Anmeldung verhindern

[daddy 11]

Hallo,

ein User war jetzt so pfiffig sich an einem anderen Arbeitsplatz mit seinem Benutzernamen an der Domäne anzumelden.

Um dies zu verhindern habe ich im Benutzerkonto den erlaubten Computer eingetragen.

Das hat leider den Nebeneffekt, dass er auch auch kein Active Sync und OWA machen kann, obwohl diese Dienste ja nun extra für Fernzugriffe gedacht sind.

Wie kann ich OWA und AS weiterhin zulassen?

 

Gruß

daddy

[marcy 10]

Hallo,

 

es müsste doch reichen, wenn du dem Benutzer die Anmeldung auf Exchange erlaubst.

 

Gruß

[daddy 11]

Hi marcy,

das ist ja das Merkwürdige. Ich habe nur die Einstellung im Ad Benutzerkonto geändert.

Exchange wurde gar nicht angetastet!?

Kann ich dort noch was einstellen, was die AD Einstellung wieder aushebelt?

 

Gruß

daddy

[Dukel 457]

Hallo,

ein User war jetzt so pfiffig sich an einem anderen Arbeitsplatz mit seinem Benutzernamen an der Domäne anzumelden.

[...]

 

Gruß

daddy

 

Ist das schlimm, dass sich ein User an einem anderen Arbeitsplatz anmeldet?

[daddy 11]

Schlimm? Na, ja...

Auf den PCs sind teilweise priv. Dateien lokal abgelegt.

Wir arbeiten mit Ordnerumleitung. Wenn sich jeder, überall anmeldet werden die Rechner mit den Offlinedateien zugemüllt. usw..

[marcy 10]

Und was haben die privaten Daten in einem Unternehmen zu suchen?

 

Ich glaube hier ist keine technische sondern eine organisatorische Loesung gefragt.

[Dukel 457]

Wie wäre es mit einer Betriebsvereinbarung, dass sich die User nur an Ihren Rechnern anmelden dürfen?

 

Mit dem Logon beschränken im Userobjekt hatte ich auch schon ein Problem, dass bei einem Service User, der sich an keiner Maschine anmelden darf der entsprechende Dienst nicht lief.

Das "Logon an" im Userobjekt ist wohl etwas mehr als nur ein Logon am Rechner.

[NorbertFe 2.104]

Hallo,

ein User war jetzt so pfiffig sich an einem anderen Arbeitsplatz mit seinem Benutzernamen an der Domäne anzumelden.

Um dies zu verhindern habe ich im Benutzerkonto den erlaubten Computer eingetragen.

 

Naja, dazu wurde ja schon genug gesagt. Willst du jetzt bei jedem nur seinen PC eintragen? ;)

 

Das hat leider den Nebeneffekt, dass er auch auch kein Active Sync und OWA machen kann, obwohl diese Dienste ja nun extra für Fernzugriffe gedacht sind.[/Quote]

 

Naja, du erlaubst die Anmeldung aber nur am PC und nicht am Exchange. ;) Hast du oben ja eingestellt.

 

Wie kann ich OWA und AS weiterhin zulassen?

 

Die logische Variante wäre das Entfernen der Änderung die du vorgenommen hast. ;) Eine andere wäre, du trägst an der selben STelle auch deinen Exchangeserver ein. ;)

 

Wenn du solche Anforderungen hast, würde ich eher mit Sicherheitsrichtlinien und dem Recht "Lokale Anmeldung verweigern" arbeiten. Je nachdem wieviele PCs du im Einsatz hast, sind das dann halt ne Menge GPOs und Sicherheitsgruppen. ;)

 

Bye

Norbert

 

PS: Offlinedateien kann man verschlüsseln und ausserdem sind die eh do.f. ;)

[daddy 11]

Naja, dazu wurde ja schon genug gesagt. Willst du jetzt bei jedem nur seinen PC eintragen? ;)

Genau, ist ja eigentlich kein Problem.

 

Naja, du erlaubst die Anmeldung aber nur am PC und nicht am Exchange. ;) Hast du oben ja eingestellt.

Ich habe nicht die Anmeldung am PC eingestellt sondern die Anmeldung an der Domäne. Nur eben eingeschränkt, wo ich mich an die Domäne anmelden darf.

Exchange und AD-Server sind identisch. Wo kann ich nun einstellen, dass ich mich am Exchange von überall anmelden darf? Handys melden sich doch gar nicht in der Domäne an.

 

Eine andere wäre, du trägst an der selben STelle auch deinen Exchangeserver ein. ;)

Klappt leider nicht.

 

Wenn du solche Anforderungen hast, würde ich eher mit Sicherheitsrichtlinien und dem Recht "Lokale Anmeldung verweigern" arbeiten. Je nachdem wieviele PCs du im Einsatz hast, sind das dann halt ne Menge GPOs und Sicherheitsgruppen. ;)

Es geht nicht um die lokale Anmeldung!

