Baxter. 10 Geschrieben 18. August 2006 Melden Teilen Geschrieben 18. August 2006 Hallo zusammen, ich habe mal ein bisschen das Forum durchsucht und einen Beitrag gefunden, der etwas ähnliches beschreibt, bei dem jedoch nicht die Lösung herauskam, die ich erhofft hatte ;) Deshalb möchte ich gerne mal meine Situation und mein Vorhaben beschreiben: Wir haben in unserer 2k3-Root-Domain ein paar Service-Accounts, die hauptsächlich dafür verwendet werden um in verschiedenen Skripten Domain-Admin rechte zu haben, wenn der Ausführende User diese nicht haben sollte. Jetzt ist es allerdings so, dass in einigen Abteilungen die Mitarbeiter das Kennwort ihres Accounts kennen (müssen) um selbst diverse Prüfungen und Skripte zu machen. Zusätzlich hat jeder Benutzer einen personifizierten Admin-Account der den Benutzer eindeutig identifiziert. Leider gibt es ein paar lustige die sich gerne mal mit ihrem Service-Account in der Domäne (seis am Client oder am Server) anmelden um Domain-Admin-Rechte zu erlangen ohne dabei identifiziert zu werden. Diese Service-Accounts brauchen wir. Da führt kein weg dran vorbei. Man kann unmöglich seinen personifizierten Account mit seinem Kennwort in ein Skript packen, das mehrere Leute verwenden. So, jetzt mein Vorhaben: Ich würde gerne per GPO definieren dass sich diverse Benutzer (o.g. Service-Accounts) nicht an einem System als "Console" bzw "interaktiv" anmelden dürfen. Da es ja für fast alles eine Policy gibt, habe ich gehofft es gibt auch eine Richtlinie die so ähnlich heißen könnte wie "Deny Local Logons" oder "Deny interactive logon". So jetzt seid ihr dran :) Gibt es so etwas? Bedanke mich im Voraus, B. Zitieren Link zu diesem Kommentar
siberia21 13 Geschrieben 18. August 2006 Melden Teilen Geschrieben 18. August 2006 Würde dir die Funktion "Lokal Anmelden verweigern" etwas bringen? Ich weis nur nicht, wie weit das die Ausführung von Skripten beeinflusst an den Maschinen. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 18. August 2006 Melden Teilen Geschrieben 18. August 2006 Korrekt, die Poilcy gibt es, und was du gerne hättest ist nicht nur möglich, sondern von Microsoft eine Sicherheitsempfehlung :) Auf den betreffenden Rechnern kann man das in der lokalen Gruppenrichtlinie machen (gpedit.msc), dort Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Benutzerrechte -> Lokale Anmeldung verweigern. Über eine Domänen-Richtlinie wäre es aber elganter und besser zu managen grizzly999 Zitieren Link zu diesem Kommentar
XP-Fan 220 Geschrieben 18. August 2006 Melden Teilen Geschrieben 18. August 2006 Snip ... Zusätzlich hat jeder Benutzer einen personifizierten Admin-Account .... Snip Hallo, also wenn deine User lokale Admins sind könnten sie einen Weg finden die lokale Sicherheitsrichtlinie wieder zu ändern ... Müssen die User Adminrechte haben ? Zitieren Link zu diesem Kommentar
Baxter. 10 Geschrieben 21. August 2006 Autor Melden Teilen Geschrieben 21. August 2006 Das hört sich doch schonmal garnicht so verkehrt an. Danke Allerdings wollte ich das nicht maschinenspezifisch sondern benuztzerspezifisch. Also ich fummel aufm DC ne OU hin und klatsch da ne policy drauf die sagt, dass alle user in der OU sich nicht interaktiv bzw "lokal" anmelden dürfen. Also das was grizzly auch meinte. Eine Domain-Policy Ja adminrechte müssen sie leider haben Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 21. August 2006 Melden Teilen Geschrieben 21. August 2006 Nein, das Recht der lokalen Anmeldung ist ein Sicherheitseinstellung des COMPUTERS, nicht des Benutzers. grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.