Jump to content

Anmelden von Domänen Benutzer an bestimmten Rechner lässt sich nicht unterbinden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi all,

 

ich habe aktuell ein Problem mit dem "verbieten" von Anmeldungen an bestimmten Rechnern.

 

Eigentlich ganz einfach, denkt man zumindest, den Lösungen und Vorschläge gibt es ja zur genüge. Gesagt getan, und erst mal geschaut, wer sich Lokal anmelden darf. Dort findet sich unter anderem die Gruppe "Benutzer". Einige Tipps im Netz besagen, man solle aus der Lokalen Gruppe "Benutzer" einfach die Domänen User raus werfen, und nur diejenigen Eintragen bzw. übrig lassen, welche sich anmelden dürfen.

 

Laut Aussagen in diversen Beiträgen soll das so gehen. Rein von der Logik her würde das ja auch passen, den diese Gruppe wird ja automatisch beim Eintritt in eine Domäne hinzugefügt. Man sieht auch zusätzlich, das alle Lokal hinzugefügten User aus der Domäne separat aufgeführt werden. Theoretisch wäre das also eine durchaus perfekte Lösung, um festzulegen das sich nur bestimmte User anmelden dürfen (nämlich diejenigen, welche Explizit auf dem jeweiligen Rechner hinzugefügt werden)

 

Scheint aber nicht wirklich so zu wirken wir erwartet. :cry3: Trotzdem können sich weiterhin alle Domänen Benutzer anmelden.

 

Etwas Verwirrung scheint es bezüglich des Eintrages S-1-5-11 zu geben. Laut Beschreibung bezieht sich das ja auf " Gruppe, die alle Benutzer enthält, deren Identitäten bei der Anmeldung authentifiziert wurden. Die Mitgliedschaft wird vom Betriebssystem gesteuert." Leider erwähnt Microsoft nicht, ob das automatisch ebenfalls alle Domänen Benutzer mit einschließt (was dann aber den anderen Eintrag obsolet machen würde, welcher ja erst beim Beitritt zu einer Domäne hinzugefügt wird).

 

Kennt jemand das Problem?

Link zu diesem Kommentar

Hi,

 

also Anforderung ist ein Schulungsrechner unter Windows 10. Auf diesem sollen sich nur zuvor explizit eingerichtete User anmelden können (zusätzlich zum vorhandenen lokalen Admin Account).

 

Konkret 1x Domänen Admin, 2x  berechtigte Accounts zum Einrichten/installieren von Programmen und 1x der eigentliche Schulungs-Account (nur Benutzer Rechte).

 

@testperson

An diversen stellen wird aber explizit davon abgeraten den Eintrag "xxxx\Domänen-Benutzer" in der GPO unter "Lokal anmelden verweigern" einzutragen, weil die Verbote immer über dem was erlaubt ist stehen bzw. gewinnen.

 

Hatte ich auch schon mal getestet, und es ist dann tatsächlich so das sich überhaupt niemand mehr anmelden kann. Nicht mal ein Domänen-Admin. Selbst wenn der jeweilig User davor bereits auf dem System eingerichtet war.

Link zu diesem Kommentar

Hi,

 

habe ich aktuell, ist aber leider nicht so toll. Es gibt regelmäßig neue User, und andere die Wegfallen, und das macht das ganze dann auf Dauer unübersichtlich.

 

Eigentlich bin ich ein Verfechter des Ansatzes, was ist einfacher. Und dabei geht es nicht um Bequemlichkeit, sondern was ist in der Praxis besser gegen Fehler gesichert. Und da ist es nun mal Sicherer zu Sagen das sich nur die User A,B,C und D anmelden dürfen, als dauernd eine Liste von 1000+ Usern dahingehend zu prüfen, ob alle in der Liste derer welche sich nicht anmelden dürfen enthalten sind.

Link zu diesem Kommentar

Dann teste es mal andersrum und verwende "Lokal anmelden zulassen" mit Usern in berechtigten Gruppen (und lasse "Administratoren, Sicherungs-Operatoren" drin bzw. füge diese auch hinzu).

