Anmelden von Domänen Benutzer an bestimmten Rechner lässt sich nicht unterbinden

[alix 0]

//abgetrennt von: https://www.mcseboard.de/topic/214387-anmelden-von-domänen-benutzer-an-bestimmten-rechner-lässt-sich-nicht-unterbinden/

 

 

Gibt es zu dem Thema inzwischen eine Lösung?

ich habe auch das Problem. Ich muss 30 PC in eine nicht von mir verwaltete Domäne eintragen. Ich möchte, dass nur Mathematik Studenten die PCs nutzen können und nicht alle Uni Studenten.

 

Dazu hab ich aus der  Gruppe "Benutzer" der lokalen gruppen die "AD Benutzer" herausgenommen und eine von mir verwaltete AD gruppe "mathe" hinzugefügt, der die mathestudenten angehören.

Mathesstudenten können sich auch anmelden, allerdings auch alle anderen AD Nutzer! Die bekommen zwar eine Meldung "du darfst nicht" die man aber ignorieren kann und dann mit einem temporären Profil angemeldet wird.

 

Meine Frage jetzt was sind

 NT-AUTORITÄT\AUTHENTIFIZIERTER BENUTZER (S-1-5-11)
 NT-AUTORITÄT\INTERAKTIV(S1-5-4)

für Benutzer, Kann ich die aus der Gruppe "benutzer" entfernen in der Hoffnung dann funktioniert es?

 

Für die lokale Anmelduing brauche ich nur den "Admininistrator" und evlt einen "administrator" gleichen Account "admin"

 

Die Profile der AD Nutzer werden sofort nach Abmeldung wieder gelöscht.

Notfalls wäre auch ein script möglich in der Art "wenn nicht Mitglied von mathe dann sofort wieder logout" Wobei ich nicht weiß, wie man das schreiben muss, aber das kann man vlt herausbekommen.

Wir haben w10 LTSC 1809 Version.

 

 

[lefg 276]

Moin

 

Ich erinnere mich an eine "Lösung". Da das Anmelden nicht verhindert werden konnte, blieben nur berechtigte User der Gruppe angemeldet, andere wurde gleich wieder abgemeldet. Gehandelt wurde das im Login-Skript.

[daabm 1.184]

Warum sollte das nicht gehen? Das geht sogar prima... https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

Notfalls kann man sogar mit seDenyInteractiveLogon arbeiten, dürfte aber seltenst erforderlich sein.

[alix 0]

Danke erst mal für den Link.
Es funktioniert irgendwie immer noch nicht. Ich hab bestimmt einen Denkfehler oder alles kaputt konfiguriert.

 

Im zentralen AD kann ich nur Guppen anlegen und denen eine Teilmegen der AD Nutzer zuweisen.  Ich kann also keine Gruppen irgendwie konfigurieren oder zentrale Gruppenrichtlinien benutzen.

Ich hab jetzt bei Computerverwaltung ->lokale Benutzer und Gruppen -> Gruppen -> Benutzer - Eigenschaften
nur noch

NT-AUTORITÄT\Authentifizierte Benutzer (S-1.5.11)   und

NT-AUTORITÄT\INTERAKTI (S-1-5-4)

 

Dann wie im Artikel beschrieben hab ich den lokalen GRuppenrichtlinien Editor gestartet:
Richtlinien für den lokalen Computer  ->   Computerkonfiguration -> Windows-Einstellungen-> Sicherheitseinstellungen, 

 Lokale Richtlinien, -> Zuweisen von Benutzerrechten  unter
Lokal anmelden zulassen nur noch Administratoren, Sicherungs-Operatonen und meine "AD\mathe-studenten"

 

Resultat ist jetzt kann sich gar niemand mehr anmelden außer dem lokale Administrator. "Die verwendete Anmeldemethode ist nicht zulässig"

Füge ich die Gruppe AD\mathe-studenten zu

Computerverwaltung ->lokale Benutzer und Gruppen -> Gruppen -> Benutzer - Eigenschaften

hinzu ändert das auch nichts.

