die frage, warum es dann doch noch XP-Kisten gibt, die man ans Netz stöpseln darf/kann.

lks
Bitte warten ..
Mitglied: Chibisuke
27.06.2014 um 12:55 Uhr
Hi Berra,

hm, mit den gelöschten Computerkonten könnte es schon schwieriger werden, aber bei den deaktivierten könnte es über eine GPO klappen. Entweder alle XP-Rechner in eine eigene OU sperren, oder halt per WMI-Filter auf XP einschränken. Und darüber kann man dann allen möglichen "Schindluder" treiben um die Leute aus dem Netzwerk zu halten. Netzwerkeinstellungen überschreiben, Userrechte ersetzen oder solche Späße

Wobei ich es leider noch nie ausprobiert habe ob ein im AD deaktivierter PC überhaupt noch GPOs abrufen kann. Aber nen Versuch wäre es wert.
Bitte warten ..
Mitglied: Chonta
27.06.2014 um 12:57 Uhr
Hallo,

warum gibt es noch XP-Rechner wenn auf Windows 7 umgestellt wurde?
Sind das deren Eigene Rechner die mal in der Domäne waren?

Wenn im Prinzip ist die Frage, wie lange die eine zwischengespeicherte Anmeldung bei Euch im Netzwerk vor der Umstellung gültig war (mit einer solchen loggen sich die benutzer gerade ein) und wie offt diese für eine Anmeldung verwendet werden darf.
Da die Rechner nicht in der Domäne sind, kann man mit GPO auch nix mehr machen, schade hätte man früher dran denken sollen.

Was natürlich geht sind Domänenweite Sicherheitsrichtlinien dass ein Zugriff auf die Server und Kommunikation nur noch verschlüsselt kommunizieren.
(Sehr aufwendig)

Du könntest natürlich auch die MAC-Adressen aller XP Rechner ausfindig machen und diese im DHCP blocken.
Oder alle MAC der Windows 7 ermitteln, im DHCP feste IP zuweisen und nur diese IP plus Server IP durch die Firewall lassen....

Oder einfach die XP Kiste wegnehmen bzw hingehen und wie schon gesagt Domänenbenutzter löschen und Daten entfernen.

Gruß

Chonta
Bitte warten ..
Mitglied: Lochkartenstanzer
27.06.2014, aktualisiert um 13:05 Uhr
idee:

Nimm doch alle wieder in die domain auf so daß Du wieder GPOs drauf verteilen kannst. Dann kannst Du die Anmekldunge der user auf den Xp-Kisten per GPO deaktivieren und Ruhe ist im Karton.

lks

PS: ich wundere mich sowieso, wieso Ihr die einfach so aus der Domain geworfen hat, ohne vorher die benutzeranmeldung drauf zu deaktiveren.

PPS: Du könntest natürlich auch mit einem passenden LART wie z.B. Cat 9 oder einem Meinungsverstärker wie Kloppe von Ikea bei den Usern auftauchen.
Bitte warten ..
Mitglied: colinardo
27.06.2014 um 13:23 Uhr
Moin,
mit NPS lässt sich das auch regeln:
http://www.administrator.de/forum/windows-server-vpn-anmeldung-von-xp-r ...

Grüße Uwe
Bitte warten ..
Mitglied: BerraBerra
27.06.2014 um 14:21 Uhr
Hallo,
erst einmal vielen Dank für die Antworten.
Leider ist nichts Brauchbares dabei.
Zur Erklärung: Wenn die User alte Hardware hatten, ist ein neuer Rechner für sie bestellt worden. Der neue Rechner ist auf den User eingerichtet worden und beim Abholen des Rechners wurde darum gebeten, den alten Rechner zeitnah abzugeben.
Dies ist bei einigen nicht passiert.
Sie hatten noch Daten auf dem alten Rechner, die sie kopieren mussten oder ähnlich.
Die Computerkonten haben wir dann nach einiger Zeit deaktiviert bzw. gelöscht.
Die Userkonten natürlich nicht. Die User gibt es ja noch und sie müssen ja auch weiter arbeiten und sich im Netzwerk anmelden können.
Nur halt nicht von einem Windows XP-Rechner aus.