 

Evtl. noch ein bisschen was zum _vorher_ lesen: https://support.microsoft.com/en-us/help/823659/client-service-and-program-issues-can-occur-if-you-change-security-set ;)

bearbeitet von testperson
Link zu diesem Kommentar

Hi,

 

das hatte ich weiter oben ja schon geschrieben. Entferne ich den Eintrag, welcher beim Eintritt in die Domäne hinzugefügt wird, hat das keine Auswirkung. Es können sich weiterhin sowohl die Explizit vorhandenen, als auch alle überhaupt in der Domäne vorhandenen Accounts einloggen.

 

Den Artikel kenne ich, und habe diesen sowie viele weiteren schon mit einbezogen.

 

Teilweise finden sich ja auch Treffer im Netz, wo User exakt das gleiche Problem haben, sprich Sie erhalten den Tipp die allgemeine Angabe der Domänen User aus "Benutzer" zu entfernen, und den Hinweis, nur diejenigen hinzuzufügen, die sich auch anmelden sollen.

 

Hilft nur relativ wenig in Beiträgen von z.b. 2004 oder 2006 die sich auf Windows 2000/XP beziehen, und evtl. damals auch funktioniert haben. Windows 10 scheint der Eintrag augenscheinlich völlig egal zu sein. Zumindest das entfernen aus den erlaubten hat keine Auswirkung, wohingegen das hinzufügen zu den verboten alle Benutzer Sperrt (dort scheint er es also zu interpretieren).

 

Prüfung mit rsop zeigt aber das die Einstellungen nicht Domänen weit überschrieben werden.

 

Problem ist aktuell das die Praxis zeigt das es immer wieder Accounts gibt, die beim Verbot durchrutschen, sich anmelden und dann z.b. beschweren das bestimmte Programme etc. nicht so funktionieren wie erwartet oder angeblich fehlen (schlicht weil der Desktop anders aussieht wie auf den fertig eingerichteten PCs).

 

Von den vielen "Profilleichen" mal abgesehen die dabei übrig bleiben.

 

Problem ist hier jetzt halt das es klassisch nicht sinnvoll ist jeden User einzeln zu konfigurieren, auf welche PCs Er/Sie zugreifen darf. Dafür sind es zu viele User/PC Kombinationen als das so was sinnvoll handelbar wäre. Da könnten wir hier gleich 10 Leute einstellen, die jeden Tag 8 Stunden nichts anderes tun als genau das zu tun, sprich für jeden User einzeln jeden Tag aus neue festzulegen auf welchen PCs sich dieser heute Anmelden darf, und auf welchen nicht.

 

Das ist völlig Praxisfern, wenn man aus der anderen Richtung weiß, das es für jeden dieser betroffenen PCs immer nur 4 !!! exakt definierte Accounts gibt welche zugreifen dürften.

 

Da das Verbot immer gewinnt geht halt kein "Sperre alle bis auf die 4 erlaubten". Die Sperre schließt ja leider immer auch die erlaubten ein. Und die Liste der gesperrten Benutzer ist einfach zu groß als das man diese sinnvoll aktuell halten kann.

 

Und wie auch in anderen Beiträgen dazu nachzulesen ist, verwundert es wohl das Windows beim Eintritt in eine Domäne diese Domänen User Gruppe hinzufügt, aber das entfernen scheint keine Auswirkung zu haben bzw. wird augenscheinlich ignoriert. Den dafür sollte diese GPO doch sein, nämlich festzulegen wer Anmelde berechtigt ist. Wenn man aber nicht in der Liste stehen muss, um trotzdem Anmelde berechtigt zu sein, führt das diese GPO ja irgendwie ad absurdum.

Link zu diesem Kommentar

Was konfiguriert du denn da und wie?

