catao 11 Geschrieben 6. August 2019 Melden Geschrieben 6. August 2019 (bearbeitet) Hallo Zusammen, ich habe eine GPO, in der ich die Anmeldung (für alle Server, in der OU) nur mittels einer Smartcard erlauben darf. Das funktioniert auch, jedoch gibt es eine bestimmte Admingruppe, welche sich weiterhin mit Benutzernamen und Passwort anmelden soll. In der GPO Delegation habe ich hierzu dieser Admingruppe den Punkt "Apply group policy" auf Deny gesetzt. Mein Problem ist, dass ich eine Anmeldung ohne Smartcard nicht hin bekomme. Den Weg, die Authentifizierte User zu löschen und nur einer bestimmten Usergruppe das Recht "Apply group policy" zu geben, hat mich auch nicht zum Ziel gebracht. Wollte zumindest so testen, ob der Weg funktioniert, in dem ich einer Gruppe das Recht auf die GPO gebe und der anderen verweigere. Nur auch das klappt nicht. Eine andere Idee war, dass ich zwei GPOs anlege/verlinke. In der ersten setze ich die Smartcard Anmeldung auf enable und in der zweiten auf disabled. Von der Priorität die SmartCard vor der Admin GPO und dann wechselseitig die Berechtigungen setzen/verbieten. Das hat leider auch nicht geklappt. Ich habe das Problem, dass entweder nur SmartCard-Authentifizierung möglich ist oder die nach Benutzernamen und Kennwort gefragt wird. Das entweder/oder, in Verbindung mit der Gruppenzugehörigkeit, will nicht funktionieren. Die Frage ist, wo habe ich einen Gedankenfehler? Tausend Dank schon mal im Voraus. Viele Grüße Sascha bearbeitet 6. August 2019 von catao
testperson 1.860 Geschrieben 6. August 2019 Melden Geschrieben 6. August 2019 Hi, was hast du denn wo im GPO konfiguriert? Vermutlich hast du im Computer-Scope konfiguriert und möchtest jetzt auf Benutzer filtern. Das geht nicht. Ggruß Jan
catao 11 Geschrieben 6. August 2019 Autor Melden Geschrieben 6. August 2019 Hi Jan, ja, bei dem Punkt "Interactive logon: Require smart card", handelt es sich um ein Computer-Scope. Mein Gedanke war, wenn ich Loopback auf Replace setze und mit einer extra Admingruppe arbeite, ich dann "hintenrum" doch zum Ziel komme. Komisch ist, dass ich gestern einmal einen Zustand erreicht habe, in dem ich mit dem "normalen" User nur mit SmartCard anmelden konnte und mit einem User, aus der Admingruppe, zwischen Passwort und Smartcard wählen konnte. Ich weiß noch, dass ich dann noch etwas geändert habe, nur bekomme ich nicht mehr genau zusammen was bzw. wie der vermeintlich funktionierende Zustand war. :/
NorbertFe 2.283 Geschrieben 6. August 2019 Melden Geschrieben 6. August 2019 vor 14 Minuten schrieb catao: wenn ich Loopback auf Replace setze Das geht aber nicht mit Computerrichtlinien, sondern nur mit Benutzerrichtlinien.
testperson 1.860 Geschrieben 6. August 2019 Melden Geschrieben 6. August 2019 An der Stelle würde ich aber auch den Sinn hinter der Anforderung zumindest ein wenig in Frage stellen. Warum sollen priviligierte Admin Konten sich am Server mit Passwort anmelden und der Rest darf nur per SmartCard ran?
NorbertFe 2.283 Geschrieben 6. August 2019 Melden Geschrieben 6. August 2019 Weil alle Admins das selbe Konto nutzen? ;)
catao 11 Geschrieben 6. August 2019 Autor Melden Geschrieben 6. August 2019 Nur ganz ausgewählte Admins sollen sich zu Wartungszwecken am Server anmelden können und alle anderen eben nicht. Die genaue Anforderung wurde mir so mit auf dem Weg gegeben: Es gibt zwei Server, an die sich eine noch zu definierenden Benutzergruppe nur mittels SmartCard anmelden kann. Oder es müssen sich alle Benutzer mittels SmartCard anmelden, bis auf Benutzer, die in einer bestimmten Benutzergruppe enthalten sind, welche sich mit Ihrem Usernamen und Passwort anmelden können. Wunschvorstellung ist die, dass eine Benutzergruppe nur mittels SmartCard und eine andere sich mit Usernamen und Passwort anmelden kann. Alle anderen User können sich nicht an diesen Servern anmelden. vor 2 Minuten schrieb NorbertFe: Weil alle Admins das selbe Konto nutzen? ;) Nein, es gibt für die ausgewählten Admins eine ganz eigene Gruppe.
Sunny61 833 Geschrieben 6. August 2019 Melden Geschrieben 6. August 2019 vor einer Stunde schrieb catao: Die genaue Anforderung wurde mir so mit auf dem Weg gegeben: Es gibt zwei Server, an die sich eine noch zu definierenden Benutzergruppe nur mittels SmartCard anmelden kann. Oder es müssen sich alle Benutzer mittels SmartCard anmelden, bis auf Benutzer, die in einer bestimmten Benutzergruppe enthalten sind, welche sich mit Ihrem Usernamen und Passwort anmelden können. Wunschvorstellung ist die, dass eine Benutzergruppe nur mittels SmartCard und eine andere sich mit Usernamen und Passwort anmelden kann. Alle anderen User können sich nicht an diesen Servern anmelden. Aus welcher Prüfungsfrage ist das denn? :)
catao 11 Geschrieben 6. August 2019 Autor Melden Geschrieben 6. August 2019 vor 1 Stunde schrieb Sunny61: Aus welcher Prüfungsfrage ist das denn? :) Das ist direkt die Kundenanforderung. Klingt komisch, ist aber so.
daabm 1.431 Geschrieben 6. August 2019 Melden Geschrieben 6. August 2019 Userindividuelles "Require Smartcard" ist eine Eigenschaft des AD-Accounts, da kannst mit GPOs IMHO nix reißen... Aber ich bin da bei Server 2016 nicht ganz aktuell, vielleicht ist mit Authentication Silos was zu machen.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden