Domänenanmeldung an bestimmten Clients nur speziellen Usern erlauben ?

[DB1973]

Hallo,

wir möchten verhindern das sich Domänenbenutzer bei jedem beliebigen PC im Netzwerk anmelden können, sondern nur bei Ihnen zugewiesenen.

Hintergrund: Mitarbeiter der Montageabteilung soll sich z.B. nicht an Buchhaltungs-PC´s einloggen können.

was muss mann dafür tun ? (W2003 Domäne mit 2 Dom Controllern und 30 Clients)

Vielen Dank für eure Tips.

Grüsse.

[Daim]

Servus,

du könntest es z.B. über die Eigenschaften des Benutzerkontos regeln, an welchen Clients sich der Benutzer anmelden darf.

Yusufs Directory Blog - Wie stellt man sicher, dass ein Benutzer sich nur an einem Client anmelden kann?

[NorbertFe]

Nene Yusuf, dein Link hat jetzt aber nix mit der Fragestellung zu tun. Und die Lösung das bei den Usern einzutragen finde ich eigentlich auch ziemlich ....
Besser die PCs in zwei entsprechende OUs einsortieren und dann die interaktive Anmeldung über GPOs und Benutzergruppen regeln. (War neulich hier doch schonmal diskutiert worden).

Schönen Tach noch
Norbert

[Daim]

Zitat von NorbertFe Nene Yusuf, dein Link hat jetzt aber nix mit der Fragestellung zu tun.

Doch Norbert, dass finde ich schon. Denn der TO schrieb:

wir möchten verhindern das sich Domänenbenutzer bei jedem beliebigen PC im Netzwerk anmelden können, sondern nur bei Ihnen zugewiesenen.

Also könnte es sich um einen "normalsterblichen" handeln, der sich nur an einem Client anmelden soll.

Und die Lösung das bei den Usern einzutragen finde ich eigentlich auch ziemlich ....

Naja, imho das kommt auf die Situation und die Anzahl an.

Besser die PCs in zwei entsprechende OUs einsortieren und dann die interaktive Anmeldung über GPOs und Benutzergruppen regeln.

Das wäre auch eine Möglichkeit.

[NorbertFe]

Zitat von Daim Doch Norbert, dass finde ich schon. Denn der TO schrieb: Also könnte es sich um einen "normalsterblichen" handeln, der sich nur an einem Client anmelden soll.

Ah jetzt. Ich hab nur Limitlogin gesehen.

Das wäre auch eine Möglichkeit.

Ja. Die einzig wahre.

D'n'r

Bye
Norbert

[DB1973]

Vielen Dank für eure Antworten.

es ist in der Tat so das nicht die gleichzeitige mehrfache Anmeldung verhindert werden soll, sondern nur die grundsäzliche Anmeldung an bestimmten PC´s

Von daher würde ich gern Norberts OU/GPO Vorschlag aufgreifen, da ich bei der AD Kontenlösung bei zu vielen Leute zuviele Rechner eintragen müsste.

Würde gern dann bei der OU per GPO nur die Leute zuweisen die sich dann an den Rechner der OU anmelden dürfen.

Letzte Frage: Welche GPO ist dafür zuständig ? wo finde ich die ?

Danke.

[NorbertFe]

Sicherheitsrichtlinien lokale/interaktive ANmeldung erlauben/verweigern

Bye
Norbert

[rakli]

Hallo,

etwas off topic:

Hintergrund: Mitarbeiter der Montageabteilung soll sich z.B. nicht an Buchhaltungs-PC´s einloggen können.

Ich nehme an, auf den Festplatten der Buchhaltungs PC sind sensible Daten.
Das ist ein gutes Argumention an die Geschäftsleitung auf Vista mit Bitlocker umzusteigen. Dann können sich nur die Buchhalter mit ihrem USB Stick anmelden und die Festplatten mit dem sensiblen Daten verschlüsselt.

Wie kommen Mitarbeiter der Montageabteilung in die Räume der Finanzabteilung?

Rakli

[Sunny61]

Zitat von rakli Ich nehme an, auf den Festplatten der Buchhaltungs PC sind sensible Daten.

Und genau da haben sensible Daten nichts verloren.

Zitat von rakli Das ist ein gutes Argumention an die Geschäftsleitung auf Vista mit Bitlocker umzusteigen. Dann können sich nur die Buchhalter mit ihrem USB Stick anmelden und die Festplatten mit dem sensiblen Daten verschlüsselt.

Und der USB-Stick bleibt für immer stecken.

Zitat von rakli Wie kommen Mitarbeiter der Montageabteilung in die Räume der Finanzabteilung?

Türe auf, Mitarbeiter rein, Türe zu. Ja, ich weiß was Du meinst! SCNR!

[DB1973]

Ich danke euch für eure Beiträge.

Mann muss nicht immer den Sinn oder Unsinn jeder Anfrage verstehen. Beschriebener Anwendungsfall sollte nur ein Beispiel sein und das Problem entsprechend beschreiben.

In diesem Sinne.

Achja: GPO angepasst. Funktioniert 1a. dank @ Norbert.