Ich habe die XP-Rechner nicht im Zugriff. Also fällt Platte putzen oder Domänen-Benutzer entfernen weg.
Ich muß eine Möglichkeit finden, das über das AD zu lösen. Oder über Userpolicies vielleicht.

Lieben Gruß
BerraBerra
Bitte warten ..
Mitglied: BerraBerra
27.06.2014 um 14:26 Uhr
Hallo,

das Problem ist, dass ich das auf Benutzerebene regeln muß.
Wie gesagt, das Computerkonto ist gesperrt. Der User meldet sich aber offline an und geht dann erst online, wenn der Rechner komplett hochgefahren ist.
Da wird das Computerkonto nicht mehr mit dem AD abgeglichen.
GPOs werden wahrscheinlich auch nur userbezogen übertragen.
Gut, vielleicht kann man hier einen WMI-Filter einstellen und tja, ...was kann ich machen? Der User soll und muss weiter mit seinem Windows 7 Rechner arbeiten können....
Wie gesagt, habe keine brauchbare Idee.

Lieben Gruß
BerraBerra
Bitte warten ..
Mitglied: Chonta
27.06.2014 um 14:39 Uhr
Regelmäßige Netzwerkscanns und wer mit XP erwischt wird bekommt ne Abmahnung.

Wenn die Computerkonten noch da sind ist das ganze ja einfach!
Konto aktivieren und dann GPO (erzwingen) und das anmelden aller Nuzer an diesen Computern verhindern.
Sobald der Rechner im Netzwerk ist zieht der sich nach 15 Minuten GPO, nach einem neustart geht dann auch eine gespeicherte Anmeldung nicht mehr weil GPO es verbietet. Und der Benutzer weint.

Und Du kannst die Benutzer noch zusätzlich die lokale Anmeldung verbieten auf den XP Clients.

Wenn die Computerkonten nicht present sind gilt das gleiche wie wenn der Zugriff von Mac oder Linux mit Samba/SMB verhindert werden soll.
RADIUS und diverse Netzwerkrichtlinien um nur bestimten Gruppen den Zugriff zu ermöglichen, IPSEC in der Domäne erzwingen ... gibt viel aber ist Aufwendig.

Gruß

Chonta
Bitte warten ..
Mitglied: MksMlr
27.06.2014 um 14:41 Uhr
Zitat von BerraBerra:

Hallo,
erst einmal vielen Dank für die Antworten.
Leider ist nichts Brauchbares dabei.
Okay

Zur Erklärung: Wenn die User alte Hardware hatten, ist ein neuer Rechner für sie bestellt worden. Der neue Rechner ist
auf den User eingerichtet worden und beim Abholen des Rechners wurde darum gebeten, den alten Rechner zeitnah abzugeben.
Warum kümmert sich hier nicht die EDV darum?

Dies ist bei einigen nicht passiert.
Sie hatten noch Daten auf dem alten Rechner, die sie kopieren mussten oder ähnlich.
--> warum die User
Anders: Habt ihr keine Netzlaufwerk, wird bei euch lokal gespeichert?

