Jump to content

Zugangssteuerung in Gesamtstruktur


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Einen wunderschönen guten Abend,

 

hat jemand einen erfolgsversprechenden Tipp für mich, wie man bestimmten Benutzern innerhalb einer Gesamtstruktur den Zugrif auf die anderen Domänen der Gesamtstruktur untersagt?

Die Domänen haben untereinander alle eine Vertrauensstellung,

Ich möchte eine Gruppe von Benutzern definieren, die sich nur an der eigenen Domäne anmelden dürfen. Eine Anmeldung an den anderen Domänen der Struktur soll für diese Benuter nicht möglich sein.

Ich suche schon ewig in den Gruppenrichtlinen, finde aber keine passende Richtline.

Den Zugriff auf Resoursen fremder Domänen kann ich über die NTFS Berechtigungen der Resourcen direkt steuern. Aber nicht die Anmeldung an einer fremdem Domäne-

 

Ich danke und wünsche noch einen schönen Sonntag Abend.

 

Oli

Link zu diesem Kommentar
vor 2 Minuten schrieb cj_berlin:

Moin,

 

User Rights Assignments --> Allow Log On Locally + Deny Log On Locally

 

In allen "unzulässigen" Domänen diese Gruppe in das "Deny Log On locally"-Recht stecken und auf alle Member-Maschinen anwenden.

 

 

Moin nach Berlin,

 

Danke. Bei der Richtline "Lokal anmelden verweigern" war ich auch schon. Aber verhindert das nicht nur, daß sich ein Benutzer lokal auf dem entsprechenden Pc anmelden kann? 

Der benutzer  kann sich doch dann noch immer von seinem eigenen  PC an anderen Domänen anmelden.

 

 

Link zu diesem Kommentar
vor 1 Minute schrieb Oli72:

Der benutzer  kann sich doch dann noch immer von seinem eigenen  PC an anderen Domänen anmelden.

Wie meinen? Der Benutzer kann sich eh nur an der Domäne anmelden, zu der er gehört. Wenn Du auch Netzwerkzugriff beschränken willst, musst Du die Gruppe in alle Deny-Rechte stecken, die da angeboten werden: Remote Logon, Batch Logon und vor allem "Access this computer from network". Es bleibt aber natürlich die Frage

images?q=tbn:ANd9GcRhkTiJvZzuUrVVhorI6h0

 

Was willst Du mit dieser Übung wirklich erreichen? Die Security Boundary im AD ist der Forest, nicht die Domäne innerhalb des Forests.

Link zu diesem Kommentar

Und um die Begrifflichkeiten mal etwas aufzuräumen: Ein User meldet sich nicht an einer Domäne an - er authentifiziert sich nur ihr gegenüber. Danach ist er "Authenticated User" in der Gesamtstruktur, und genau das ist wohl Dein Problem :-) Tatsächlich "anmelden" passiert danach (!) da, wo dann ein Prozess unter der Identität des Users läuft - sei es ein vollständiger Desktop, sei es RDP (Desktop oder App) oder auch runas. Und das klappt nur, wenn der User aufgrund seiner Gruppenmitgliedschaften ein entsprechendes TGS bekommen kann.

 

Der Zugriff auf Domänendaten wiederum benötigt nur eine Authentifizierung - die "Anmeldung" haben wir ja schon erledigt. Und "by default" haben Authentifizierte Benutzer innerhalb einer Gesamtstruktur Leserechte auf nahezu alles.

 

LOM wäre eine Lösung... Aber das kriegst Du nicht mit Hilfe eines Forums implementiert.

Link zu diesem Kommentar
vor 14 Stunden schrieb daabm:

Und um die Begrifflichkeiten mal etwas aufzuräumen: Ein User meldet sich nicht an einer Domäne an - er authentifiziert sich nur ihr gegenüber. Danach ist er "Authenticated User" in der Gesamtstruktur, und genau das ist wohl Dein Problem :-) Tatsächlich "anmelden" passiert danach (!) da, wo dann ein Prozess unter der Identität des Users läuft - sei es ein vollständiger Desktop, sei es RDP (Desktop oder App) oder auch runas. Und das klappt nur, wenn der User aufgrund seiner Gruppenmitgliedschaften ein entsprechendes TGS bekommen kann.

 

Der Zugriff auf Domänendaten wiederum benötigt nur eine Authentifizierung - die "Anmeldung" haben wir ja schon erledigt. Und "by default" haben Authentifizierte Benutzer innerhalb einer Gesamtstruktur Leserechte auf nahezu alles.

 

LOM wäre eine Lösung... Aber das kriegst Du nicht mit Hilfe eines Forums implementiert.

 

vielen Dank für die Hilfe und Erklärung.

Über das Stichwort "authentifizierte Benutzer"  habe ich jetzt einen Ansatz weiter daran zu arbeiten.

Ich muß das auch nicht umsetzen. Hier geht es um ein theoretisches Problem. zum Glück :-)  

Ich dachte nur es gibt irgendwo eine Gruppenrichtliene, die verhindert, das auf einem Rechner alle in der GS verfügbaren Domänen überhaupt auf der Anmeldemaske  angeboten werden.

Aber logisch. Die Anmeldemaske unter Windows hat ja noch nichts mit den enzelnen Resourcen zu tun.

 

 

 

Link zu diesem Kommentar
vor 33 Minuten schrieb Oli72:

Ich dachte nur es gibt irgendwo eine Gruppenrichtliene, die verhindert, das auf einem Rechner alle in der GS verfügbaren Domänen überhaupt auf der Anmeldemaske  angeboten werden.

Aber logisch. Die Anmeldemaske unter Windows hat ja noch nichts mit den enzelnen Resourcen zu tun.

Die Anmeldemaske zeigt doch seit Windows 8 nur eine Domäne an? *welche* das ist, dafür gibt es tatsächlich eine Richtlinie. Die ist aber computerbezogen.

bearbeitet von cj_berlin
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...