Anmeldung deaktivieren

[ponchofiesta 10]

Ich bin da immernoch skeptisch. Vor allem, weil ich aus Erfahrung sagen kann, dass GPOs auch nach einem Neustart nicht immer greifen. Da ist dann auch gern mal noch ein gpupdate von Nöten.

 

Und welche Berechtigung brauchen die Mitarbeiter um die Computer in eine andere OU verschieben zu können? Ich hab jetzt einfach mal Lesen und Schreiben für die beiden OUs für Computer-Objekte gegeben aber beim Versuch wird der Zugriff verweigert.

 

EDIT:

OK, das ist jetzt ein anderer Weg. Ich glaub das mit der Gruppe ist doch besser.

[NorbertFe 1.837]

Ich bin da immernoch skeptisch. Vor allem, weil ich aus Erfahrung sagen kann, dass GPOs auch nach einem Neustart nicht immer greifen. Da ist dann auch gern mal noch ein gpupdate von Nöten.

 

Du definierst einmalig eine GPO in der du das für die PCs definierst (ja die wirkt nach einem Reboot) und steckst die User in entsprechende Gruppen. Wo genau siehst du da jetzt Grund zu Skepsis?

 

Und welche Berechtigung brauchen die Mitarbeiter um die Computer in eine andere OU verschieben zu können?

 

Vergiß das mit dem Verschieben. Das läßt sich einfacher per Gruppenmitgliedschaften des Anmeldekontos des Nutzers regeln.

 

 

OK, das ist jetzt ein anderer Weg. Ich glaub das mit der Gruppe ist doch besser.

 

Sag ich doch. Und trotzdem wird er per GPO umgesetzt. :p

 

 

Bye

Norbert

[marka 584]

OK, mal von vorn:

• Du erstellst eine OU, nehmen wir mal als Namen "ThekenPCs".
  
• In diese OU verschiebst Du die Computerkonten der Theken-PCs.
  
• Nun erstellst Du eine Sicherheitsgruppe namens "LL_ThekenberechtigteUser" (Ich habe mir angewöhnt, bei Usergruppen sinngerechte Prefixe zu vergeben, z.B. "LL_" für Local Logon oder "FS_" für Berechtigungsgruppen im Filesystem, nur zur Erklärung...)
  
• In diese Gruppe fügst Du bei Bedarf die Benutzerkonten der User hinzu, die sich an einem Theken-PC anmelden dürfen.
  
• Auf diese OU legst Du eine Gruppenrichlinie.
  
• In dieser Gruppenrichtlinie definierst Du unter:
  "Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Lokal anmelden",
  dass erstens dieser Richtlinieneintrag aktiv ist und zweitens, welche Benutzer(gruppen) sich anmelden dürfen.
  

Damit Du nicht jedes Mal selbst Hand anlegen darfst, um bestimmte Benutzer zu Thekenberechtigten Usern zu machen, kannst Du eine angepasste Management Konsole erstellen (Stichwort: Taskpad Ansicht, ist aber in diesem Thread schon erwähnt worden...).

Die Delegierung, dass die thekendamen Benutzer dieser Gruppe hinzufügen dürfen, musst Du natürlich auch noch erstellen.

Die Taskpadansicht stellst Du den Thekendamen zur Verfügung, z.B. als Verknüpfung auf dem Desktop oder im Startmenü.

 

Den Weg zur Delegierung und die Erstellung der angepassten Taskpadansicht darfst Du gerne erbingen oder da hilft Dir jemand anders, habe gerade eine Störungsmeldung zu bearbeiten...

[NorbertFe 1.837]

Sag ich doch. Ganz einfach. Man müßte nur mal erstmal das Problem/die Anforderungen schildern. ;)

 

Bye

Norbert

[ponchofiesta 10]

Und die Gruppen-Änderungen würden auch sofort greifen. Also Idee erstmal gut. Ich werd das mal testen.