Die Computerkonten haben wir dann nach einiger Zeit deaktiviert bzw. gelöscht.
Die Userkonten natürlich nicht. Die User gibt es ja noch und sie müssen ja auch weiter arbeiten und sich im Netzwerk
anmelden können.
Wenn die User (Domänenbenutzer) gelöscht sind, können Sie sich auch nicht mehr anmelden.
Bitte warten ..
Mitglied: DerWoWusste
27.06.2014 um 18:28 Uhr
Denkbare Lösung: Du kannst in den Userobjekten einschränken, wo diese sich anmelden können. Default ist: jeder überall. Wenn Du das änderst auf die Rechnernamen der neuen Maschinen, klappt der Trick mit Netzwerkkabel nachträglich anstecken an den alten nämlich nicht mehr.
Das kann man skripten, hat dann natürlich anderweitig Mehraufwand.
Bitte warten ..
Mitglied: MS6800
27.06.2014 um 18:53 Uhr
Hi,

also ich würde die Leute noch einmal per E-Mail Anschreiben , dass Sie gefälligst in einer Frist die XP Kisten bei dir abgeben müssen, Chef oder Personalchef in CC. Sollte sich dann keiner bei dir melden, hingehen und alle Kisten mitnehmen. Kann ja nicht sein das die dir auf der Nase Rum tanzen wie sie wollen.
Bitte warten ..
Mitglied: Lochkartenstanzer
27.06.2014 um 19:03 Uhr
Zitat von BerraBerra:

Ich habe die XP-Rechner nicht im Zugriff. Also fällt Platte putzen oder Domänen-Benutzer entfernen weg.
Ich muß eine Möglichkeit finden, das über das AD zu lösen. Oder über Userpolicies vielleicht.

Spätestens wenn die Am Netz sind, kannst Du dich aufschalten und den Kisten den Saft abdrehen oder zumidenst soweit einschränken, daß die User angedackelt kommen müssen.

Ich würde einfach eine warnmail rausschicken, daß jeder winXp-Rechner der nochmal ans LAn angeschlossen wird, die Platte geputzt bekommt udn wenn die Nutze rIhre daten übertragen wollen, sollen sie zu Dir kommen.

Wenn du nicht den "pöhsen" Admin raushängt, wird das sonst nie was.

lks
Bitte warten ..
Mitglied: emeriks
28.06.2014, aktualisiert um 15:48 Uhr
Hi,
ähnlich wie Lochkartenstanzer schreibt:
Du hast doch sicherlich die Passwörter eines lokalen Administrators dieser Kisten? Falls ja, dann lass einfach auf einem Computer im Netz ne Weile ein Endlos-Skript laufen, welches z.B. mit psshutdown.exe von den Sysinternals diese Kisten sofort runterfährt wenn sie erreichbar sind. Deine Pappenheimer werden ganz schnell die Lust verlieren, diese Kisten weiter zu benutzen.

psshutdown.exe -r -f -t 0 -u COMPUTERNAME\Administrator -p PASSWORT \\COMPUTER1,COMPUTER2,COMPUTER3,....

Dann hast Du zwar ein Skript, wo das Passwort drinsteht, aber das könntest Du per NTFS-Rechte soweit schützen, dass nur Du es lesen kannst.
Oder Du baust ein Script, dass vorher nach dem Passwort fragt und dann in die Endlosschleife geht.

E.
Bitte warten ..
Mitglied: Lochkartenstanzer
28.06.2014 um 15:53 Uhr
Zitat von emeriks:

psshutdown.exe -r -f -t 0 -u COMPUTERNAME\Administrator -p PASSWORT \\COMPUTER1,COMPUTER2,COMPUTER3,....

Ich würde da noch etwas wie -t 10 -m "Die Selbstzerstörungssequenz wurde gestartet" mitschicken.

lks
Bitte warten ..
Mitglied: MS6800
28.06.2014 um 17:05 Uhr
oder " DU WURDEST GEHACKT ALTA !"
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
AD: Lokale Anmeldung verbieten aber Freigabe mounten zulassen (10)

Frage von Hubert.Hasenfuss zum Thema Windows Server ...

Windows 10
gelöst Pin anmeldung unter w10 priorisieren (3)

Frage von tobias3355 zum Thema Windows 10 ...

Batch & Shell
gelöst WinXP-PC mit einem Barcodescanner herunterfahren (8)

Frage von Sinzal zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...