Zum Inhalt wechseln


Foto

AD-User-Login auf bestimmte Clients einschränken


  • Bitte melde dich an um zu Antworten
15 Antworten in diesem Thema

#1 DocMF

DocMF

    Newbie

  • 18 Beiträge

 

Geschrieben 14. November 2017 - 14:12

Hallo,

 

standardgemäß wird ja bei jedem Domain-Client die Gruppe "Domänen-Benutzer" zur lokalen Benutzer-Gruppe hinzugefügt, d.h. jeder User kann sich auf jedem Domain-Client einloggen.

Das möchte ich nun verhindern. In den Eigenschaften eines AD-Users gibt es ja die Option "Anmelden an...", die ich aber aus zwei Gründen nicht nutzen möchte:

- Aufwand, das bei jedem User händisch einzutragen

- die Option müsste eigentlich "Anmelden von..." heißen, denn hier muss man die Hostnames eintragen VON denen man sich einloggen will (was Probleme macht, wenn die Mitarbeiter über VPN arbeiten)

 

Daher meine Frage: welche Möglichkeiten habe ich noch? Müsste ich die Gruppe "Domain-Benutzer" aus der lokalen Benutzer-Gruppe der Clients entfernen und nur den Domain-User eintragen (geht das oder hat das unerwünschte Nebenwirkungen?) oder gibt es einen komfortableren Weg?

 

Danke schon mal im Voraus!

 

Grüße

DocMF



#2 NorbertFe

NorbertFe

    Expert Member

  • 30.789 Beiträge

 

Geschrieben 14. November 2017 - 14:14

Daher meine Frage: welche Möglichkeiten habe ich noch? Müsste ich die Gruppe "Domain-Benutzer" aus der lokalen Benutzer-Gruppe der Clients entfernen und nur den Domain-User eintragen (geht das oder hat das unerwünschte Nebenwirkungen?) oder gibt es einen komfortableren Weg?


Sinnvollerweise trägt man dort dann aber keinen einzelnen Nutzer ein, sondern wieder eine neue Gruppe. Alternativ kann man natürlich auch das Anmelden für bestimmte User verweigern. Je nachdem, was dir logischer erscheint.

Make something i***-proof and they will build a better i***.


#3 DocMF

DocMF

    Newbie

  • 18 Beiträge

 

Geschrieben 14. November 2017 - 14:50

Vielen Dank für die schnelle Antwort. Ok, d.h. aber einen ganz anderen Weg (den ich gar nicht auf dem Schirm hatte) gibt es nicht, oder?

In dem Fall würde ich dann die Domain-User-Gruppe auf den Clients rausschmeißen und durch eine geeignete Gruppe oder User ersetzen



#4 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 14. November 2017 - 15:10

Moin,

 

man kann die lokale Anmeldung auch per Gruppenrichtlinie steuern. Dort gibt es sowohl das Erlauben als auch das Verweigern (bei den Benutzerrechten auf Computerebene). Vermutlich das, was Norbert meinte.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#5 NorbertFe

NorbertFe

    Expert Member

  • 30.789 Beiträge

 

Geschrieben 14. November 2017 - 15:16

Genau das meinte ich.

Make something i***-proof and they will build a better i***.


#6 DocMF

DocMF

    Newbie

  • 18 Beiträge

 

Geschrieben 16. November 2017 - 09:13

Ok, danke. Diese Variante wäre für mich insofern aber umständlich, da ich (bis auf wenige Ausnahmen) jedem User nur Berechtigungen zum Anmelden auf seinen PC geben will. Und dann würde ich für jeden PC eine eigene Gruppenrichtlinie benötigen (wenn ich jetzt nicht auf dem Schlauch stehe)



#7 testperson

testperson

    Board Veteran

  • 4.578 Beiträge

 

Geschrieben 16. November 2017 - 09:17

Hi,

 

da würde ich jetzt einfach mal nach dem "Warum?" fragen. Evtl. finden sich dann ja (bessere) Alternativen.