 

Für die Theken-Damen und Herren (nicht, dass sich jemand diskriminiert fühlt) stelle ich mir ein kleines .NET-Progrämmchen vor mit Buttons für jeden PC, die dann zwischen grün und rot wechseln. Es muss ja auch für die dümmsten Leute verständlich und leicht benutzbar sein. Aber das sollte dank .NET ja recht simpel sein.

 

Mit der Gruppen-Methode kann ich aber nicht PC-weise arbeiten. Oder ich muss es doch mit lokalen Richtlinien machen. Sehe ich das richtig?

[NorbertFe 1.837]

Und die Gruppen-Änderungen würden auch sofort greifen.

 

Naja bei "Neuanmeldung", also quasi sofort, denn wenn nicht Mitglied, kann man sich ja auch nicht anmelden.

 

Mit der Gruppen-Methode kann ich aber nicht PC-weise arbeiten. Oder ich muss es doch mit lokalen Richtlinien machen. Sehe ich das richtig?

 

Grmpf und ich dachte du hast es verstanden. Du hast zwei Möglichkeiten:

1. Ein Benutzer, der sich immer nur an einem PC anmelden darf und Mitglied einer Gruppe für alle PCs ist. Dann brauchst du nur eine Richtlinie in der du die Gruppe definierst, die sich anmelden darf.

2. Ein Benutzer der sich an allen PCs anmelden darf, dann brauchst du aber 7 Gruppen (für jeden PC eine). Und mußt alle 7 Gruppen per GPO definieren, dass sie sich anmelden dürfen.

 

Bye

Norbert

[ponchofiesta 10]

"Ein Benutzer" steht ja nicht zur Auswahl. Das würde bedeuten es müsste nach dem Benutzernamen gefragt werden. Der muss eingetragen werden... ist schon zu viel für einige Kollegen und halte ich auch für zu fehleranfällig (Tippfehler).

 

Ich dachte eher an Gruppe(n) "Domain Users" (die User sind ansonsten in keiner extra Gruppe gesammelt) in die "erlaubte" Gruppe. Dazu kommt noch, dass es User aus zwei Domänen sind, die sich dort anmelden können sollen. Nämlich unserer eigenen (das sind die "Bibliothek-only"-Benutzer) und der im Forest über uns stehenden (das sind unsere Studenten und Mitarbeiter).

[NorbertFe 1.837]

Weißt du was, mach was du willst. Ich skizzier hier nicht mehrfach ne vernünftige Lösung, um dann doch wieder irgendwie vor der Wand zu landen bei dir.

 

Bye

Norbert

[lefg 276]

Wer sind denn die Leute, für die die Benutzer den Rechner freigeben wollen/sollen zur Benutzung? Warum ist sowas notwendig?

 

Bitte beschreibe doch mal das Szenario!

[ponchofiesta 10]

Siehe: http://www.mcseboard.de/windows-forum-allgemein-83/anmeldung-deaktivieren-2-176041.html#post1085135

 

Und bevor mir vorgeworfen wird, dass das doch nicht nötig wäre: Ich sehe das genauso. Ich versuche nur die Wünsche unserer Benutzungs-Abteilung umzusetzen und das ganze einigermaßen praktikabel zu gestalten.

[lefg 276]

Ok, den Post hatte ich nicht gelesen, jetzt kapiere ich das.

 

Meine Gedanken grundsätzlich: Der Start sollte nicht behindert vom BIOS ; das System sollte normal starten, eine fiktiver Benutzer automatisch angemeldet und die GUI sofort automatisch gesperrt werden mit einem Bildschirmschoner.

 

Damit ist der Romotesupport wohl möglich.

