coolcat 10 Geschrieben 24. Mai 2012 Melden Teilen Geschrieben 24. Mai 2012 Hiho Community, Ich sitze mal wieder wie Ochs vor dem Berge und bin grade ratlos...... Ich möchte folgedens Szenario bewerkstelligen und komme an ein, zwei Stellen nicht weiter. In unsere Domäne gibt es genau 5 OU´s (sowie 5 Benutzer) die allesamt auf allen Rechnern erlaubt sind sich anzumelden. Dies soll aber nun im Zuge einer Umstrukturierung, so geändert werden das auf einigen PC´s sich nur bestimmte Usergruppen (User) anmelden dürfen und andere abgewiesen werden. Zur Veranschaulichung: User : med (Domänenbenutzer) kann auf jedem >Rechner< angemeldet werden. (auch im Backoffice) Nun soll aber "med" sich nicht mehr in der Domäne an den beiden Rechnern im Backoffice anmelden dürfen, sondern nur noch an ausgewählte Rechner. Meine Versuche waren folgende : - per Loginscript verhindern das user "med" auf Rechner 39 (backoffice) sich anmelden kann und autom. abgemeldet wird bzw. Anmeldung verweigert. Erfolg : Negativ (user kann sich trotzdem mit med anmelden) - ich wollte per Gruppenrichtlinie das so einrichten, dass man das Recht "Lokale Anmeldung zulassen" an die entsprechenden Gruppen vergibt.brachte aber keinen Erfolg, auch hier kann User med sich noch an jedem Rechner anmelden? übersehe ich da was? Für jeden Tipp wäre ich dankbar.... LG Coolcat Zitieren Link zu diesem Kommentar
Alith Anar 39 Geschrieben 24. Mai 2012 Melden Teilen Geschrieben 24. Mai 2012 Du kannst doch in den AD Einstellungen des Benutzers unter "Konto / Anmelden an" festlegen an welchen PCs sich der Benutzer anmelden kann. Ist das keine Option? Zitieren Link zu diesem Kommentar
coolcat 10 Geschrieben 24. Mai 2012 Autor Melden Teilen Geschrieben 24. Mai 2012 Du kannst doch in den AD Einstellungen des Benutzers unter "Konto / Anmelden an" festlegen an welchen PCs sich der Benutzer anmelden kann. Ist das keine Option? Natürlich ist das eine OPtion, (sogar die logischte), aber bei ca 160 PC´s (im User und Medizienischen Bereich), ist das echt kompliziert alle händisch eintragen zu müssen, da es ja auch sein kann, das neue User hinzukommen etc deswegen dachte ich es gäbe die alternative "Faul" :), per Scriptlösung, in der ich komplett für den User eine Berechtigung der PC´s erteilen kann Aber Danke schon mal für die Rückmeldung Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 24. Mai 2012 Melden Teilen Geschrieben 24. Mai 2012 Wie genau sieht die GPO denn aus, mit der Du es versucht hast? Hast Du die GPO auf Clients wirken lassen oder auf Gruppen? Gruppenrichtlinien greifen nicht auf Gruppen. Du kannst in der Sicherheitsfilterung eine Sicherheitsgruppe eintragen, darin befinden sich die Clients, die die GPO übernehmen dürfen. Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 24. Mai 2012 Melden Teilen Geschrieben 24. Mai 2012 Hallo Coolcat, anbei ein "Vorschlag". Angenommen du hast 4 Abteilungen und jeder Mitarbeiter soll nur innerhalb der Abteilung sich auf den PCs anmelden können. Erstelle dir 4 Windowsgruppen Abteilung Marketing Abteilung Vertrieb Abteilung Entwicklung Abteilung Geschäftsführung Nun erstellst du in den CN Computers 4 OUs Abteilung Marketing Abteilung Vertrieb Abteilung Entwicklung Abteilung Geschäftsführung Jetzt sortierst du die PCs in die verschiedenen OUs, außerdem fügst du die Mitarbeiter in die jeweiligen Windowsgruppen. Und nun ? Ein Powershell Skript wird als Task auf einen DC erstellt - z.B. stündlich oder halbtäglich. Was macht der Skript? Er geht alle Mitarbeiter der Windowsgruppe durch und fügt diesen die Anmeldeberechtigungen der jeweiligen PCs in der OU hinzu Das wäre meine erste Idee, den Skript kann man gut per PowerShell lösen ~ sollte hier aber etwas Zeit einplanen. viele Grüße Admin PS: Wenn ein PC oder Mitarbeiter umzieht, wird der Skript das automatsch aktualisieren - Wenn die Daten gepflegt werden. Das kann man ja auch recht einfach per kleinen Workflow in nem Webclient lösen... z.B. Mitarbeiterumzug, neuer Mitarbeiter usw Hier werden in eine dzaugehörige Datenbank (z.B. MS SQL ) in eine entsprechende Tabelle alle notwendigen Daten eingetragen, die durch einen 2. Powershellskript ausgelesen und verarbeitet werden. Zitieren Link zu diesem Kommentar
coolcat 10 Geschrieben 6. Juni 2012 Autor Melden Teilen Geschrieben 6. Juni 2012 Hey Danke erstmal für die hilfreichen Antworten..... Habe nun eingies probiert und werde weiter berichten wenn ich fertig bin mit dem "versuchen" ;) Sry das ich mich nun erst melde, aber ich war leider gezwungen mich im BEtt aufzuhalten und mienem Fieber zu fröhnen ;( *ich meld mich* dann.... LG Coolcat Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.