ginka 10 Geschrieben 26. Juni 2006 Melden Teilen Geschrieben 26. Juni 2006 hallo, ich möchte erreichen, dass sich einige pcs in einer 2003-domäne nicht mehr an der domäne anmelden können. reicht es, dass ich das jeweilige computerkonto deaktiviere? beim deaktivieren kommt nämlich die warnung: ==== wenn sie dieses computerkonto deaktivieren, können sich benutzer auf dem computer nicht mehr in dieser domäne anmelden. möchten sie dieses computerkonto deaktivieren? ==== ich habe diese methode bei einem rechner getestet, neu gebootet, ad repliziert. aber es können sich nach wie vor benutzer auf dem pc mit dem deaktivierten computerkonto anmelden. habe ich etwas falsch gemacht? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 26. Juni 2006 Melden Teilen Geschrieben 26. Juni 2006 Hast Du den betreffenden Rechner neu gestartet oder hast Du Dich nur ab- und wieder angemeldet ? Wenn das Computerkonto deaktiviert ist, kann kein SecureChannel aufgebaut werden. Aber warum schickst Du diese Rechner nicht in eine Arbeitsgruppe , dann kann sich da garantiert kein Domänenbenutzer mehr anmelden und Dein AD ist auch aufgeräumter ... Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 26. Juni 2006 Melden Teilen Geschrieben 26. Juni 2006 hallo, ich möchte erreichen, dass sich einige pcs in einer 2003-domäne nicht mehr an der domäne anmelden können. Temporär oder dauerhaft? reicht es, dass ich das jeweilige computerkonto deaktiviere? Ja. beim deaktivieren kommt nämlich die warnung:==== wenn sie dieses computerkonto deaktivieren, können sich benutzer auf dem computer nicht mehr in dieser domäne anmelden. möchten sie dieses computerkonto deaktivieren? ==== Klar. ich habe diese methode bei einem rechner getestet, neu gebootet, ad repliziert.aber es können sich nach wie vor benutzer auf dem pc mit dem deaktivierten computerkonto anmelden. Lokal oder an der Domäne? Zitieren Link zu diesem Kommentar
ginka 10 Geschrieben 26. Juni 2006 Autor Melden Teilen Geschrieben 26. Juni 2006 Temporär oder dauerhaft? Ja. Klar. Lokal oder an der Domäne? Das ist an der Domäne passiert. Und der Rechner wurde neu gebootet. Es soll temporär passieren. Zitieren Link zu diesem Kommentar
ginka 10 Geschrieben 26. Juni 2006 Autor Melden Teilen Geschrieben 26. Juni 2006 Hast Du den betreffenden Rechner neu gestartet oder hast Du Dich nur ab- und wieder angemeldet ? Wenn das Computerkonto deaktiviert ist, kann kein SecureChannel aufgebaut werden. Aber warum schickst Du diese Rechner nicht in eine Arbeitsgruppe , dann kann sich da garantiert kein Domänenbenutzer mehr anmelden und Dein AD ist auch aufgeräumter ... Der Rechner wurde neu gestartet, das ist ja das Komische. Langfristig ist geplant, die Rechner in eine Arbeitsgruppe zu schicken. Nur will ich aber erzwingen, dass sich die betreffenden User in der IT-Abteilung melden müssen, damit die Umstellung besser koordiniert werden kann. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 26. Juni 2006 Melden Teilen Geschrieben 26. Juni 2006 Das erwünschte Ziel kannst Du auch anders erreichen. Du kannst es entweder erreichen, in dem Du die Gruppe Benutzer aus dem Benutzerrecht "Lokal anmelden" entfernst oder die globale Gruppe Domänenbenutzer aus der lokalen Gruppe Benutzer (wobei der zweite Weg der bessere ist). Beides setzt voraus, dass die Benutzer, die sich dort anmelden, nur Domänenbenutzer sind und nicht auf irgendeine Weise einer anderen Gruppe angehören, denen das lokale Anmelden erlaubt ist. Beide Möglichkeiten lassen sich via GPO konfigurieren ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.