Wie kann ich in einem Windows Netzwerk gleichzeitige Logins verhindern?

Steig auf SmartCard-basierte Logins um und gib pro Benutzer nur eine SmartCard raus. Die Authentifizierung per Passwort wird einfach deaktiviert. Beim Herausziehen der SmartCard wird der Benutzer abgemeldet und fertig ist das, was du willst.

Kein Gescripte, keine Modifikationen an AD und Workstations, du musst nur für jedes Endgerät einen SmartCard-Reader kaufen, für jeden Anwender eine SmardCard und dann eine Enterprise-CA hochziehen.

Hallo.

Schau einmal nach LimitLogin - http://technet.microsoft.com/en-us/magazine/2005.05.utilityspotlight.as ...


Gibt es das auch in Freeware, und kannst du kurz einmal in 3 Zeilen beschreiben wie das geht?


LG Günther

PS.: Das war auch noch bei Boogle zu finden - http://www.isdecisions.com/products/userlock

Die 3-Zeilen-Beschreibung:

Du steckst die SmartCard ein, Rechner rappelt etwas rum, angemeldet.
Lass die Sachen im Hintergrund von einem Admin machen, der Ahnung hat
*Füllzeile*

:-P

und das ist der gravierende Haken in deinem 3-Zeiler

LG Günther

Salue,


Neee, dass er punkt 2 und 3 der "wasch mich, aber mach mich nicht nass liste" des to uebersehen hat.
Und weil er ja noch seinen punkt 1 ganz oben auf der richterskala stehen hat, wirds mit dem easygoing rollout auf den clients auch schwer...
5000 user - 5000 lesergeraete und 5050 smartcards, wenn er dem verlust vorbeugen will
Retour

Naja, ich seh AD und Workstation-Modifikationen so, dass er damit nur Änderungen abseits der Klickibunti-Oberfläche meint.

Und dass es 5000 Reader und SCs sind war mir bekannt, aber das scheint dem TO ja egal zu sein, er suchte in seinem anderen Beitrag ja eine professionelle Lösung und professionelle Lösungen kosten auch mal den einen oder anderen Euro.

Ausprobiert? Dein Zitat ist ja sehr alt (pre Vista/2008 Server), damals gab es neuere noch nicht und manchmal aktualisiert MS die Beschreibungen nicht, aber es ist dennoch kompatibel.

Vielleicht solltest du dir bei der Größe mal eine Testumgebung bauen.

Hallo,

Du meinst er hat tatsächlich bei ca. 50 Server und rund 5000 Nutzer keine Testumgebung?

@Speedram
Wie hast du denn bisher alles getestet oder hast du einfach alles in der Produkltiven Umgebung reingehauen? Oder hast du bis jetzt noch nie etwas an deinen ca. 50 Servern sowie am OS und den Einstellungen der Rechner sowie an den rund 5000 Nutzern nichts geändert? Alles noch "Out of the Box"?

Was gefällt dir an den lösungsvorschlägen nicht? Und warum soll das LimitLogon von MS nicht mit deinem AD 2003 laufen?

Gruß,
Peter

Aufgebaut hab ich es schonmal. Hier bei mir zuhause in der Testumgebung läuft es. Nur von meiner 1-Mann-3-PC-Testumgebung auf dein Szenario ist ein leichter Unterschied. Hier sollte man ein Systemhaus oder evtl. sogar schon den Hersteller (als Beispiel Gemalto) mit einbeziehen.

Hallo Speedram,

na dann mal los, ich denke Ihr solltet Euch mal von einigen Firmen Angebote einholen die so etwas auch aufziehen oder installieren und am besten so etwas bei Firmen Eurer Größenordnung bereits erledigt haben,
am besten mit Referenzen. Eine Konkrete Aufgabenstellung ist dabei aber unumgänglich!

Das Ganze kann man auch mit einem "Mehrwert" bekommen damit sich die horrenden Kosten auch rechnen und es sollte eine Vereinfachung der Administration mit sich bringen, am besten eben für mehrere Abteilungen und
es sollte zusätzlich für mehr Sicherheit in den Gebäuden sorgen. Der Vorteil liegt klar auf der Hand, ihr
habt somit bessere Argumente der Geschäftsleitung gegenüber und auch noch ein oder zwei andere Abteilungen auf Eurer Seite die dieses Vorhaben unterstützen. Zu nennen wäre da z.B.

- Zugangskontrolle am PC / Workstation / Server via Smartcard oder RFID Karte (IT Administration)
- Zugangskontrolle zu Gebäuden / Räumen / Fluren / Fahrstühlen / Kantinen ect. pp (Sicherheitsabteilung)
- Zeiterfassung der Mitarbeiter an einem Wandterminal (Lohnbüro)

Karten im Scheckkartenformat mit RFID Chip sind zur Zeit für so ein Vorhaben eine gute Wahl.
Kleine kreisrunde Schlüsselanhänger mit integriertem RFID Chip. Vielleicht Bavaria GmbH?

Falls das zu Aufwändig oder zu teuer sein sollte kann man natürlich auch nur Kartenleser
organisieren und damit die Zugangskontrolle für die Benutzer zu regeln. Vielleicht von Arlt GmbH.


So nun muss ich allerdings noch eine Lanze für die Scripte brechen, ich kenne eine Menge Unternehmen, die
sich davon distanzieren wollen mit Scripten zuarbeiten zum einen müssen diese ständig angepasst werden
und können nach einem einzigen Update von Microsoft alle für die Mülltonne sein und das bei Eurer Betriebsgröße na dann "Mahlzeit". Aber mit der MS PowerShell die seit einiger Zeit in der Version 3.0
verfügbar ist hat sich dort natürlich auch etwas geändert und es sieht so aus, das sich das auch so schnell nicht ändern wird. Unterstützt werden folgende MS Betriebssysteme:

Windows XP (1.0 und 2.0)
Windows Server 2003 (1.0 und 2.0)
Windows Vista (2.0)
Windows Server 2008 (1.0 und 2.0)
Windows Server 2008 R2 (2.0)
Windows 7 (2.0)
Windows 8 (3.0)

Es könnte somit eine günstige und vor allem zentral zu administrierende Möglichkeit darstellen in Bezug auf Log in/Log on Scripte.

Es ließe sich auch einfach realisieren was Du vor hast Herr x logt sich am Computer ein und die erfolgreiche Anmeldung wird in eine Datei geschrieben und beim nächsten Anmelden prüft das Script wie oft Herr X sich bereits angemeldet hat und wenn er sich oft genug angemeldet hat darf er das halt nicht mehr.
Man kann das auch mit einer SQL Benutzerdatenbank in Zusammenarbeit mit den Scripten vereinfachen.

Klar das ganze kostet Zeit und die Pflege kostet auch Zeit, aber im Gegensatz zu der Hardware basierenden
Lösung auf jeden Fall billiger.

Von was ich die Finger lassen würde sind Hardware Tokens und zwei Phasen Authentifizierung, die Tokens
sind teuer und wenn sie mal verloren gehen ärgerlich. Die RFID Chipkarten und Schlüsselanhänger
sind Billiger, so um 7 Euro, und sind schnell auf die RCL (Revocian control list) gesetzt.

Gruß
Dobby