Jump to content

Anmeldung nicht zulassen

004

Von 004
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

@004: Mir ist dein Anliegen nicht ganz klar, du solltest eine nur ein wenig ausgefeiltere Porblembeschreibungssprache wählen ;)

Z.B.:

da sich hier manchmal User "verirren"

Wo ist "hier" und was ist verirren (/Witz On auf dem Flur des RZ :suspect: /Witz Off)

 

wo blockiere ich aber eine Domänenanmeldung

Sind doch DomänenUser, oder?! Dann sollten die sich auch an der Domäne anmelden können :suspect:

 

Du siehst: du weißt, was du willst, wir nicht .. :cry:

 

grizzly999

Link zu diesem Kommentar
freak04 Community Regular

freak04   10

Geschrieben
Geschrieben

Hallo,

 

leider kann ich Dir nicht ganz folgen ???

 

[Qoute] Mit lokalen Richtlinien scheint das ja kein Thema zu sein[/Qoute]

Na super! klappt doch. So soll es doch sein! Oder?

 

[Qoute]wie oder wo blockiere ich aber eine Domänenanmeldung[/Qoute]

 

Ich würde das Konto deaktivieren.

 

@grizzley999 - ok wars*** schneller, 2 Köpfe ein Gedanke :-)

 

mfg

Link zu diesem Kommentar
004 Experienced

004   10

Geschrieben
  • Autor
Geschrieben

:shock: Oje, oje, da predige ich auch immer wieder, dass man ausfürlich beschreiben soll und nun so etwas...

 

Ich bitte vielmals um Entschuldigung!

 

Also noch einmal - @grizzly999:

"ausgefeilte Problembeschreibungssprache" - gefällt mir :D

 

Hier (bei uns) arbeiten einige Leute mit Terminal Services. Und manche arbeiten nicht nur mit dem Terminalserver, sondern melden sich mal am DC oder einem anderen Server an. Und genau das will ich in Zukunft vermeiden.

 

Ich will generell vermeiden, dass sich ausser Administratoren oder bestimmten Benutzern niemand an einem Server anmelden kann, der nicht für den Benutzer freigegeben ist.

 

Es gibt eine "Richtline für lokale Anmeldungen" und darin kann ich Benutzer vermerken, die sich nicht anmelden dürfen. Aber diese greift ja nur für lokale Anmeldungen und nicht für Anmeldungen mit einem Domänenkonto.

 

:suspect: Kapiert?

 

Grüsse,

004

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Ja, kapiert :D

 

Aber, das hier ist falsch:

Es gibt eine "Richtline für lokale Anmeldungen" und darin kann ich Benutzer vermerken, die sich nicht anmelden dürfen. Aber diese greift ja nur für lokale Anmeldungen und nicht für Anmeldungen mit einem Domänenkonto

Die Richtlinie heißt ja nicht "Richtlinie für Anmedlungen lokaler Konten" !!, sondern lokale Anmeldung. Bedeutet, wer hier drin steht, darf sich lokal, sprich mit Tastatur und Maus an der Konsole bzw. über Terminaldienste anmelden(*hüstel*) . Du siehst das Problem von Windows 2000?! TS-Anmeldung heißt auch: lokale Anmeldung. Und deshalb predige ich immer: keinen produktiven TS für allgemeine Anwendungen auf einem DC :cry:

 

Du hast drei Möglichkeiten: die eine ist natürlich, die, die immer gelten sollte: physische Sicherheit. Kein Zugang zum Server -> keine Anmeldung direkt am Server (wie kommt auch ein normaler streunender User an einen DC ran :suspect: :suspect: IMHO solltet ihr eure Sicherheit erst an anderer Stelle überdenken).

 

Zweite Möglichkeit: TS auf einen anderen Server (sowieso empfohlen, s.o.)

 

Dritte Möglichkeit: Auf 2003 gehen, da brauchts für das Arbeiten mittels TS-Client auf einem TS nicht mehr das Recht der lokalen Anmeldung

 

grizzly999

Link zu diesem Kommentar
004 Experienced

004   10

Geschrieben
  • Autor
Geschrieben
Du hast drei Möglichkeiten: ...physische Sicherheit. Kein Zugang zum Server

Ok ist klar...