 

Ich hab auch versucht die Gruppe "benutzer" wieder bei lokal anmelden zulassen einzutragen, das geht auch nicht  "gruppe nicht gefunden"

 

Unter w7 haben hat das Ganze mit dem Novellclienten, ZENworks und roaming profiles  wunderbar funtioniert. Nur leider funktioniert das roamen unter w10 nicht mehr, also bin ich auf die Idee gekommen das AD des Uni RZ anzuzapfen statt unseren eigenen LDAP verteilenden OES-Sles. Wir haben da eine eigene Nutzerverwaltung aber kein AD, somit hab ich auch keine Erfahrung mit windowsservern und Gruppenrichtlinien.

 

 

[tesso 360]

Ist der Rechner Mitlgied im AD des RZ?

Wie soll er denn an die Gruppe herankommen?

[daabm 1.184]

Ach die Rechner sind nicht Mitglied einer Domäne? Dann klappt das alles natürlich nicht - wie tesso sagt, wie sollen die Rechner denn an die Gruppe rankommen?

[alix 0]

Doch,  der Rechner ist Mitglied in der Domäne des RZ. Die haben da eine www Seite, da kann man den PC anmelden, der lokalen Administrator muss dabei offen sein und sein Passwort wird übermittelt. Dann nehmen die den PC ins AD auf und verpassen ihm auch eine Reihe von Gruppenrichtlinien. (man muss den firwall ausschalten und mit powershell Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol ausführen)

Danach kann ich den lokalen Admin wieder schließen oder ein anderes PW geben, das smb1 disablen und den Firewall schließen)

 

Durch die Aufnahme im AD ist es allen Studenten der Uni möglich sich an dem PC anzumelden (sind 5000) . Das will ich aber nicht. Es gibt im AD eine Gruppe mathestudenten (150) , die kann ich auch bearbeiten.  Ich möchte dass nur diese Studenten zugreifen dürfen die anderen aber nicht. (wir haben mathesoftware im Pool)

Lokal anmelden muss sich niemand, außer einem Administrator zur Softwareinstallation.

 

Ich werde jetzt noch mal einen neuen PC erstellen und mal beobachten was die Registrierung im AD bewirkt.

Wahrscheinlich war es falsch die gruppe Benutzer zu bearbeiten. Ich bekomme den "benutzer" auch nicht wieder in die Gruppe der Leute die sich anmelden dürfen hinein.

 

Ich hab schon im RZ gefragt ob die eine Idee haben aber die hatten den Fall noch nicht.

Die meinten nur, ich soll dann eben die gruppe "alle AD Nutzer" entfenen und die Gruppe mathe hinzufügen. Danach können sich aber immer noch alle anmelden, die bekommen zwar eine Fehlermeldung die kann man aber ignorieren. Dann meinten die noch ich soll

NT-AUTORITÄT\Authentifizierte Benutzer (S-1.5.11)   und

NT-AUTORITÄT\INTERAKTI (S-1-5-4)

entfernen... da hab ich aber weiter oben gelesen, dass macht dann vlt Probleme mit der Software.

 

Ist ja noch etwas Zeit bis 2020 wenn mein w7 wegfällt. Irgenwann kann ich vlt Windows verstehen. Momentan hab ich das Gefühl, je mehr ich lese desto mehr bgreife ich dass ich eigentlich nichts verstehe.

 

Hab jetzt gerade nden zweiten virtuellen PC  geerdet.

Er ist im AD!

bei  Computerverwaltung ->lokale Benutzer und Gruppen -> Gruppen -> Benutzer - Eigenschaften kann man "Hilfe" anklicken und da steht dass das unter w10 gar nicht mehr unterstützt wird...

Ok also vlt über die lokale Gruppenrichtlinien (die vom AD darf ich ja nicht ändern)

Richtlinien für den lokalen Computer  ->   Computerkonfiguration -> Windows-Einstellungen-> Sicherheitseinstellungen, 

 Lokale Richtlinien, -> Zuweisen von Benutzerrechten  unter
Lokal anmelden zulassen steht jetzt

  Administratoren, Benutzer, Gast, Sicherungs-operatoren und AD gruppe mathestudeten

und unter lokal anmelden verbieten:

 gast, und die AD gruppe "alle uni studenten"

 

Resultat ist, nicht mal mehr der Administator kann sich anmelden! auc nicht mit .\Administrator als loginname!

