HeizungAuf5 13 Geschrieben 11. Mai 2020 Melden Teilen Geschrieben 11. Mai 2020 (bearbeitet) Hallo zusammen, wir möchten bei uns die Anmeldung von bestimmten Userkonten an bestimmte Server binden. Hierfür nutzen wir die Anmeldebeschränkung ("Anmelden an...") bei den AD Benutzern. Allerdings wird die Anmeldung selbst auf den "zugelassenen" Servern verweigert: Der Server, auf den ich mich verbinden will ist auch eingetragen: Lokal kann ich mich an der VM mit den Anmeldedaten anmelden (lokal funktioniert das auch, dass ich mich nur dort anmelden kann). Nur die RDP Verbindung wird weg geblockt. Auf dem Server selbst sind auch alle Domänenbenutzer zugelassen und der Admin-Account auch extra nochmal aufgeführt: Das gleiche gilt für die Gruppenrichtlinie (auf der VM, auf die zugegriffen werden soll) Die Gruppenrichtlinie zum verweigern der Anmeldung ist komplett leer. Der DNS Eintrag wird auch korrekt aufgelöst. Jemand eine Idee? Danke! //edit Noch kurz als Anmerkung, wenn ich im AD das "Anmelden an" für de Benutzer deaktiviere funktioniert die Anmeldung bearbeitet 11. Mai 2020 von HeizungAuf5 Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 11. Mai 2020 Melden Teilen Geschrieben 11. Mai 2020 Hi, ich würde es gar nicht erst an der Stelle im AD-Objekt des Users anfangen sondern mit Gruppenrichtlinien und "Deny / Allow Logon Localy" sowie "Deny / Allow Logon through Remote Desktop Services" arbeiten. Gruß Jan Zitieren Link zu diesem Kommentar
HeizungAuf5 13 Geschrieben 11. Mai 2020 Autor Melden Teilen Geschrieben 11. Mai 2020 Hallo @testperson vor 3 Minuten schrieb testperson: sondern mit Gruppenrichtlinien und "Deny / Allow Logon Localy" sowie "Deny / Allow Logon through Remote Desktop Services" Das Problem dabei ist die Menge der Server. Die Anmeldeberechtigungen ändern sich auch oft. Heißt ich müsste die Domäne mit Tonnenweise Gruppenrichtlinien für die Server erschlagen und wenn sich mal was ändert, alle Richtlinien anpassen. Daher würde ich gerne mit der Anmeldebeschränkung arbeiten. Kein Vorwurf an dich, aber wenn das eh nicht ordentlich funktioniert, wozu gibt es die Funktion denn dann? Grüße! Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 11. Mai 2020 Melden Teilen Geschrieben 11. Mai 2020 15 minutes ago, HeizungAuf5 said: Hallo @testperson Die Anmeldeberechtigungen ändern sich auch oft. Heißt ich müsste die Domäne mit Tonnenweise Gruppenrichtlinien für die Server erschlagen und wenn sich mal was ändert, Wieso ändert sich das oft? Klingt nach einem konzeptionellen Problem. Außerdem musst du nicht jedes mal die Richtlinien ändern, sondern kannst die Benutzer in Gruppen zusammenfassen und diese bearbeiten. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 11. Mai 2020 Melden Teilen Geschrieben 11. Mai 2020 Hi, selbst bzw. grade wenn da viel Rotation drin ist, würde ich mich einmal hinsetzen und das mit PowerShell entsprechend automatisieren. In grob: Sicherheitsgruppe für den/die Server anlegen und den/die betreffenden Server aufnehmen Sicherheitsgruppe für die berechtigten / nicht berechtigten User erstellen und User aufnehmen "Vorlagen GPO" erstellen und entsprechend konfigurieren ("Authenticated Users" aus der Sicherheitsfilterung raus / die Gruppe mit den Computerkonten rein; Allow / Deny Logon locally bzw. Remote Desktop anhand der User Gruppen konfigurieren) "Vorlagen GPO" sichern "Test GPO" erstellen und "Vorlagen GPO Sicherung" importieren und eine entsprechende Migration-Table erstellen Wenn das händisch läuft würde ich im nächsten Step ein PowerShell Script erstellen, welches das genau für einen weiteren (Test) Server automatisiert. Wenn das funktioniert, wäre der nächste Schritt die Erweiterung sich die Server / Computer aus dem AD zu ziehen oder den Input aus einer CSV / TXT Datei zu holen. Kommt ein neuer / weitere neue Server -> Script ausführen Änderungen der Berechtigungen -> Gruppenmitgliedschaften anpassen Werden Server gelöscht -> "Aufräumen" vor 38 Minuten schrieb HeizungAuf5: Daher würde ich gerne mit der Anmeldebeschränkung arbeiten. Kein Vorwurf an dich, aber wenn das eh nicht ordentlich funktioniert, wozu gibt es die Funktion denn dann? Im AD gibt es sehr viele Relikte aus vergangenen Tagen, die zur Kompatibilität (wofür auch immer) noch da sind. Ob das "Anmelden an" dazu gehört, kann ich dir nicht sagen. Ich würde das oder auch Profile / RDS Profile niemals im User-Objekt konfigurieren. Da sich hier allerdings in dem Bereich weitaus kompetentere User tummeln, ist es gut möglich, dass es elegantere / einfacherere Wege gibt. ;) Gruß Jan Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 11. Mai 2020 Melden Teilen Geschrieben 11. Mai 2020 vor 16 Minuten schrieb testperson: , wozu gibt es die Funktion denn dann? Weils halt bei NT4 schon da war. Und es dort keine anderen Optionen gab. Vielleicht hilft dir das: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.