Anmeldung an bestimmten PC untersagen

[pfeffis 11]

Hallo!

 

Gibt es eine Möglichkeit Usern in eine AD Umgebung (W2K) Zugriff auf bestimmt PC s zu untersagen? Die Möglichkeit über "Konto" - "Anmelden" ist mir bekannt nur müsste ich da für jeden User explizit eintragen an welchen PC s er sich überall anmelden kann und somit fallen die weg, die nicht in der Liste stehen. Dies ändert sich in unserer Umgebung aber ständig (Azubis, etc). Ich suche eine Möglichkeit mehreren Usern bestimmt PC s zu verweigern. Gibt es da evtl. andere Ansätze?

 

Vielen Dank

[Daim 12]

Servus,

 

fasse die gewünschten Computer in einer OU zusammen.

Auf diese OU verklinkst du eine GPO. In den Sicherheitseinstellungen der GPO setzt du das Recht der Lokalen Anmeldung so, wie du es haben möchtest.

[pfeffis 11]

Unter Zuweisen von Benutzerrechten und dann Auf diesen Computer vom Netzwerk zugreifen ????

[Daim 12]

Der Pfad lautet:

 

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\<Lokal anmelden>

 

Lies dir dazu auch diesen Artikel durch:

 

Client, service, and program incompatibilities that may occur when you modify security settings and user rights assignments

[schnuffi79 11]

Eine andere Möglichkeit wäre auch noch:

 

Start --> Verwaltung --> Active Directory Benutzer und Computer --> User (betreffende Organisationseinheit) dort die Konten die es betrifft suchen. Danach in das Register Konto wechseln und auf hier dann auf Anmelden Klicken und der rest ist denke ich selbst Erklärend

[Daim 12]

Eine andere Möglichkeit wäre auch noch:

 

Nein, dass wäre es nicht. Du hast wohl das OP nicht richtig gelesen:

 

Die Möglichkeit über "Konto" - "Anmelden" ist mir bekannt nur müsste ich da für jeden User explizit eintragen an welchen PC s er sich überall anmelden kann und somit fallen die weg, die nicht in der Liste stehen. Dies ändert sich in unserer Umgebung aber ständig (Azubis, etc). Ich suche eine Möglichkeit mehreren Usern bestimmt PC s zu verweigern. Gibt es da evtl. andere Ansätze?

[schnuffi79 11]

oh sorry das es ihm bekannt ist habe ich überlessen mein fehler

 

 

sorry nochmal

[pfeffis 11]

"Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\<Lokal anmelden>"

 

Fubktioniert das ganze dann auch wenn sich die "verbotenen" Clients per RDP connecten wollen? Wenn ich das richtig verstanden habe gebe ich unter oben beschriebener GPO ein, welche User sich an dem jeweiligen Server anmelden dürfen, die die nicht drin stehen dürfen nicht!?

[Kolath 10]

ja auch dann funktioniert das, denn die anmeldung über die terminaldienste ist auch jeweils eine lokale anmeldung...

[IThome 10]

Bei XP/2003 gibt es ein spezielles Benutzerrecht, welches die Terminalserveranmeldung regelt. Das Recht "Lokale Anmeldung" gilt bei 2000 Servern, was die Anmeldung Terminaldienste betrifft ...

[pfeffis 11]

Danke für die Infos. Es wäre zum Beispiel ein 2003 Win Server auf dem sich diverse clients via ica bzw rdp connecten. einige von denen sollen sich jetzt nicht mehr mit diesem verbinden können. wenn ich die gpo so einstelle wie vorher beschrieben komme ich mit einem testrechner immernoch hoch abwohl er nicht in der gpo eingetragen ist. gruppenrichtlinie hab ich aktualisiert ;)

[IThome 10]

Welche Richtlinie hast Du eingestellt ? Du kannst auch die Richtlinie "Anmelden über Terminaldienste verweigern" benutzen, die explizit den Zugriff verweigert.

[pfeffis 11]

Du kannst auch die Richtlinie "Anmelden über Terminaldienste verweigern" benutzen, die explizit den Zugriff verweigert.

 

Wo soll die stehen? Die Gruppenrichtlinie wird auf einem DC mit W2000 eingerichtet und greift bei einem W2k3 Server auf dem die Terminaldienste laufen.

sorry, habe ich mich bestimmt falsch ausgedrückt.

[IThome 10]

Du kannst 1. auch eine lokale Richtlinie auf dem TS einstellen oder 2. die Gruppenrichtlinien nicht vom 2000er aus, sondern von einer XP oder 2003 Maschine bearbeiten (am besten mit der Gruppenrichtlinienverwaltungskonsole) ....