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#8 DocMF

DocMF

    Newbie

  • 18 Beiträge

 

Geschrieben 16. November 2017 - 11:02

Hallo,

 

Warum ich das so einschränken will? Primär sollen sich natürlich Mitarbeiter nicht an PCs einloggen können, die "nichts für sie sind" (z.B. Vorgesetzte etc.).

Ich bin gerade am Überlegen, ob ich als ersten Step erstmal nicht jeden Mitarbeiter nur auf seinen eigenen PC lasse, sondern erstmal die PCs der Vorgesetzten einschränke, das könnte ich mir unserer OU-Struktur wahrscheinlich auch hinbekommen, ohne übermäßig großen Aufwand.



#9 NorbertFe

NorbertFe

    Expert Member

  • 30.789 Beiträge

 

Geschrieben 16. November 2017 - 11:05

Deswegen wärs eben einfacher den Usern dort die Anmeldung zu verweigern. ;) Kleinere Zielgruppe weniger Aufwand.

Make something i***-proof and they will build a better i***.


#10 DocMF

DocMF

    Newbie

  • 18 Beiträge

 

Geschrieben 16. November 2017 - 11:48

Moment, ich habe Computer- und Benutzerebene verwechselt, die OU-Struktur der Computer ist deutlich weniger unterteilt als die User-OUs (und damit für die Verwendung per GPO so erstmal nicht geeignet).

Dann werde ich mir hier etwas überlegen müssen, trotzdem vielen Dank für Eure Hilfe/Infos!


Doch nochmal ich: wenn man es per GPO macht, müsste man es folgendermaßen machen, um zu erreichen, dass sich nur ein bestimmter User einloggen kann: unter "Lokal anmelden verweigern" müsste man ALLE anderen Domain-User eintragen (diese Liste müsste man dann natürlich bei neuen Usern pflegen etc.) außer dem User, der sich anmelden soll.

Das wäre ja ein irrer Aufwand (oder sehe ich etwas falsch?).

Microsoft muss sich doch für den Fall "Mitarbeiter sollen sich nicht an Rechnern von Chefs einloggen können" mal irgendetwas überlegt haben



#11 NorbertFe

NorbertFe

    Expert Member

  • 30.789 Beiträge

 

Geschrieben 16. November 2017 - 12:12

Ich verstehe nicht, was so schwierig ist an den zwei Szenarien.
1. Du erlaubst nur denjenigen die Anmeldung die es dürfen und verweigerst nichts
2. Du erlaubst pauschal allen die Anmeldung (Standard) und verweigerst es explizit denen, die sich nicht anmelden dürfen sollen.

Wieviele Überlegungen hätte MS denn deiner Meinung noch anstellen sollen?

Bye
Norbert

Make something i***-proof and they will build a better i***.


#12 Sunny61

Sunny61

    Expert Member

  • 22.173 Beiträge

 

Geschrieben 16. November 2017 - 12:12

Du kannst doch auch Computer in Sicherheitsgruppen packen und das GPO auf die Sicherheitsgruppe filtern.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#13 DocMF

DocMF

    Newbie

  • 18 Beiträge

 

Geschrieben 16. November 2017 - 13:44

@Norbert: in der Theorie ist das schön, in der Praxis aber weniger (vielleicht stehe ich aber grad wirklich auf dem Schlauch):

Zu 1.: so ist ja die Ausgangssituation: jeder darf sich überall anmelden, d.h. ich muss an irgendeiner Stelle entweder erstmal Berechtigungen entfernen oder Einschränkungen setzen. Berechtigungen entfernen würde bedeuten, ich bearbeite die Benutzergruppe auf den jeweiligen PCs (was ich aber als riskant empfände, da ich mir gut vorstellen kann, dass das Nebenwirkungen hat). Umständlich wäre es aber so oder so. Was das Einschränkungen setzen angeht wären wir dann bei Punkt 2.

