Cryer 17 Geschrieben 16. Mai Melden Teilen Geschrieben 16. Mai Ich würde gerne einen Service-Account in Windows Server 2022 anlegen. Also einen Benutzer, der sich gegenüber AD authenifizieren, aber nicht an einem Computer anmelden kann. Ziel ist es, dass man damit zum Beispiel Dokuwiki an AD anbindet oder Kopierer auf eine Dateifreigabe auf dem Server scannen können, also letztlich halt externe Dienste an AD anbinden kann. Ich meine, dass es früher auch mal eine entsprechende Checkbox in der Benutzverwaltung auf dem Server gab, aber entweder finde ich sie nicht mehr oder die Option wurde gestrichen. Früher habe ich sowas nicht verwendet, aber jetzt mit der kompletten Neustrukturierung von Netzwerk und Server soll es natürlich richtig gemacht werden. Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 16. Mai Melden Teilen Geschrieben 16. Mai Moin, im User-Account kannst Du nur die Workstations hinterlegen, von denen aus es sich anmelden darf, und Zeiten. Wenn das DokuWiki (ich nehme an, auf Linux) damit klar kommt, ist das Problem schon gelöst. Für alles andere gibt es Policies ("loklae Anmeldung verweigern", "Anmeldung über remotedesktopdienste verweigern" usw.) womit Du den Member-Maschinen mitteilen kannst, dass dieses Acount sich NICHT dort interaktiv anmelden darf. Zitieren Link zu diesem Kommentar
Cryer 17 Geschrieben 16. Mai Autor Melden Teilen Geschrieben 16. Mai Ist das, was du da beschreibst nicht ein Funktionsaccount? Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 16. Mai Melden Teilen Geschrieben 16. Mai Ich weiß nicht, was ein "Funktionsaccount" in Deiner Welt ist Vielleicht. Aber genau das suchst Du doch, oder? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 17. Mai Melden Teilen Geschrieben 17. Mai @Cryer Wo siehst du den Unterschied zwischen Funktions und Service Account? Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 17. Mai Melden Teilen Geschrieben 17. Mai seServiceLogonRight, seDenyInteractiveLogonRight und seDenyRemoteInteractiveLogonRight sind die Rechte, auf die es hier ankommt Mit den Accounteinstellungen sollte man da gar nicht erst anfangen. Zum Einlesen: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Und nein, so eine "Checkbox" gab es nie. Zitieren Link zu diesem Kommentar
Cryer 17 Geschrieben 17. Mai Autor Melden Teilen Geschrieben 17. Mai (bearbeitet) vor 9 Stunden schrieb Dukel: @Cryer Wo siehst du den Unterschied zwischen Funktions und Service Account? Service-Account: Account zur Anbindung und Authentifizierung externer Dienste gegenüber AD. Anmeldung an PCs damit nicht möglich. Funktionsaccount: Kann nur an Computen verwendet werden, bei denen der Account hinterlegt wurde. Bei allen anderen Geräten wird die Anmeldung verweigert. bearbeitet 17. Mai von Cryer Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 17. Mai Melden Teilen Geschrieben 17. Mai Das regelt man aber bitte nicht über "allowed to logon" in den Accounteinstellungen, sondern über passende Gruppen und seDenyInteractiveLogonPrivilege (bzw. wenn die Umgebung vom Grundsatz her eh keine Anmeldung erlaubt - was auf Dauer einfacher ist - über seInteractiveLogonPrivilege). Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 17. Mai Melden Teilen Geschrieben 17. Mai vor einer Stunde schrieb Cryer: Service-Account: Account zur Anbindung und Authentifizierung externer Dienste gegenüber AD. Anmeldung an PCs damit nicht möglich. Funktionsaccount: Kann nur an Computen verwendet werden, bei denen der Account hinterlegt wurde. Bei allen anderen Geräten wird die Anmeldung verweigert. Siehst Du, und für Windows-Menschen ist ein Service-Account einer, unter dem ein Dienst ausgeführt wird 😊 Drum frage ich ja. Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 17. Mai Melden Teilen Geschrieben 17. Mai Und AD Anmeldung nannten wir immer LDAP… ☺️ Zitieren Link zu diesem Kommentar
Cryer 17 Geschrieben 19. Mai Autor Melden Teilen Geschrieben 19. Mai Am 17.5.2024 um 19:25 schrieb cj_berlin: Siehst Du, und für Windows-Menschen ist ein Service-Account einer, unter dem ein Dienst ausgeführt wird 😊 Drum frage ich ja. OK, dann hatte ich die interne Bezeichnung eines anderen Unternehmens wo das so bezeichnet wird falsch verwendet. Sorry Leute. Um dann aber wieder auf das Thema zu kommen: Wie kann ich einen Account erstellen, den man zur Anbindung externer Dienste verwendet, ggf. auch rechtemäßig entsprechend einschränken, dass ausschließlich eine Authentifizierung damit stattfinden kann, aber keine Anmeldung an den Clients möglich ist? Geht das ausschließlich über GPO oder kann man irgendwo, ggf. über PowerShell ein entsprechendes Benutzerattribut setzen? Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 19. Mai Melden Teilen Geschrieben 19. Mai GPO. Siehe Link oben - seDenyXYZright. Zitieren Link zu diesem Kommentar
Beste Lösung MurdocX 953 Geschrieben 19. Mai Beste Lösung Melden Teilen Geschrieben 19. Mai vor 3 Stunden schrieb Cryer: Wie kann ich einen Account erstellen, den man zur Anbindung externer Dienste verwendet, ggf. auch rechtemäßig entsprechend einschränken, dass ausschließlich eine Authentifizierung damit stattfinden kann, aber keine Anmeldung an den Clients möglich ist? Ohne Anpassungen an Clients oder User-Objekten durchführen zu müssen, kannst du das mit einem "Group Managed Service Account" erreichen. Ich vermute mal, dass es das ist was du suchst. Schau mal hier: Group Managed Service Accounts Overview | Microsoft Learn Getting Started with Group Managed Service Accounts | Microsoft Learn Warum ist die Frage nicht einfach zu beantworten? Es gibt mehrere Service-Typen. Jeder hat seine eigenen Bedingungen und Einsatzszenarien. Service Accounts | Microsoft Learn Virtuelle Accounts Managed Service Account Group Managed Service Account Benutzer Account (Kann dafür genutzt werden. Hat auch Nachteile) VG, Jan 1 1 Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 19. Mai Melden Teilen Geschrieben 19. Mai vor 2 Stunden schrieb MurdocX: Ohne Anpassungen an Clients oder User-Objekten durchführen zu müssen, kannst du das mit einem "Group Managed Service Account" erreichen. Ich vermute mal, dass es das ist was du suchst. Schau mal hier: Group Managed Service Accounts Overview | Microsoft Learn Getting Started with Group Managed Service Accounts | Microsoft Learn Warum ist die Frage nicht einfach zu beantworten? Es gibt mehrere Service-Typen. Service Accounts | Microsoft Learn Virtuelle Accounts Managed Service Account Group Managed Service Account Benutzer Account (Kann dafür genutzt werden. Hat auch Nachteile) VG, Jan Darf ich kurz fragen was ein virtueller Account ist? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 19. Mai Melden Teilen Geschrieben 19. Mai vor 13 Minuten schrieb v-rtc: Darf ich kurz fragen was ein virtueller Account ist? Man darf dem Link auch folgen. ;) https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-service-accounts#virtual-accounts 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.