 

Nun könnte das Tresenpersonal die Sperre händisch aufheben oder dafür eine Remotefunktion vom Rechner des Tresenpersonals.

bearbeitet 31. März 2011 von lefg

[NorbertFe 1.837]

Siehe: http://www.mcseboard.de/windows-forum-allgemein-83/anmeldung-deaktivieren-2-176041.html#post1085135

 

Und bevor mir vorgeworfen wird, dass das doch nicht nötig wäre: Ich sehe das genauso. Ich versuche nur die Wünsche unserer Benutzungs-Abteilung umzusetzen und das ganze einigermaßen praktikabel zu gestalten.

 

Ja, praktikabel hatte ich dir jetzt mehrfach versucht zu erklären. Eventuell reden wir auch aneinander vorbei, dann solltest du das vielleicht einfach mal versuchen am Testsystem nachzustellen, anstatt hier zu abstrahieren.

 

Bye

Norbert

[marka 584]

Es wäre in dem Zuge vielleicht auch sinnvoll zu wissen, um was für eine Institution es sich handelt.

Klar, eine große Bibliothek, aber: Uni, Stadt oder was?

Das würde dann Klarheit schaffen, was evtl. vorhandene Useraccounts angeht.

Ich bin nämlich jetzt davon ausgegangen, dass es für die Besucher der Bibliothek schon Useraccounts gibt. Solche Konstellationen gibt es nämlich, das habe ich an Universitäten schon gesehen.

Ansonsten bleibt es Dir freigestellt, speziell für die Theken-PCs halt einen oder mehrere Useraccount(s) anzulegen, die dann über die von mir schon geschilderte Methode entweder in der Gruppe enthalten sind, oder halt nicht.

 

Eine andere, wenn auch nicht so charmante Möglichkeit wäre eine Batchdatei im Stil der "Gruppenwechsel.bat" von Heise. Dort wird der aktuelle User in die Gruppe der lokalen Admins verschoben, um am Rechner administrative Aufgaben zu erledigen. Nochmaliges Aufgrufen nimmt den user wieder heraus. Der Gruppenname ist dabei aber austauschbar. Ist aber mit viel Bastelei verbunden, ich würde in Eurem Falle die von fast allen hier propagierte Lösung anstreben, weil es die sauberste ist ;).

[ponchofiesta 10]

Ja, die genannte Lösung mit einem speziellen Nutzer, der freigegeben wird, ist aber, wie gesagt, zu umständlich. Ihr müsst bedenken, dass es sich hier um Bibliothekare handelt - Durchschnittsalter 47. Die meisten von denen hatten bis vor wenigen Jahren nie etwas mit Computern zu tun und machen auch jetzt nur das, was sie für die Arbeit brauchen (Bibliothekssystem, Mails). Ich muss denen das ja auch irgendwie verkaufen und wenn dafür zu viele Handgriffe nötig sind, wird mir das sofort um die Ohren gehauen. Es steht schließlich eine einfache Passworteingabe beim Start gegenüber, was für meine Kollegen natürlich einfach zu handhaben ist... nur für uns aus der IT natürlich ätzend ist.

 

Ich weiß nicht, mit welchen Leuten ihr so arbeitet aber für mich ist das ein täglicher Kampf :)

 

@marka

Es handelt sich um eine Uni-Bibliothek. Wie oben schon beschrieben haben wir im Forest über unserer Domäne die Domäne mit den Studenten-Konten und den Mitarbeitern. In unserer eigenen Domäne haben wir alle Konten von sonstigen Usern (weil wir ja trotzdem eine für jedermann zugängliche Bibliothek sind und auch Nicht-Studenten abdecken müssen).

[NorbertFe 1.837]

Ja, die genannte Lösung mit einem speziellen Nutzer, der freigegeben wird, ist aber, wie gesagt, zu umständlich.

 

Achso, es ist also umständlicher, "Einen" Useraccount in eine oder bis zu 7 Gruppen zu stecken, als an den PC zu gehen dort irgendwelche " Anmeldeverhinderungsmethoden zu verwenden? Naja, wenn du das so siehst...

 

Bye

Norbert