catao 11 Geschrieben 6. August 2019 Melden Teilen Geschrieben 6. August 2019 (bearbeitet) Hallo Zusammen, ich habe eine GPO, in der ich die Anmeldung (für alle Server, in der OU) nur mittels einer Smartcard erlauben darf. Das funktioniert auch, jedoch gibt es eine bestimmte Admingruppe, welche sich weiterhin mit Benutzernamen und Passwort anmelden soll. In der GPO Delegation habe ich hierzu dieser Admingruppe den Punkt "Apply group policy" auf Deny gesetzt. Mein Problem ist, dass ich eine Anmeldung ohne Smartcard nicht hin bekomme. Den Weg, die Authentifizierte User zu löschen und nur einer bestimmten Usergruppe das Recht "Apply group policy" zu geben, hat mich auch nicht zum Ziel gebracht. Wollte zumindest so testen, ob der Weg funktioniert, in dem ich einer Gruppe das Recht auf die GPO gebe und der anderen verweigere. Nur auch das klappt nicht. Eine andere Idee war, dass ich zwei GPOs anlege/verlinke. In der ersten setze ich die Smartcard Anmeldung auf enable und in der zweiten auf disabled. Von der Priorität die SmartCard vor der Admin GPO und dann wechselseitig die Berechtigungen setzen/verbieten. Das hat leider auch nicht geklappt. Ich habe das Problem, dass entweder nur SmartCard-Authentifizierung möglich ist oder die nach Benutzernamen und Kennwort gefragt wird. Das entweder/oder, in Verbindung mit der Gruppenzugehörigkeit, will nicht funktionieren. Die Frage ist, wo habe ich einen Gedankenfehler? Tausend Dank schon mal im Voraus. Viele Grüße Sascha bearbeitet 6. August 2019 von catao Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 6. August 2019 Melden Teilen Geschrieben 6. August 2019 Hi, was hast du denn wo im GPO konfiguriert? Vermutlich hast du im Computer-Scope konfiguriert und möchtest jetzt auf Benutzer filtern. Das geht nicht. Ggruß Jan Zitieren Link zu diesem Kommentar
catao 11 Geschrieben 6. August 2019 Autor Melden Teilen Geschrieben 6. August 2019 Hi Jan, ja, bei dem Punkt "Interactive logon: Require smart card", handelt es sich um ein Computer-Scope. Mein Gedanke war, wenn ich Loopback auf Replace setze und mit einer extra Admingruppe arbeite, ich dann "hintenrum" doch zum Ziel komme. Komisch ist, dass ich gestern einmal einen Zustand erreicht habe, in dem ich mit dem "normalen" User nur mit SmartCard anmelden konnte und mit einem User, aus der Admingruppe, zwischen Passwort und Smartcard wählen konnte. Ich weiß noch, dass ich dann noch etwas geändert habe, nur bekomme ich nicht mehr genau zusammen was bzw. wie der vermeintlich funktionierende Zustand war. :/ Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 6. August 2019 Melden Teilen Geschrieben 6. August 2019 vor 14 Minuten schrieb catao: wenn ich Loopback auf Replace setze Das geht aber nicht mit Computerrichtlinien, sondern nur mit Benutzerrichtlinien. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 6. August 2019 Melden Teilen Geschrieben 6. August 2019 An der Stelle würde ich aber auch den Sinn hinter der Anforderung zumindest ein wenig in Frage stellen. Warum sollen priviligierte Admin Konten sich am Server mit Passwort anmelden und der Rest darf nur per SmartCard ran? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 6. August 2019 Melden Teilen Geschrieben 6. August 2019 Weil alle Admins das selbe Konto nutzen? ;) Zitieren Link zu diesem Kommentar
catao 11 Geschrieben 6. August 2019 Autor Melden Teilen Geschrieben 6. August 2019 Nur ganz ausgewählte Admins sollen sich zu Wartungszwecken am Server anmelden können und alle anderen eben nicht. Die genaue Anforderung wurde mir so mit auf dem Weg gegeben: Es gibt zwei Server, an die sich eine noch zu definierenden Benutzergruppe nur mittels SmartCard anmelden kann. Oder es müssen sich alle Benutzer mittels SmartCard anmelden, bis auf Benutzer, die in einer bestimmten Benutzergruppe enthalten sind, welche sich mit Ihrem Usernamen und Passwort anmelden können. Wunschvorstellung ist die, dass eine Benutzergruppe nur mittels SmartCard und eine andere sich mit Usernamen und Passwort anmelden kann. Alle anderen User können sich nicht an diesen Servern anmelden. vor 2 Minuten schrieb NorbertFe: Weil alle Admins das selbe Konto nutzen? ;) Nein, es gibt für die ausgewählten Admins eine ganz eigene Gruppe. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 6. August 2019 Melden Teilen Geschrieben 6. August 2019 vor einer Stunde schrieb catao: Die genaue Anforderung wurde mir so mit auf dem Weg gegeben: Es gibt zwei Server, an die sich eine noch zu definierenden Benutzergruppe nur mittels SmartCard anmelden kann. Oder es müssen sich alle Benutzer mittels SmartCard anmelden, bis auf Benutzer, die in einer bestimmten Benutzergruppe enthalten sind, welche sich mit Ihrem Usernamen und Passwort anmelden können. Wunschvorstellung ist die, dass eine Benutzergruppe nur mittels SmartCard und eine andere sich mit Usernamen und Passwort anmelden kann. Alle anderen User können sich nicht an diesen Servern anmelden. Aus welcher Prüfungsfrage ist das denn? :) Zitieren Link zu diesem Kommentar
catao 11 Geschrieben 6. August 2019 Autor Melden Teilen Geschrieben 6. August 2019 vor 1 Stunde schrieb Sunny61: Aus welcher Prüfungsfrage ist das denn? :) Das ist direkt die Kundenanforderung. Klingt komisch, ist aber so. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 6. August 2019 Melden Teilen Geschrieben 6. August 2019 Userindividuelles "Require Smartcard" ist eine Eigenschaft des AD-Accounts, da kannst mit GPOs IMHO nix reißen... Aber ich bin da bei Server 2016 nicht ganz aktuell, vielleicht ist mit Authentication Silos was zu machen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.