 

Hast du in einer TestOU mit einem Test-Computerobjekt auf die kein GPO wirkt mal ein GPO erstellt und dort "Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Lokal anmelden zulassen" dort den Haken gesetzt "Diese Richtlinieneinstellung definieren" gesetzt und über "Benutzer oder Gruppe hinzufügen" von Hand "Administratoren" -> Hinzufügen; "Sicherungs-Operatoren" -> Hinzufügen. Jetzt über "Durchsuchen" deine AD Gruppe hinzufügen.

 

Den Client am besten jetzt einmal durchbooten und testen.

 

An einem Windows Server 2016 (Member) funktioniert das jedenfalls so. Ich habe es grade getestet.

 

Deine evtl. "händischen" Versuche werden vermutlich gescheitert sein, da in der lokalen Richtlinie am Client (gpedit.msc) eben "Administratoren", "Benutzer" und "Sicherungs-Operatoren" die Anmeldung erlaubt.

 

Link zu diesem Kommentar

Hi,

 

danke erst mal für die Hilfe und deine Tests.

 

Aktuell versuche ich es direkt auf dem Client zu konfigurieren. Dort habe ich aus der Gruppe der Benutzer den Eintrag für "domain.de\Domänen Benutzer", als auch versuchsweise den Eintrag "NT-AUTORITÄT\Authentifizierte Benutzer" entfernt (so wie eben in diversen Beiträgen beschrieben). Dadurch sollte man eigentlich an der lokalen Richtlinie nichts mehr ändern müssen, da diese ja nur auf die jeweiligen lokalen Gruppen verweist. In der Gruppe der Administratoren sind lokal nur der Lokale, die Domänen Admins sowie ein Benutzer als "domain.de\xyz" vorhanden. In der Gruppe der Benutzer aktuell nur noch ein Eintrag "domäne.de\abc" und "NT-AUTORITÄT\INTERAKTIV". Lokale Richtlinie habe ich sicherheitshalber ebenfalls überprüft, diese steht noch alles auf den Default Einträgen, verweist also nur auf die lokalen Gruppen, in welchen die Einträge jetzt ja eigentlich nicht mehr vorhanden sind.

 

Ergebnis ist das sich trotzdem weiterhin alle Domänen Benutzer anmelden können. Laut rsop werden aber keine Einträge mittels GPO übergeben bzw. übernommen die dieses Verhalten ändern/überschreiben (logisch, habe auf den Servern nichts dergleichen Konfiguriert)

 

Entferne ich zusätzlich den Eintrag "NT-AUTORITÄT\INTERAKTIV" hätte ich theoretisch das gewünschte verhalten. Danach können sich tatsächlich nur noch die Lokal eingetragenen Domänen User anmelden. Also User welche z.b. als "domain.de\xyz" in der Gruppe der Administratoren, oder in der Gruppe der Benutzer vorhanden sind.

 

Nur das funktioniert natürlich nicht auf Dauer, den spätestens beim nächsten Neustart würden auch viele Dienste nicht mehr laufen, da diese ebenfalls auf "NT-AUTORITÄT\INTERAKTIV" angewiesen sind.

 

Da der Eintrag "domain.de\Domänen Benutzer" ja erst nach dem Beitritt zu einer Domäne auf einem Client entsteht (welcher dafür sorgt das sich überhaupt erst mal alle Domänen User einloggen dürfen), ist für mich nicht logisch nachvollziehbar, warum es auch ohne diesen Eintrag weiterhin geht, sofern auf den jeweiligen User keine andere Beschränkung zutrifft. Trage ich im AD bei einem Test User ein, das er sich nur an PC X anmelden darf, erscheint auf dem Versuchs PC auch korrekt die Meldung das er sich hier nicht anmelden darf.

 

Es ist echt zum Haare raufen :cry3:

bearbeitet von MS Master
Link zu diesem Kommentar
vor 7 Minuten schrieb MS Master:

age ich im AD bei einem Test User ein, das er sich nur an PC X anmelden darf, erscheint auf dem Versuchs PC auch korrekt die Meldung das er sich hier nicht anmelden darf.

