DocMF 10 Geschrieben 14. November 2017 Melden Teilen Geschrieben 14. November 2017 Hallo, standardgemäß wird ja bei jedem Domain-Client die Gruppe "Domänen-Benutzer" zur lokalen Benutzer-Gruppe hinzugefügt, d.h. jeder User kann sich auf jedem Domain-Client einloggen. Das möchte ich nun verhindern. In den Eigenschaften eines AD-Users gibt es ja die Option "Anmelden an...", die ich aber aus zwei Gründen nicht nutzen möchte: - Aufwand, das bei jedem User händisch einzutragen - die Option müsste eigentlich "Anmelden von..." heißen, denn hier muss man die Hostnames eintragen VON denen man sich einloggen will (was Probleme macht, wenn die Mitarbeiter über VPN arbeiten) Daher meine Frage: welche Möglichkeiten habe ich noch? Müsste ich die Gruppe "Domain-Benutzer" aus der lokalen Benutzer-Gruppe der Clients entfernen und nur den Domain-User eintragen (geht das oder hat das unerwünschte Nebenwirkungen?) oder gibt es einen komfortableren Weg? Danke schon mal im Voraus! Grüße DocMF Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. November 2017 Melden Teilen Geschrieben 14. November 2017 Daher meine Frage: welche Möglichkeiten habe ich noch? Müsste ich die Gruppe "Domain-Benutzer" aus der lokalen Benutzer-Gruppe der Clients entfernen und nur den Domain-User eintragen (geht das oder hat das unerwünschte Nebenwirkungen?) oder gibt es einen komfortableren Weg? Sinnvollerweise trägt man dort dann aber keinen einzelnen Nutzer ein, sondern wieder eine neue Gruppe. Alternativ kann man natürlich auch das Anmelden für bestimmte User verweigern. Je nachdem, was dir logischer erscheint. Zitieren Link zu diesem Kommentar
DocMF 10 Geschrieben 14. November 2017 Autor Melden Teilen Geschrieben 14. November 2017 Vielen Dank für die schnelle Antwort. Ok, d.h. aber einen ganz anderen Weg (den ich gar nicht auf dem Schirm hatte) gibt es nicht, oder? In dem Fall würde ich dann die Domain-User-Gruppe auf den Clients rausschmeißen und durch eine geeignete Gruppe oder User ersetzen Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 14. November 2017 Melden Teilen Geschrieben 14. November 2017 Moin, man kann die lokale Anmeldung auch per Gruppenrichtlinie steuern. Dort gibt es sowohl das Erlauben als auch das Verweigern (bei den Benutzerrechten auf Computerebene). Vermutlich das, was Norbert meinte. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 14. November 2017 Melden Teilen Geschrieben 14. November 2017 Genau das meinte ich. Zitieren Link zu diesem Kommentar
DocMF 10 Geschrieben 16. November 2017 Autor Melden Teilen Geschrieben 16. November 2017 Ok, danke. Diese Variante wäre für mich insofern aber umständlich, da ich (bis auf wenige Ausnahmen) jedem User nur Berechtigungen zum Anmelden auf seinen PC geben will. Und dann würde ich für jeden PC eine eigene Gruppenrichtlinie benötigen (wenn ich jetzt nicht auf dem Schlauch stehe) Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 16. November 2017 Melden Teilen Geschrieben 16. November 2017 Hi, da würde ich jetzt einfach mal nach dem "Warum?" fragen. Evtl. finden sich dann ja (bessere) Alternativen. Gruß Jan Zitieren Link zu diesem Kommentar
DocMF 10 Geschrieben 16. November 2017 Autor Melden Teilen Geschrieben 16. November 2017 Hallo, Warum ich das so einschränken will? Primär sollen sich natürlich Mitarbeiter nicht an PCs einloggen können, die "nichts für sie sind" (z.B. Vorgesetzte etc.). Ich bin gerade am Überlegen, ob ich als ersten Step erstmal nicht jeden Mitarbeiter nur auf seinen eigenen PC lasse, sondern erstmal die PCs der Vorgesetzten einschränke, das könnte ich mir unserer OU-Struktur wahrscheinlich auch hinbekommen, ohne übermäßig großen Aufwand. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. November 2017 Melden Teilen Geschrieben 16. November 2017 Deswegen wärs eben einfacher den Usern dort die Anmeldung zu verweigern. ;) Kleinere Zielgruppe weniger Aufwand. Zitieren Link zu diesem Kommentar
DocMF 10 Geschrieben 16. November 2017 Autor Melden Teilen Geschrieben 16. November 2017 Moment, ich habe Computer- und Benutzerebene verwechselt, die OU-Struktur der Computer ist deutlich weniger unterteilt als die User-OUs (und damit für die Verwendung per GPO so erstmal nicht geeignet). Dann werde ich mir hier etwas überlegen müssen, trotzdem vielen Dank für Eure Hilfe/Infos! Doch nochmal ich: wenn man es per GPO macht, müsste man es folgendermaßen machen, um zu erreichen, dass sich nur ein bestimmter User einloggen kann: unter "Lokal anmelden verweigern" müsste man ALLE anderen Domain-User eintragen (diese Liste müsste man dann natürlich bei neuen Usern pflegen etc.) außer dem User, der sich anmelden soll. Das wäre ja ein irrer Aufwand (oder sehe ich etwas falsch?). Microsoft muss sich doch für den Fall "Mitarbeiter sollen sich nicht an Rechnern von Chefs einloggen können" mal irgendetwas überlegt haben Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. November 2017 Melden Teilen Geschrieben 16. November 2017 Ich verstehe nicht, was so schwierig ist an den zwei Szenarien. 