Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
DocMF

AD-User-Login auf bestimmte Clients einschränken

Empfohlene Beiträge

Hallo,

 

standardgemäß wird ja bei jedem Domain-Client die Gruppe "Domänen-Benutzer" zur lokalen Benutzer-Gruppe hinzugefügt, d.h. jeder User kann sich auf jedem Domain-Client einloggen.

Das möchte ich nun verhindern. In den Eigenschaften eines AD-Users gibt es ja die Option "Anmelden an...", die ich aber aus zwei Gründen nicht nutzen möchte:

- Aufwand, das bei jedem User händisch einzutragen

- die Option müsste eigentlich "Anmelden von..." heißen, denn hier muss man die Hostnames eintragen VON denen man sich einloggen will (was Probleme macht, wenn die Mitarbeiter über VPN arbeiten)

 

Daher meine Frage: welche Möglichkeiten habe ich noch? Müsste ich die Gruppe "Domain-Benutzer" aus der lokalen Benutzer-Gruppe der Clients entfernen und nur den Domain-User eintragen (geht das oder hat das unerwünschte Nebenwirkungen?) oder gibt es einen komfortableren Weg?

 

Danke schon mal im Voraus!

 

Grüße

DocMF

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Daher meine Frage: welche Möglichkeiten habe ich noch? Müsste ich die Gruppe "Domain-Benutzer" aus der lokalen Benutzer-Gruppe der Clients entfernen und nur den Domain-User eintragen (geht das oder hat das unerwünschte Nebenwirkungen?) oder gibt es einen komfortableren Weg?

 

 

Sinnvollerweise trägt man dort dann aber keinen einzelnen Nutzer ein, sondern wieder eine neue Gruppe. Alternativ kann man natürlich auch das Anmelden für bestimmte User verweigern. Je nachdem, was dir logischer erscheint.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Vielen Dank für die schnelle Antwort. Ok, d.h. aber einen ganz anderen Weg (den ich gar nicht auf dem Schirm hatte) gibt es nicht, oder?

In dem Fall würde ich dann die Domain-User-Gruppe auf den Clients rausschmeißen und durch eine geeignete Gruppe oder User ersetzen

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

man kann die lokale Anmeldung auch per Gruppenrichtlinie steuern. Dort gibt es sowohl das Erlauben als auch das Verweigern (bei den Benutzerrechten auf Computerebene). Vermutlich das, was Norbert meinte.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ok, danke. Diese Variante wäre für mich insofern aber umständlich, da ich (bis auf wenige Ausnahmen) jedem User nur Berechtigungen zum Anmelden auf seinen PC geben will. Und dann würde ich für jeden PC eine eigene Gruppenrichtlinie benötigen (wenn ich jetzt nicht auf dem Schlauch stehe)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

 

Warum ich das so einschränken will? Primär sollen sich natürlich Mitarbeiter nicht an PCs einloggen können, die "nichts für sie sind" (z.B. Vorgesetzte etc.).

Ich bin gerade am Überlegen, ob ich als ersten Step erstmal nicht jeden Mitarbeiter nur auf seinen eigenen PC lasse, sondern erstmal die PCs der Vorgesetzten einschränke, das könnte ich mir unserer OU-Struktur wahrscheinlich auch hinbekommen, ohne übermäßig großen Aufwand.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moment, ich habe Computer- und Benutzerebene verwechselt, die OU-Struktur der Computer ist deutlich weniger unterteilt als die User-OUs (und damit für die Verwendung per GPO so erstmal nicht geeignet).

Dann werde ich mir hier etwas überlegen müssen, trotzdem vielen Dank für Eure Hilfe/Infos!


Doch nochmal ich: wenn man es per GPO macht, müsste man es folgendermaßen machen, um zu erreichen, dass sich nur ein bestimmter User einloggen kann: unter "Lokal anmelden verweigern" müsste man ALLE anderen Domain-User eintragen (diese Liste müsste man dann natürlich bei neuen Usern pflegen etc.) außer dem User, der sich anmelden soll.

Das wäre ja ein irrer Aufwand (oder sehe ich etwas falsch?).

Microsoft muss sich doch für den Fall "Mitarbeiter sollen sich nicht an Rechnern von Chefs einloggen können" mal irgendetwas überlegt haben

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich verstehe nicht, was so schwierig ist an den zwei Szenarien.

1. Du erlaubst nur denjenigen die Anmeldung die es dürfen und verweigerst nichts

2. Du erlaubst pauschal allen die Anmeldung (Standard) und verweigerst es explizit denen, die sich nicht anmelden dürfen sollen.