 

Zweite Möglichkeit: TS auf einen anderen Server

Wir haben hier einen Terminalserver im Anwendungsmodus mit dem die User normalerweise arbeiten, auf allen anderen Servern inkl. DC läuft der Terminaldienst im Administrationsmodus.

Trotzdem kann sich jeder Nutzer anmelden, obwohl er kein Administrator oder in einer Administratorengruppe ist.

 

Dritte Möglichkeit: Auf 2003 gehen, da brauchts für das Arbeiten mittels TS-Client auf einem TS nicht mehr das Recht der lokalen Anmeldung

Du meinst doch eher anders herum: Dort wird das lokale Recht gebraucht! Unter TS 2000 brauche ich kein Recht zur lokalen Anmeldung. Deshalb ist 2k3 ja auch sicherer.

 

 

 

Parallell zum Erlauben gibt es ja auch das Verbieten. Wenn ich den Domänenbenutzern also verbiete sich lokal anzumelden, hätte ich das eigentliche Problem doch gelöst, oder?

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben
auf allen anderen Servern inkl. DC läuft der Terminaldienst im Administrationsmodus. Trotzdem kann sich jeder Nutzer anmelden, obwohl er kein Administrator oder in einer Administratorengruppe ist.

Ohhh. Dann hat jemand per GPO oder lokal das Recht eingetragen. Das sollte man in den von dir o.g. Benutzerrechten (lokale Anmeldung) für die User rausnehmen und nur denjeneigen Gruppen erteilen, die sich wirklich lokal anmelden müssen. Und das ist ausser auf dem TS im Anwendungsservermodus eigentlich auf keinem anderen Server für die normalen User der Fall. Also alles raus aus dieser Richtlinie, was nicht rein gehört.

 

Du meinst doch eher anders herum: Dort wird das lokale Recht gebraucht!

Nein, war keiner meiner seltenen Verschreiber! Ich brauche dieses recht der lokalen Anmeldung für Arbeiten eines Users auf einem TS nicht mehr. Mitglied der Gruppe RemotedesktopUser zusein reicht. Ausnahme: Der TS ist auch DC, dann muss noch eine zusätzliche Richtlinie für den DC die TS-Anmeldung erlauben. Aber NICHT die Richtlinie "Lokale Anmeldung zulassen" ;)

 

grizzly999

Link zu diesem Kommentar
004 Experienced

004   10

Geschrieben
  • Autor
Geschrieben
Mitglied der Gruppe RemotedesktopUser zusein reicht

Oke... solange die Remotedestopbenutzer das Recht zur Anmeldung über Terminaldienste haben ist das in Ordnung...

 

 

Aber nur nicht den Faden verlieren...

 

Also es gibt in den lokalen Gruppenrichtlinien auf dem DC folgende Einträge:

 

Domänen Benutzer: Auswahl (ausgegraut) bei "Einst. effektive Richtline"

Benutzer: Auswahl bei "Einst. lokale Richtline"

 

Heisst das, dass es per GPO gehandelt wird?

Link zu diesem Kommentar
004 Experienced

004   10

Geschrieben
  • Autor
Geschrieben

Verbose-Mode?

 

Egal, ich finde folgendes:

 

==============================================

The computer received "Registry" settings from these GPOs:

Richtlinien der lokalen Gruppe

Default Domain Policy

 

==============================================

The computer received "Security" settings from these GPOs:

Richtlinien der lokalen Gruppe

Default Domain Policy

Default Domain Controllers Policy

 

==============================================

The computer received "EFS recovery" settings from these GPOs:

Richtlinien der lokalen Gruppe

Default Domain Policy

 

Unter den GPOs finde ich jedoch nur "Default Domain Policy" und "SUS-Policy". Doch darin kann ich nichts finden.

So komme ich nicht weiter...

 

Hilfst Du mir auf die Sprünge?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...