Benutzer Netzwerkzugriff verweigern

[aysyxc 10]

Hallo zusammen,

 

ich möchte den Netzwerkzugriff beschränken.

Folgendes Szenario aus verschiedenen Gründen kann sich jeder Mitarbeiter mit einem seperaten lokalen Konto anmelden.

 

Im möchte verhindern, dass sie sich lokal anmelden und dann über ihr Domänen Konto einen Zugriff auf Netzwerkfreigaben herstellen.

 

Hat jemand eine Idee wie ich das realisieren kann?

 

Lieben Gruß

[IThome 10]

Zum Beispiel über eine Gruppenrichlinie erzwingen, dass das Benutzerrecht "Lokal anmelden zulassen" nicht für die Gruppe "Benutzer" gilt, sondern für "Domänen-Benutzer". Sind sie auch lokale Administratoren, dann eben für "Domänen-Admins" und nicht Administratoren ...

[lepus 10]

Zum Beispiel über eine Gruppenrichlinie erzwingen, dass das Benutzerrecht "Lokal anmelden zulassen" nicht für die Gruppe "Benutzer" gilt, sondern für "Domänen-Benutzer".

 

damit könnten sich die Benutzer aber dann garnicht mehr am System anmelden. So wie ich das verstanden habe, möchte er die Sekundäre Anmeldung verhindern. Also lokaler User meldet sich am Rechner an, und greift dann auf Netzlaufwerke unter Verwendung seines Domänen-Benutzers zu.

 

Ich wüsste allerdings auch keine Möglichkeit wie man das verhindern kann.

EDIT: Außer den Dienst "Sekundäre Anmeldung" abzuschalten, aber damit macht man sich als Admin meistens eher mehr Arbeit ;)

 

Grüße

Nils

[IThome 10]

Das sollen sie ja wohl auch nicht ... Was soll man in einer Domäne auch mit lokalen Benutzern ? So müssen sie sich als Domänenbenutzer anmelden und dürfen dann natürlich auch zugreifen ...

[lepus 10]

ich weiss... würde ich auch nicht zu lassen.

 

Aber aufgrund dieser Aussage:

aus verschiedenen Gründen kann sich jeder Mitarbeiter mit einem seperaten lokalen Konto anmelden.

 

hab ich darauf jetzt nicht allzugroßen Wert gelegt.

 

Grüße

Nils

[IThome 10]

Hast recht, das hab ich nun wieder überlesen. Mal sehen, was der TO dazu sagt ...

[aysyxc 10]

Ganz genau ihr habt mich schon richtig verstanden, viele Benutzer haben Zugriff auf das lokale Admin Konto da sie verschiedene Installationsroutinen testen müssen.

Ich es ihnen daher nicht verbieten sich lokal anzumelden.

 

Gibt es trotzdem eine Möglichkeit ihnen die sekundäre Anmeldung von diesem Admin Account aus zu verbieten? Ich habe gerade mal testweise den Dienst "Sekundäre Anmeldung" deaktiviert, allerdings kann ich mit einen "normalen" Domänenaccount trotzdem Netslaufwerke verknüpfen und darauf zugreifen.

 

Hat jemand noch eine Idee?

[lepus 10]

Moin,

 

ich habe gerade noch einmal alle Sicherheitsoptionen durchforstet, aber leider dabei keine Möglichkeit dafür entdeckt.

 

Warum möchtest du das eigentlich?

 

Grüße

Nils

[aysyxc 10]

Um zu verhindern, dass sie Daten auf eine USB Stick oder ähnliches ziehen des sie ja unter dem Admin Account installieren könnten.

[lepus 10]

Und mit dem Domänen-Account der Anwender ist der USB Stick gesperrt? Oder wie muss ich das jetzt verstehen... weil es gibt tausend Wege irgendwie die Daten auf einen USB Stick zu kopieren...

 

Anmelden an der Domäne, kopieren auf lokale Festplatte, Anmelden als Lokaler Admin, Daten auf den Stick kopieren.

 

Einen Schutz erhälst du also dadurch nicht...

Grüße

Nils

[aysyxc 10]

Du hast Recht, danke für den Hinweise werde das noch mal gründlicher durchdenken müssen

 

Vielen Dank!