1. Du erlaubst nur denjenigen die Anmeldung die es dürfen und verweigerst nichts 2. Du erlaubst pauschal allen die Anmeldung (Standard) und verweigerst es explizit denen, die sich nicht anmelden dürfen sollen. Wieviele Überlegungen hätte MS denn deiner Meinung noch anstellen sollen? Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 16. November 2017 Melden Teilen Geschrieben 16. November 2017 Du kannst doch auch Computer in Sicherheitsgruppen packen und das GPO auf die Sicherheitsgruppe filtern. Zitieren Link zu diesem Kommentar
DocMF 10 Geschrieben 16. November 2017 Autor Melden Teilen Geschrieben 16. November 2017 @Norbert: in der Theorie ist das schön, in der Praxis aber weniger (vielleicht stehe ich aber grad wirklich auf dem Schlauch): Zu 1.: so ist ja die Ausgangssituation: jeder darf sich überall anmelden, d.h. ich muss an irgendeiner Stelle entweder erstmal Berechtigungen entfernen oder Einschränkungen setzen. Berechtigungen entfernen würde bedeuten, ich bearbeite die Benutzergruppe auf den jeweiligen PCs (was ich aber als riskant empfände, da ich mir gut vorstellen kann, dass das Nebenwirkungen hat). Umständlich wäre es aber so oder so. Was das Einschränkungen setzen angeht wären wir dann bei Punkt 2. Zu 2.: Verweigern ist relativ umständlich, denn wenn ich auf einem PC nur einen User erlauben will, muss ich alle anderen verweigern, d.h. ich müsste für jeden PC, für den ich die Anmeldungen beschränken will, eine extra Gruppe führen, in der jeweils sämtliche User enthalten sind, bis auf den der sich anmelden darf. Und das dann noch für mehrere Clients zu machen... MS hätte z.b. bei den Computerobjekten eine Einstellung implementieren könne, in der man Domänen-User eintragen kann, die sich auf dem Client einloggen dürfen. Das würde mein Problem einfach (zumindest einfacher als die restlichen Optionen) und vor allem übersichtlich lösen. @Sunny61: wenn ich deinen Vorschlag richtig verstehe, müsste ich dann aber trotzdem für jeden Client eine GPO anlegen oder? Das muss ich mal durchspielen, danke Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 16. November 2017 Melden Teilen Geschrieben 16. November 2017 (bearbeitet) Moin, du hast den Vorgang noch nicht verstanden. Genau das, was du suchst, ist bereits implementiert. Ordne die Computer passend in OUs an oder erzeuge passende Computergruppen. Verknpüfe (und ggf. berechtige) ein GPO, in dem du unter "Benutzerrechte" festlegst, wer sich a.) ausdrücklich anmelden darf oder b.) ausdrücklich nicht anmelden darf. Alternative: Du definierst pro Computer oder pro Computer-Typ eine Gruppe, die diejenigen Benutzer enthält, die sich anmelden dürfen. Diese Gruppe (und nur diese) definierst du dann per GPO und "Eingeschränkte Gruppen" als Mitglied der lokalen Gruppe "Benutzer". Wobei ich den ersten Weg praktischer finde. Kein Bedarf, an den Computern rumzumachen. Gruß, Nils bearbeitet 16. November 2017 von NilsK Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. November 2017 Melden Teilen Geschrieben 16. November 2017 @Norbert: in der Theorie ist das schön, in der Praxis aber weniger (vielleicht stehe ich aber grad wirklich auf dem Schlauch): Eindeutig letzteres. :p Zu 1.: so ist ja die Ausgangssituation: jeder darf sich überall anmelden, d.h. ich muss an irgendeiner Stelle entweder erstmal Berechtigungen entfernen oder Einschränkungen setzen. Berechtigungen entfernen würde bedeuten, ich bearbeite die Benutzergruppe auf den jeweiligen PCs (was ich aber als riskant empfände, da ich mir gut vorstellen kann, dass das Nebenwirkungen hat). Umständlich wäre es aber so oder so. Falsch, du sollst nicht die Benutzergruppe bearbeiten, sondern die Anmeldeberechtigung einschränken. Zu 2.: Verweigern ist relativ umständlich, denn wenn ich auf einem PC nur einen User erlauben will, muss ich alle anderen verweigern, d.h. ich müsste für jeden PC, für den ich die Anmeldungen beschränken will, eine extra Gruppe führen, in der jeweils sämtliche User enthalten sind, bis auf den der sich anmelden darf. Und das dann noch für mehrere Clients zu machen... Deswegen hab ich ja gesagt, das muß man sehen, welche Option die jeweils praktischere für den eigenen Zweck ist. MS hätte z.b. bei den Computerobjekten eine Einstellung implementieren könne, in der man Domänen-User eintragen kann, die sich auf dem Client einloggen dürfen. Das würde mein Problem einfach (zumindest einfacher als die restlichen Optionen) und vor allem übersichtlich lösen. Gibt's ja, nur ist das eben nicht sicher und zweitens auch nicht wirklich sinnvoller. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.