 

kann mir mal einer sagen was sich MS dabei denkt? Auf jeden Fall scheint verbieten stärker zu sein als erlauben, Aber es gibt keine Gruppe "Unistudenten ohne mathestudenten"

Wobei mir nicht klar ist, wieso sich der lokale Administrator nicht mehr anmelden kann "der Administrator" nicht mal im abgesichertern Modus.

 

[lefg 276]

Moin

 

Ich hatte eben einen Gedanken: Um einen Benutzer/seine Gruppe von der Benutzung des Rechners auszuschliessen, muss das doch erstmal festgestellt werden, dazu ist eine Anmeldung notwendig.

 

Ein weiterer Gedanke: Schaue in das, in ein Computerkonto im AD, ob es da eine Möglichkeit gibt, einem Benutzer oder Gruppe die Anmeldung zu verweigern oder zu erlauben. Auf einem lokalen Computerkonto ist doch doch möglich, so mich die Erinnerung nicht täuscht.

 

Ich kann es leider nicht testen, im Ruhestand habe ich nicht mehr die Möglichkeiten.

bearbeitet 26. April 2019 von lefg

[daabm 1.184]

Der erste Absatz Deiner Antwort signalisiert mir irgendwie, daß das kein Windows-AD ist, sondern eine SAMBA-Domäne. Ich bin raus...

Und bitte nicht persönlich nehmen, aber Dir fehlen Grundlagen, die per Forum kaum zu übemitteln sind.

[alix 0]

Ich werde mal fragen ob das eine samba domäne ist. Ich arbeite ja nicht im zentralen RZ, dort gibts 2 Leute für windows, die haben leider immer Stress.

Zumindest hab ich jetzt erst mal ein paar ideen zum weiter forschen.  Danke dafür!

Das mit dem "er muss sich erst anmelden" um festzustellen dass er es nicht darf ist ein interessanter Gedanke!!!!!

 

Ich weiß mir fehlen Grundlagen. Alles was ich weiß, hab ich aus Büchern und Foren. (Bis 1983 hab ich Mathe studiert nicht Informatik, wir hatten noch Lochkarten und Fortran)

Seit 1992 versuche ich mich an PC und Nutzer Betreuung.

 

Jetzt bau ich mir erst mal wieder eine neue virtuelle Maschine und mach ein snapshot bevor ich an den lokalen Gruppenrichtlinien herumspiele und alle Nutzer aussperre.

War schon interessant, dass man auf diese Weise den PC komplett unbrauchbar machen kann. Wozu brauch ich einen lokalen Administrator, wenn der nix darf? Aber Bill Gates wird sich schon was dabei gedacht haben.

 

[lefg 276]

vor einer Stunde schrieb alix:

Das mit dem "er muss sich erst anmelden" um festzustellen dass er es nicht darf ist ein interessanter Gedanke!!!!!

Mein Gedanke muss aber nicht richtig sein. Es muss keine vollständige authenfizierung sein, und bestimmt kein Laden des Benutzerprofils.

 

Wurde einmal ganz genau in die Gruppenrichtlinien der Clients, eines Clients geschaut, ob es da etwas gibt wie Anmeldung verweigern?

 

Wurde einmal googled nach Anmeldung verweigert und das mal systematisch gelesen?

Schon sder erste Hit https://www.windowspro.de/wolfgang-sommergut/anmelden-bestimmten-pcs-fuer-benutzer-gruppen-verweigern

bearbeitet 29. April 2019 von lefg

[daabm 1.184]

@alix wenn Du weitere Erkenntnisse oder Fragen hast, ich helfe gerne. Zumindest wenn ich auf der Gegenseite ernsthaftes Interesse erkenne Also bleib dran. Und ich bin auch schon ein "etwas älterer" Jahrgang, ich bin mit ZX81 und C64 groß geworden.

[alix 0]

Ich bleib dran, muss ich ja! Irgendwie ist es mein Job dieses Jahr auf 30 PC im Pool w7 durch w10 LTSC am AD zu ersetzen!!!  (und weitere ca. 25 für individuelle Nutzer w7 durch w10edu mit  Novellclient und ZEN) Komplett inclusive automatischer Softwareverteilung, Drucken im Netz, Homeverzeichnisse im AD oder auf dem OES/sles.