Das ist aber was ganz anderes und sollte nicht verwendet werden. Ich würde an deiner Stelle da nicht soviel Zeitaufwand reinstecken und das per gpo definieren. Dann gehts ja wie es soll. Und da der pc ja Mitglied der Domäne wird, ist doch das lokale gehampel dann sowieso überflüssig.

 

bye

norbert

Link zu diesem Kommentar

@NorbertFe

 

Wie oben bereits geschrieben ist eine "der darf sich nicht anmelden" Liste in der Umgebung nicht praktikabel und aktuell zu führen. Der Zeitliche Aufwand dafür steht in keinem Verhältnis zum Nutzen.

 

Das ist so, als würde man verlangen das man auf Seiten des Mail Servers nicht die 5-10 erlaubten Dateiformate konfiguriert, sondern eine Liste mit 1.000+ Dateiformaten auf Stand halten soll. Ich habe auch in der Praxis noch nie gehört das mir jemand gesagt hat "Hm, also wer erlaubt ist kann ich Ihnen nicht sagen, aber schauen Sie mal, wir haben hier eine Liste mit x Tausend verbotenen, schauen Sie doch mal ob Sie da dabei sind" .....

 

Per GPO ist es einfach nicht möglich alle User die sich NICHT anmelden dürfen zu erfassen bzw. aktuell zu halten. Dafür ist die Anzahl der täglichen Änderungen einfach viel zu groß. Insofern macht das "gehampel" am Lokalen PC mehr Sinn, da es tatsächlich weniger Aufwand ist. Es ist einfach auch Logisch, Sinnvoller und vor allem Fehlerfreier eine Liste mit 4 erlaubten Usern pro Schulungs PC zu haben, als eine Liste mit mehreren Tausend nicht erlaubten führen zu müssen.

bearbeitet von MS Master
Link zu diesem Kommentar

Lies dir das doch nochmal durch und überlege was du erreichen möchtest:

 

Und selbst wenn bei dir, warum auch immer, nur das Verweigern funktionieren sollte, würde ich mir ein Script erstellen was dynamisch alle "nicht Mitglieder" einer "Dummy erlauben Gruppe" regelmäßig in eben eine verweigern Gruppe schiebt.

 

Evtl. hilft es wenn du mal kurz erläuterst, wie die User bei euch auf die Idee kommen sich an vollkommen falschen Clients einfach so mal an zu melden. Ich kann mir grade kein Szenario ausmalen, wo User alle 5 Minuten in "Reise nach Jerusalem Manier" einfach den PC wechseln.

Link zu diesem Kommentar
vor 44 Minuten schrieb testperson:

Evtl. hilft es wenn du mal kurz erläuterst, wie die User bei euch auf die Idee kommen sich an vollkommen falschen Clients einfach so mal an zu melden. Ich kann mir grade kein Szenario ausmalen, wo User alle 5 Minuten in "Reise nach Jerusalem Manier" einfach den PC wechseln.

 

Die melden sich nicht an "falschen" Clients an, sondern die User versuchen das System zu umgehen, wenn Sie gerade nicht z.b. Youtube Videos schauen dürfen. Es handelt sich nämlich schlicht und ergreifend um Schüler, die je nach Leistung die Systeme nutzen dürfen, oder eben auch nicht (und dazu gehört auch das Sie z.b. YouTube Videos schauen dürfen in den pausen bzw. frei Stunden). Und um Missbrauch zu verhindern, hat kein Schüler einen dauerhaften Login, sondern jeder berechtigte Schüler erhält jeden Tag neue Login Daten. Und nein, das habe nicht ich mir so ausgedacht, sondern ein paar hoch bezahlte ;-)

 

Und wenn alle "normalen" PCs belegt sind, wird halt versucht die anderen zu "missbrauchen".

bearbeitet von MS Master
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!
Gast
Dieses Thema wurde für weitere Antworten geschlossen.
×
×
  • Neu erstellen...