Jump to content

AD-User-Login auf bestimmte Clients einschränken


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

standardgemäß wird ja bei jedem Domain-Client die Gruppe "Domänen-Benutzer" zur lokalen Benutzer-Gruppe hinzugefügt, d.h. jeder User kann sich auf jedem Domain-Client einloggen.

Das möchte ich nun verhindern. In den Eigenschaften eines AD-Users gibt es ja die Option "Anmelden an...", die ich aber aus zwei Gründen nicht nutzen möchte:

- Aufwand, das bei jedem User händisch einzutragen

- die Option müsste eigentlich "Anmelden von..." heißen, denn hier muss man die Hostnames eintragen VON denen man sich einloggen will (was Probleme macht, wenn die Mitarbeiter über VPN arbeiten)

 

Daher meine Frage: welche Möglichkeiten habe ich noch? Müsste ich die Gruppe "Domain-Benutzer" aus der lokalen Benutzer-Gruppe der Clients entfernen und nur den Domain-User eintragen (geht das oder hat das unerwünschte Nebenwirkungen?) oder gibt es einen komfortableren Weg?

 

Danke schon mal im Voraus!

 

Grüße

DocMF

Link zu diesem Kommentar

Daher meine Frage: welche Möglichkeiten habe ich noch? Müsste ich die Gruppe "Domain-Benutzer" aus der lokalen Benutzer-Gruppe der Clients entfernen und nur den Domain-User eintragen (geht das oder hat das unerwünschte Nebenwirkungen?) oder gibt es einen komfortableren Weg?

 

 

Sinnvollerweise trägt man dort dann aber keinen einzelnen Nutzer ein, sondern wieder eine neue Gruppe. Alternativ kann man natürlich auch das Anmelden für bestimmte User verweigern. Je nachdem, was dir logischer erscheint.

Link zu diesem Kommentar

Hallo,

 

Warum ich das so einschränken will? Primär sollen sich natürlich Mitarbeiter nicht an PCs einloggen können, die "nichts für sie sind" (z.B. Vorgesetzte etc.).

Ich bin gerade am Überlegen, ob ich als ersten Step erstmal nicht jeden Mitarbeiter nur auf seinen eigenen PC lasse, sondern erstmal die PCs der Vorgesetzten einschränke, das könnte ich mir unserer OU-Struktur wahrscheinlich auch hinbekommen, ohne übermäßig großen Aufwand.

Link zu diesem Kommentar

Moment, ich habe Computer- und Benutzerebene verwechselt, die OU-Struktur der Computer ist deutlich weniger unterteilt als die User-OUs (und damit für die Verwendung per GPO so erstmal nicht geeignet).

Dann werde ich mir hier etwas überlegen müssen, trotzdem vielen Dank für Eure Hilfe/Infos!


Doch nochmal ich: wenn man es per GPO macht, müsste man es folgendermaßen machen, um zu erreichen, dass sich nur ein bestimmter User einloggen kann: unter "Lokal anmelden verweigern" müsste man ALLE anderen Domain-User eintragen (diese Liste müsste man dann natürlich bei neuen Usern pflegen etc.) außer dem User, der sich anmelden soll.

Das wäre ja ein irrer Aufwand (oder sehe ich etwas falsch?).

Microsoft muss sich doch für den Fall "Mitarbeiter sollen sich nicht an Rechnern von Chefs einloggen können" mal irgendetwas überlegt haben

Link zu diesem Kommentar

Ich verstehe nicht, was so schwierig ist an den zwei Szenarien.

1. Du erlaubst nur denjenigen die Anmeldung die es dürfen und verweigerst nichts

2. Du erlaubst pauschal allen die Anmeldung (Standard) und verweigerst es explizit denen, die sich nicht anmelden dürfen sollen.

 

Wieviele Überlegungen hätte MS denn deiner Meinung noch anstellen sollen?