Bisher (w7) erfolgte die Nutzerautentifizierung über den Novellclienten/Zenagent und LDAP auf dem OES Server. Ich hab ein w7 image, einen PE stick und installiere das in eine primäre partition (im PC pool sind dualboot PC mit ubuntu/windows) Die individuelle Software und Druckerverteilung macht ZEN.

Aber w7 endet 2020 und in w10 funtioniert roaming nicht wie bisher (und schon gar nicht nicht ohne AD) Deshalb hab ich für den Pool die eigenen Nutzerverwaltung aufgegeben und will die zentrale der Uni im AD abgreifen. (macht auch Sinn, dann brauchen wir nicht mehr jedes studentenlogin selbst zu verwalten)

 

Danke! Jedenfalls schon mal für die Ideen.  Ich melde mich wenn ich was herausgefunden habe.

[v-rtc 81]

LTSC sicher?

Was brauchen die 30 PCs denn so?

[alix 0]

Ich könnte die LTSC oder die Edu Version nehmen, wir haben eine Landeslizenz an der Uni für beide.

Im PC pool für die Studenten reicht wahrscheinlich die LTSC, da ist mathesoftware drauf (matlab, mathematica und maple, LaTeX und Office/Openoffice, VLC, firefox, gimp... )

Ich hoffe keiner braucht den edge. Bei den Mitarbeiter PCs brauche ich schon den Edge, skype und anderes. Ich versuche allerdings so viel wie möglich apps zu entfenen hab schon gelernd das geht für noch nicht angemeldete Nutzer mit:

Get-AppxProvisionedPackage -online |? displayname -like *zune* |remove-appxprovisionedpackage -online

und für den defaul mit

Get-AppxPackage |? name -like *zune* |remove-appxpackage

 

Allerdings hab ich sysprep bei der Edu Version noch nicht erfolgreich hinbekommen, das schipft über Apps aus dem shop, die beim Adminstrator installiert sind. (den shop gibts nicht bei der LTSC) Ich hab aber schon ein paar Hinweise gefunden, wie ich das umgehen kann. Wenn ja nehme ich die Edu Version und verschiebe nur die Updates auf die Semesterpause.

Für meine Tests mit dem AD ist das LTSC image erst mal ganz hilfreich.

 

Ich bin mir auch noch nicht sicher, ob ich sophos nutze oder mich auf den defender verlasse. (Ich denke ich lasse sophos weg, Die Daten der Studenten sind im Backup und den Rechner kann ich clonen im Virenfall,  Das letzte MS update hat sich nciht mit sophos vertragen und musste manuell im abgesichterten modus deinstaliert werden)

 

Zitat

Wurde einmal googled nach Anmeldung verweigert und das mal systematisch gelesen?

Schon sder erste Hit https://www.windowspro.de/wolfgang-sommergut/anmelden-bestimmten-pcs-fuer-benutzer-gruppen-verweigern

 

Hab ich jetzt gelesen, danke! Entscheidend ist der Satz

Wenn Konten aus Versehen gleichzeitig die Anmeldung erlaubt und verweigert wird, weil man sie in zwei verschiedene Listen aufgenommen hat, dann setzt sich das Verbot durch.

 

d.h. es bleibt wohl nur irgendwie "unerlaubte" Benutzer wieder abzumelden. Ich habe keine Gruppe "du darfst nicht" nur eine Gruppe "mathe" und eine gruppe "Alle" und deren Mitglieder ändern sich sehr häufig.  Wobei eine manuell erzeugte Gruppe "du darfs Nicht"= "Alle"- "mathe", die wir dann auf die lokalen Recher kopieren könnten, zwar eine Idee ist aber ich weiß nicht wie lange das Anmelden dann dauert, wenn der PC jedesmal eine Liste von 5000 Einträgen durchsucht.

Ich kann mir "alle" und "mathe" mit dem Befehlen    net groups /domain "Alle"   und    net groups /domain "mathe"

zwei listen erstellen und so die differentmenge erzeugen.  Ich werde das mal probieren

 

 

bearbeitet 30. April 2019 von alix