Zu 2.: Verweigern ist relativ umständlich, denn wenn ich auf einem PC nur einen User erlauben will, muss ich alle anderen verweigern, d.h. ich müsste für jeden PC, für den ich die Anmeldungen beschränken will, eine extra Gruppe führen, in der jeweils sämtliche User enthalten sind, bis auf den der sich anmelden darf. Und das dann noch für mehrere Clients zu machen...

 

MS hätte z.b. bei den Computerobjekten eine Einstellung implementieren könne, in der man Domänen-User eintragen kann, die sich auf dem Client einloggen dürfen. Das würde mein Problem einfach (zumindest einfacher als die restlichen Optionen) und vor allem übersichtlich lösen.

 

@Sunny61: wenn ich deinen Vorschlag richtig verstehe, müsste ich dann aber trotzdem für jeden Client eine GPO anlegen oder? Das muss ich mal durchspielen, danke



#14 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 16. November 2017 - 13:56

Moin,

 

du hast den Vorgang noch nicht verstanden. Genau das, was du suchst, ist bereits implementiert.

 

Ordne die Computer passend in OUs an oder erzeuge passende Computergruppen.

Verknpüfe (und ggf. berechtige) ein GPO, in dem du unter "Benutzerrechte" festlegst, wer sich a.) ausdrücklich anmelden darf oder b.) ausdrücklich nicht anmelden darf.

 

Alternative: Du definierst pro Computer oder pro Computer-Typ eine Gruppe, die diejenigen Benutzer enthält, die sich anmelden dürfen. Diese Gruppe (und nur diese) definierst du dann per GPO und "Eingeschränkte Gruppen" als Mitglied der lokalen Gruppe "Benutzer". Wobei ich den ersten Weg praktischer finde.

 

Kein Bedarf, an den Computern rumzumachen.

 

Gruß, Nils


Bearbeitet von NilsK, 16. November 2017 - 13:58.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#15 NorbertFe

NorbertFe

    Expert Member

  • 30.789 Beiträge

 

Geschrieben 16. November 2017 - 14:12

@Norbert: in der Theorie ist das schön, in der Praxis aber weniger (vielleicht stehe ich aber grad wirklich auf dem Schlauch):


Eindeutig letzteres. :p

Zu 1.: so ist ja die Ausgangssituation: jeder darf sich überall anmelden, d.h. ich muss an irgendeiner Stelle entweder erstmal Berechtigungen entfernen oder Einschränkungen setzen. Berechtigungen entfernen würde bedeuten, ich bearbeite die Benutzergruppe auf den jeweiligen PCs (was ich aber als riskant empfände, da ich mir gut vorstellen kann, dass das Nebenwirkungen hat). Umständlich wäre es aber so oder so.

Falsch, du sollst nicht die Benutzergruppe bearbeiten, sondern die Anmeldeberechtigung einschränken.

Zu 2.: Verweigern ist relativ umständlich, denn wenn ich auf einem PC nur einen User erlauben will, muss ich alle anderen verweigern, d.h. ich müsste für jeden PC, für den ich die Anmeldungen beschränken will, eine extra Gruppe führen, in der jeweils sämtliche User enthalten sind, bis auf den der sich anmelden darf. Und das dann noch für mehrere Clients zu machen...


Deswegen hab ich ja gesagt, das muß man sehen, welche Option die jeweils praktischere für den eigenen Zweck ist.

 

MS hätte z.b. bei den Computerobjekten eine Einstellung implementieren könne, in der man Domänen-User eintragen kann, die sich auf dem Client einloggen dürfen. Das würde mein Problem einfach (zumindest einfacher als die restlichen Optionen) und vor allem übersichtlich lösen.


Gibt's ja, nur ist das eben nicht sicher und zweitens auch nicht wirklich sinnvoller.

Bye
Norbert

Make something i***-proof and they will build a better i***.