 

Bye

Norbert

Link zu diesem Kommentar

@Norbert: in der Theorie ist das schön, in der Praxis aber weniger (vielleicht stehe ich aber grad wirklich auf dem Schlauch):

Zu 1.: so ist ja die Ausgangssituation: jeder darf sich überall anmelden, d.h. ich muss an irgendeiner Stelle entweder erstmal Berechtigungen entfernen oder Einschränkungen setzen. Berechtigungen entfernen würde bedeuten, ich bearbeite die Benutzergruppe auf den jeweiligen PCs (was ich aber als riskant empfände, da ich mir gut vorstellen kann, dass das Nebenwirkungen hat). Umständlich wäre es aber so oder so. Was das Einschränkungen setzen angeht wären wir dann bei Punkt 2.

Zu 2.: Verweigern ist relativ umständlich, denn wenn ich auf einem PC nur einen User erlauben will, muss ich alle anderen verweigern, d.h. ich müsste für jeden PC, für den ich die Anmeldungen beschränken will, eine extra Gruppe führen, in der jeweils sämtliche User enthalten sind, bis auf den der sich anmelden darf. Und das dann noch für mehrere Clients zu machen...

 

MS hätte z.b. bei den Computerobjekten eine Einstellung implementieren könne, in der man Domänen-User eintragen kann, die sich auf dem Client einloggen dürfen. Das würde mein Problem einfach (zumindest einfacher als die restlichen Optionen) und vor allem übersichtlich lösen.

 

@Sunny61: wenn ich deinen Vorschlag richtig verstehe, müsste ich dann aber trotzdem für jeden Client eine GPO anlegen oder? Das muss ich mal durchspielen, danke

Link zu diesem Kommentar

Moin,

 

du hast den Vorgang noch nicht verstanden. Genau das, was du suchst, ist bereits implementiert.

 

Ordne die Computer passend in OUs an oder erzeuge passende Computergruppen.

Verknpüfe (und ggf. berechtige) ein GPO, in dem du unter "Benutzerrechte" festlegst, wer sich a.) ausdrücklich anmelden darf oder b.) ausdrücklich nicht anmelden darf.

 

Alternative: Du definierst pro Computer oder pro Computer-Typ eine Gruppe, die diejenigen Benutzer enthält, die sich anmelden dürfen. Diese Gruppe (und nur diese) definierst du dann per GPO und "Eingeschränkte Gruppen" als Mitglied der lokalen Gruppe "Benutzer". Wobei ich den ersten Weg praktischer finde.

 

Kein Bedarf, an den Computern rumzumachen.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

@Norbert: in der Theorie ist das schön, in der Praxis aber weniger (vielleicht stehe ich aber grad wirklich auf dem Schlauch):

Eindeutig letzteres. :p

 

Zu 1.: so ist ja die Ausgangssituation: jeder darf sich überall anmelden, d.h. ich muss an irgendeiner Stelle entweder erstmal Berechtigungen entfernen oder Einschränkungen setzen. Berechtigungen entfernen würde bedeuten, ich bearbeite die Benutzergruppe auf den jeweiligen PCs (was ich aber als riskant empfände, da ich mir gut vorstellen kann, dass das Nebenwirkungen hat). Umständlich wäre es aber so oder so.

 

Falsch, du sollst nicht die Benutzergruppe bearbeiten, sondern die Anmeldeberechtigung einschränken.

 

Zu 2.: Verweigern ist relativ umständlich, denn wenn ich auf einem PC nur einen User erlauben will, muss ich alle anderen verweigern, d.h. ich müsste für jeden PC, für den ich die Anmeldungen beschränken will, eine extra Gruppe führen, in der jeweils sämtliche User enthalten sind, bis auf den der sich anmelden darf. Und das dann noch für mehrere Clients zu machen...

Deswegen hab ich ja gesagt, das muß man sehen, welche Option die jeweils praktischere für den eigenen Zweck ist.

 

 

MS hätte z.b. bei den Computerobjekten eine Einstellung implementieren könne, in der man Domänen-User eintragen kann, die sich auf dem Client einloggen dürfen. Das würde mein Problem einfach (zumindest einfacher als die restlichen Optionen) und vor allem übersichtlich lösen.

Gibt's ja, nur ist das eben nicht sicher und zweitens auch nicht wirklich sinnvoller.

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...