 

Ich finde es schade, dass hier gleich eine Grundsatzdiskussion abgebrochen wird, anstatt mit den Einstellungen weiterzuhelfen.

Wofür gibt es den die Einstellung "Anmelden an..."?

Würde mir Exchange nicht blockiert wäre es genau dass, was ich bräuchte.

 

Hier der Auszug aus der Windowshilfe:

Anmelden

Klicken Sie hier, um Anmeldeeinschränkungen für Arbeitsstationen anzugeben, sodass dieser Benutzer sich nur an bestimmten Computern in der Domäne anmelden kann. Standardmäßig kann sich ein Benutzer an jedem Arbeitsstationscomputer in der Domäne anmelden. Beachten Sie, dass dieses Steuerelement nicht die Möglichkeit des Benutzers beeinträchtigt, sich mithilfe eines lokalen Computerkontos statt eines Domänenkontos lokal an einem Computer anzumelden.

 

Gruß

daddy

[Sunny61 811]

Ich habe nicht die Anmeldung am PC eingestellt sondern die Anmeldung an der Domäne. Nur eben eingeschränkt, wo ich mich an die Domäne anmelden darf.

Exchange und AD-Server sind identisch. Wo kann ich nun einstellen, dass ich mich am Exchange von überall anmelden darf? Handys melden sich doch gar nicht in der Domäne an.

 

Wenn Du den PC beim Benutzerobjekt wieder entfernst, kann sich dann der Benutzer mit Outlook am Exchange anmelden?

 

Klappt leider nicht.

 

Was klappt nicht? Kannst Du den Exchange dort nicht eintragen oder hast Du ihn eingetragen und der Benutzer kann sich immer noch nicht mit Outlook am Exchange anmelden?

 

Ich finde es schade, dass hier gleich eine Grundsatzdiskussion abgebrochen wird, anstatt mit den Einstellungen weiterzuhelfen.

 

Manchmal helfen solche Diskussionen mehr als das stumpfe posten von Einstellungsmöglichkeiten.

[NorbertFe 2.104]

Genau, ist ja eigentlich kein Problem.

 

Naja meins nicht, aber du stellst hier die Frage wenn was nicht geht, oder? ;)

 

 

Ich habe nicht die Anmeldung am PC eingestellt sondern die Anmeldung an der Domäne. Nur eben eingeschränkt, wo ich mich an die Domäne anmelden darf.

 

Hab ich was anderes gesagt?

 

Exchange und AD-Server sind identisch. Wo kann ich nun einstellen, dass ich mich am Exchange von überall anmelden darf?[/Quote]

 

Ich scheine in einer Sprache zu schreiben, die unverständlich ist. Ich habe dir die Möglichkeiten genannt.

 

Handys melden sich doch gar nicht in der Domäne an.

 

Ja, tun sie nicht, und? Der Nutzer dessen Postfach du auf dem Handy lesen willst tut es aber. Und rate mal, wo der sich anmeldet.

 

 

Klappt leider nicht.

 

Das kann schonmal einen Moment dauern.

 

Es geht nicht um die lokale Anmeldung!

 

Na dann hast du also gar kein Problem, ist doch gut. ;)

 

[/Quote]Ich finde es schade, dass hier gleich eine Grundsatzdiskussion abgebrochen wird, anstatt mit den Einstellungen weiterzuhelfen.

 

Nur weil du meine Antworten so.f findest, heißt das nicht, dass ich dir keine Lösung mitgeteilt habe. Du musst es nur akzeptieren.

 

Wofür gibt es den die Einstellung "Anmelden an..."?

Würde mir Exchange nicht blockiert wäre es genau dass, was ich bräuchte.

 

Hier der Auszug aus der Windowshilfe:

Anmelden

Klicken Sie hier, um Anmeldeeinschränkungen für Arbeitsstationen anzugeben, sodass dieser Benutzer sich nur an bestimmten Computern in der Domäne anmelden kann. Standardmäßig kann sich ein Benutzer an jedem Arbeitsstationscomputer in der Domäne anmelden. Beachten Sie, dass dieses Steuerelement nicht die Möglichkeit des Benutzers beeinträchtigt, sich mithilfe eines lokalen Computerkontos statt eines Domänenkontos lokal an einem Computer anzumelden.

 

Glaub mir einfach, dass die oben genannten Möglichkeiten funktionieren und die zweite sogar die technisch saubere wäre, die solche Probleme wie du sie siehst gar nicht erst produziert hätte. Aber ergib doch ruhig der Grundsatzdiskussion. Wir sind alle böse und helfen dir mit Absicht nicht. :rolleyes:

 

Bye

Norbert

 

Ps: http://4sysops.com/archives/deny-and-allow-workstation-logons-with-group-policy/