Jump to content

Windows Server 2022 - Service-Account?


Direkt zur Lösung Gelöst von MurdocX,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich würde gerne einen Service-Account in Windows Server 2022 anlegen. Also einen Benutzer, der sich gegenüber AD authenifizieren, aber nicht an einem Computer anmelden kann.

Ziel ist es, dass man damit zum Beispiel Dokuwiki an AD anbindet oder Kopierer auf eine Dateifreigabe auf dem Server scannen können, also letztlich halt externe Dienste an AD anbinden kann.

 

Ich meine, dass es früher auch mal eine entsprechende Checkbox in der Benutzverwaltung auf dem Server gab, aber entweder finde ich sie nicht mehr oder die Option wurde gestrichen. Früher habe ich sowas nicht verwendet, aber jetzt mit der kompletten Neustrukturierung von Netzwerk und Server soll es natürlich richtig gemacht werden.

Link zu diesem Kommentar

Moin,

 

im User-Account kannst Du nur die Workstations hinterlegen, von denen aus es sich anmelden darf, und Zeiten. Wenn das DokuWiki (ich nehme an, auf Linux) damit klar kommt, ist das Problem schon gelöst.

 

Für alles andere gibt es Policies ("loklae Anmeldung verweigern", "Anmeldung über remotedesktopdienste verweigern" usw.) womit Du den Member-Maschinen mitteilen kannst, dass dieses Acount sich NICHT dort interaktiv anmelden darf.

Link zu diesem Kommentar
Geschrieben (bearbeitet)
vor 9 Stunden schrieb Dukel:

@Cryer Wo siehst du den Unterschied zwischen Funktions und Service Account?

 

Service-Account: Account zur Anbindung und Authentifizierung externer Dienste gegenüber AD. Anmeldung an PCs damit nicht möglich.

Funktionsaccount: Kann nur an Computen verwendet werden, bei denen der Account hinterlegt wurde. Bei allen anderen Geräten wird die Anmeldung verweigert.

bearbeitet von Cryer
Link zu diesem Kommentar
vor einer Stunde schrieb Cryer:

 

Service-Account: Account zur Anbindung und Authentifizierung externer Dienste gegenüber AD. Anmeldung an PCs damit nicht möglich.

Funktionsaccount: Kann nur an Computen verwendet werden, bei denen der Account hinterlegt wurde. Bei allen anderen Geräten wird die Anmeldung verweigert.

Siehst Du, und für Windows-Menschen ist ein Service-Account einer, unter dem ein Dienst ausgeführt wird 😊

 

Drum frage ich ja.

Link zu diesem Kommentar
Am 17.5.2024 um 19:25 schrieb cj_berlin:

Siehst Du, und für Windows-Menschen ist ein Service-Account einer, unter dem ein Dienst ausgeführt wird 😊

 

Drum frage ich ja.

OK, dann hatte ich die interne Bezeichnung eines anderen Unternehmens wo das so bezeichnet wird falsch verwendet. Sorry Leute.

 

Um dann aber wieder auf das Thema zu kommen:

Wie kann ich einen Account erstellen, den man zur Anbindung externer Dienste verwendet, ggf. auch rechtemäßig entsprechend einschränken, dass ausschließlich eine Authentifizierung damit stattfinden kann, aber keine Anmeldung an den Clients möglich ist? Geht das ausschließlich über GPO oder kann man irgendwo, ggf. über PowerShell ein entsprechendes Benutzerattribut setzen?

Link zu diesem Kommentar
  • Beste Lösung
vor 3 Stunden schrieb Cryer:

Wie kann ich einen Account erstellen, den man zur Anbindung externer Dienste verwendet, ggf. auch rechtemäßig entsprechend einschränken, dass ausschließlich eine Authentifizierung damit stattfinden kann, aber keine Anmeldung an den Clients möglich ist?

 

Ohne Anpassungen an Clients oder User-Objekten durchführen zu müssen, kannst du das mit einem "Group Managed Service Account" erreichen. Ich vermute mal, dass es das ist was du suchst. 

 

Schau mal hier:

 

Warum ist die Frage nicht einfach zu beantworten?

Es gibt mehrere Service-Typen. Jeder hat seine eigenen Bedingungen und Einsatzszenarien. Service Accounts | Microsoft Learn

 

  • Virtuelle Accounts
  • Managed Service Account
  • Group Managed Service Account
  • Benutzer Account (Kann dafür genutzt werden. Hat auch Nachteile)

 

VG,

Jan

  • Like 1
  • Danke 1
Link zu diesem Kommentar
vor 2 Stunden schrieb MurdocX:

 

Ohne Anpassungen an Clients oder User-Objekten durchführen zu müssen, kannst du das mit einem "Group Managed Service Account" erreichen. Ich vermute mal, dass es das ist was du suchst. 

 

Schau mal hier:

 

Warum ist die Frage nicht einfach zu beantworten?

Es gibt mehrere Service-Typen. Service Accounts | Microsoft Learn

 

  • Virtuelle Accounts
  • Managed Service Account
  • Group Managed Service Account
  • Benutzer Account (Kann dafür genutzt werden. Hat auch Nachteile)

 

VG,

Jan

Darf ich kurz fragen was ein virtueller Account ist? 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...