 

Wieviele Überlegungen hätte MS denn deiner Meinung noch anstellen sollen?

 

Bye

Norbert

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@Norbert: in der Theorie ist das schön, in der Praxis aber weniger (vielleicht stehe ich aber grad wirklich auf dem Schlauch):

Zu 1.: so ist ja die Ausgangssituation: jeder darf sich überall anmelden, d.h. ich muss an irgendeiner Stelle entweder erstmal Berechtigungen entfernen oder Einschränkungen setzen. Berechtigungen entfernen würde bedeuten, ich bearbeite die Benutzergruppe auf den jeweiligen PCs (was ich aber als riskant empfände, da ich mir gut vorstellen kann, dass das Nebenwirkungen hat). Umständlich wäre es aber so oder so. Was das Einschränkungen setzen angeht wären wir dann bei Punkt 2.

Zu 2.: Verweigern ist relativ umständlich, denn wenn ich auf einem PC nur einen User erlauben will, muss ich alle anderen verweigern, d.h. ich müsste für jeden PC, für den ich die Anmeldungen beschränken will, eine extra Gruppe führen, in der jeweils sämtliche User enthalten sind, bis auf den der sich anmelden darf. Und das dann noch für mehrere Clients zu machen...

 

MS hätte z.b. bei den Computerobjekten eine Einstellung implementieren könne, in der man Domänen-User eintragen kann, die sich auf dem Client einloggen dürfen. Das würde mein Problem einfach (zumindest einfacher als die restlichen Optionen) und vor allem übersichtlich lösen.

 

@Sunny61: wenn ich deinen Vorschlag richtig verstehe, müsste ich dann aber trotzdem für jeden Client eine GPO anlegen oder? Das muss ich mal durchspielen, danke

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

du hast den Vorgang noch nicht verstanden. Genau das, was du suchst, ist bereits implementiert.

 

Ordne die Computer passend in OUs an oder erzeuge passende Computergruppen.

Verknpüfe (und ggf. berechtige) ein GPO, in dem du unter "Benutzerrechte" festlegst, wer sich a.) ausdrücklich anmelden darf oder b.) ausdrücklich nicht anmelden darf.

 

Alternative: Du definierst pro Computer oder pro Computer-Typ eine Gruppe, die diejenigen Benutzer enthält, die sich anmelden dürfen. Diese Gruppe (und nur diese) definierst du dann per GPO und "Eingeschränkte Gruppen" als Mitglied der lokalen Gruppe "Benutzer". Wobei ich den ersten Weg praktischer finde.

 

Kein Bedarf, an den Computern rumzumachen.

 

Gruß, Nils

bearbeitet von NilsK

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@Norbert: in der Theorie ist das schön, in der Praxis aber weniger (vielleicht stehe ich aber grad wirklich auf dem Schlauch):

Eindeutig letzteres. :p

 

Zu 1.: so ist ja die Ausgangssituation: jeder darf sich überall anmelden, d.h. ich muss an irgendeiner Stelle entweder erstmal Berechtigungen entfernen oder Einschränkungen setzen. Berechtigungen entfernen würde bedeuten, ich bearbeite die Benutzergruppe auf den jeweiligen PCs (was ich aber als riskant empfände, da ich mir gut vorstellen kann, dass das Nebenwirkungen hat). Umständlich wäre es aber so oder so.

 

Falsch, du sollst nicht die Benutzergruppe bearbeiten, sondern die Anmeldeberechtigung einschränken.

 

Zu 2.: Verweigern ist relativ umständlich, denn wenn ich auf einem PC nur einen User erlauben will, muss ich alle anderen verweigern, d.h. ich müsste für jeden PC, für den ich die Anmeldungen beschränken will, eine extra Gruppe führen, in der jeweils sämtliche User enthalten sind, bis auf den der sich anmelden darf. Und das dann noch für mehrere Clients zu machen...

Deswegen hab ich ja gesagt, das muß man sehen, welche Option die jeweils praktischere für den eigenen Zweck ist.

 

 

MS hätte z.b. bei den Computerobjekten eine Einstellung implementieren könne, in der man Domänen-User eintragen kann, die sich auf dem Client einloggen dürfen. Das würde mein Problem einfach (zumindest einfacher als die restlichen Optionen) und vor allem übersichtlich lösen.

Gibt's ja, nur ist das eben nicht sicher und zweitens auch nicht wirklich sinnvoller.

 

Bye

Norbert

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×