Oli72 1 Geschrieben 9. Januar 2022 Melden Teilen Geschrieben 9. Januar 2022 Einen wunderschönen guten Abend, hat jemand einen erfolgsversprechenden Tipp für mich, wie man bestimmten Benutzern innerhalb einer Gesamtstruktur den Zugrif auf die anderen Domänen der Gesamtstruktur untersagt? Die Domänen haben untereinander alle eine Vertrauensstellung, Ich möchte eine Gruppe von Benutzern definieren, die sich nur an der eigenen Domäne anmelden dürfen. Eine Anmeldung an den anderen Domänen der Struktur soll für diese Benuter nicht möglich sein. Ich suche schon ewig in den Gruppenrichtlinen, finde aber keine passende Richtline. Den Zugriff auf Resoursen fremder Domänen kann ich über die NTFS Berechtigungen der Resourcen direkt steuern. Aber nicht die Anmeldung an einer fremdem Domäne- Ich danke und wünsche noch einen schönen Sonntag Abend. Oli Zitieren Link zu diesem Kommentar
cj_berlin 1.313 Geschrieben 9. Januar 2022 Melden Teilen Geschrieben 9. Januar 2022 Moin, User Rights Assignments --> Allow Log On Locally + Deny Log On Locally In allen "unzulässigen" Domänen diese Gruppe in das "Deny Log On locally"-Recht stecken und auf alle Member-Maschinen anwenden. Zitieren Link zu diesem Kommentar
Oli72 1 Geschrieben 9. Januar 2022 Autor Melden Teilen Geschrieben 9. Januar 2022 vor 2 Minuten schrieb cj_berlin: Moin, User Rights Assignments --> Allow Log On Locally + Deny Log On Locally In allen "unzulässigen" Domänen diese Gruppe in das "Deny Log On locally"-Recht stecken und auf alle Member-Maschinen anwenden. Moin nach Berlin, Danke. Bei der Richtline "Lokal anmelden verweigern" war ich auch schon. Aber verhindert das nicht nur, daß sich ein Benutzer lokal auf dem entsprechenden Pc anmelden kann? Der benutzer kann sich doch dann noch immer von seinem eigenen PC an anderen Domänen anmelden. Zitieren Link zu diesem Kommentar
cj_berlin 1.313 Geschrieben 9. Januar 2022 Melden Teilen Geschrieben 9. Januar 2022 vor 1 Minute schrieb Oli72: Der benutzer kann sich doch dann noch immer von seinem eigenen PC an anderen Domänen anmelden. Wie meinen? Der Benutzer kann sich eh nur an der Domäne anmelden, zu der er gehört. Wenn Du auch Netzwerkzugriff beschränken willst, musst Du die Gruppe in alle Deny-Rechte stecken, die da angeboten werden: Remote Logon, Batch Logon und vor allem "Access this computer from network". Es bleibt aber natürlich die Frage Was willst Du mit dieser Übung wirklich erreichen? Die Security Boundary im AD ist der Forest, nicht die Domäne innerhalb des Forests. 1 Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 10. Januar 2022 Melden Teilen Geschrieben 10. Januar 2022 Und um die Begrifflichkeiten mal etwas aufzuräumen: Ein User meldet sich nicht an einer Domäne an - er authentifiziert sich nur ihr gegenüber. Danach ist er "Authenticated User" in der Gesamtstruktur, und genau das ist wohl Dein Problem Tatsächlich "anmelden" passiert danach (!) da, wo dann ein Prozess unter der Identität des Users läuft - sei es ein vollständiger Desktop, sei es RDP (Desktop oder App) oder auch runas. Und das klappt nur, wenn der User aufgrund seiner Gruppenmitgliedschaften ein entsprechendes TGS bekommen kann. Der Zugriff auf Domänendaten wiederum benötigt nur eine Authentifizierung - die "Anmeldung" haben wir ja schon erledigt. Und "by default" haben Authentifizierte Benutzer innerhalb einer Gesamtstruktur Leserechte auf nahezu alles. LOM wäre eine Lösung... Aber das kriegst Du nicht mit Hilfe eines Forums implementiert. 1 Zitieren Link zu diesem Kommentar
Oli72 1 Geschrieben 11. Januar 2022 Autor Melden Teilen Geschrieben 11. Januar 2022 vor 14 Stunden schrieb daabm: Und um die Begrifflichkeiten mal etwas aufzuräumen: Ein User meldet sich nicht an einer Domäne an - er authentifiziert sich nur ihr gegenüber. Danach ist er "Authenticated User" in der Gesamtstruktur, und genau das ist wohl Dein Problem Tatsächlich "anmelden" passiert danach (!) da, wo dann ein Prozess unter der Identität des Users läuft - sei es ein vollständiger Desktop, sei es RDP (Desktop oder App) oder auch runas. Und das klappt nur, wenn der User aufgrund seiner Gruppenmitgliedschaften ein entsprechendes TGS bekommen kann. Der Zugriff auf Domänendaten wiederum benötigt nur eine Authentifizierung - die "Anmeldung" haben wir ja schon erledigt. Und "by default" haben Authentifizierte Benutzer innerhalb einer Gesamtstruktur Leserechte auf nahezu alles. LOM wäre eine Lösung... Aber das kriegst Du nicht mit Hilfe eines Forums implementiert. vielen Dank für die Hilfe und Erklärung. Über das Stichwort "authentifizierte Benutzer" habe ich jetzt einen Ansatz weiter daran zu arbeiten. Ich muß das auch nicht umsetzen. Hier geht es um ein theoretisches Problem. zum Glück Ich dachte nur es gibt irgendwo eine Gruppenrichtliene, die verhindert, das auf einem Rechner alle in der GS verfügbaren Domänen überhaupt auf der Anmeldemaske angeboten werden. Aber logisch. Die Anmeldemaske unter Windows hat ja noch nichts mit den enzelnen Resourcen zu tun. Zitieren Link zu diesem Kommentar
cj_berlin 1.313 Geschrieben 11. Januar 2022 Melden Teilen Geschrieben 11. Januar 2022 (bearbeitet) vor 33 Minuten schrieb Oli72: Ich dachte nur es gibt irgendwo eine Gruppenrichtliene, die verhindert, das auf einem Rechner alle in der GS verfügbaren Domänen überhaupt auf der Anmeldemaske angeboten werden. Aber logisch. Die Anmeldemaske unter Windows hat ja noch nichts mit den enzelnen Resourcen zu tun. Die Anmeldemaske zeigt doch seit Windows 8 nur eine Domäne an? *welche* das ist, dafür gibt es tatsächlich eine Richtlinie. Die ist aber computerbezogen. bearbeitet 11. Januar 2022 von cj_berlin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.