Jump to content
catao

GPO für alle Benutzer, bis auf eine bestimmte Admingruppe

Recommended Posts

Hallo Zusammen,

ich habe eine GPO, in der ich die Anmeldung (für alle Server, in der OU) nur mittels einer Smartcard erlauben darf. Das funktioniert auch, jedoch gibt es eine bestimmte Admingruppe, welche sich weiterhin mit Benutzernamen und Passwort anmelden soll. In der GPO Delegation habe ich hierzu dieser Admingruppe den Punkt "Apply group policy" auf Deny gesetzt. Mein Problem ist, dass ich eine Anmeldung ohne Smartcard nicht hin bekomme.

Den Weg, die Authentifizierte User zu löschen und nur einer bestimmten Usergruppe das Recht "Apply group policy" zu geben, hat mich auch nicht zum Ziel gebracht. Wollte zumindest so testen, ob der Weg funktioniert, in dem ich einer Gruppe das Recht auf die GPO gebe und der anderen verweigere. Nur auch das klappt nicht.

 

Eine andere Idee war, dass ich zwei GPOs anlege/verlinke. In der ersten setze ich die Smartcard Anmeldung auf enable und in der zweiten auf disabled. Von der Priorität die SmartCard vor der Admin GPO und dann wechselseitig die Berechtigungen setzen/verbieten. Das hat leider auch nicht geklappt.

 

Ich habe das Problem, dass entweder nur SmartCard-Authentifizierung möglich ist oder die nach Benutzernamen und Kennwort gefragt wird. Das entweder/oder, in Verbindung mit der Gruppenzugehörigkeit, will nicht funktionieren.

 

Die Frage ist, wo habe ich einen Gedankenfehler?

 

Tausend Dank schon mal im Voraus.

  

Viele Grüße

Sascha

Edited by catao

Share this post


Link to post
Share on other sites

Hi,

 

was hast du denn wo im GPO konfiguriert? Vermutlich hast du im Computer-Scope konfiguriert und möchtest jetzt auf Benutzer filtern. Das geht nicht.

 

Ggruß

Jan

Share this post


Link to post
Share on other sites

Hi Jan, 


ja, bei dem Punkt "Interactive logon: Require smart card", handelt es sich um ein Computer-Scope. Mein Gedanke war, wenn ich Loopback auf Replace setze und mit einer extra Admingruppe arbeite, ich dann "hintenrum" doch zum Ziel komme.  Komisch ist, dass ich gestern einmal einen Zustand erreicht habe, in dem ich mit dem "normalen" User nur mit SmartCard anmelden konnte und mit einem User, aus der Admingruppe, zwischen Passwort und Smartcard wählen konnte. Ich weiß noch, dass ich dann noch etwas geändert habe, nur bekomme ich nicht mehr genau zusammen was bzw. wie der vermeintlich funktionierende Zustand war. :/

Share this post


Link to post
Share on other sites
vor 14 Minuten schrieb catao:

wenn ich Loopback auf Replace setze

Das geht aber nicht mit Computerrichtlinien, sondern nur mit Benutzerrichtlinien.

Share this post


Link to post
Share on other sites

An der Stelle würde ich aber auch den Sinn hinter der Anforderung zumindest ein wenig in Frage stellen. Warum sollen priviligierte Admin Konten sich am Server mit Passwort anmelden und der Rest darf nur per SmartCard ran?

Share this post


Link to post
Share on other sites

Nur ganz ausgewählte Admins sollen sich zu Wartungszwecken am Server anmelden können und alle anderen eben nicht. 

Die genaue Anforderung wurde mir so mit auf dem Weg gegeben:

Es gibt zwei Server, an die sich eine noch zu definierenden Benutzergruppe nur mittels SmartCard anmelden kann. Oder es müssen sich alle Benutzer mittels SmartCard anmelden, bis auf Benutzer, die in einer bestimmten Benutzergruppe enthalten sind, welche sich mit Ihrem Usernamen und Passwort anmelden können. 

Wunschvorstellung ist die, dass eine Benutzergruppe nur mittels SmartCard und eine andere sich mit Usernamen und Passwort anmelden kann. Alle anderen User können sich nicht an diesen Servern anmelden.
 

vor 2 Minuten schrieb NorbertFe:

Weil alle Admins das selbe Konto nutzen? ;)

Nein, es gibt für die ausgewählten Admins eine ganz eigene Gruppe. 

Share this post


Link to post
Share on other sites
vor einer Stunde schrieb catao:

Die genaue Anforderung wurde mir so mit auf dem Weg gegeben:

Es gibt zwei Server, an die sich eine noch zu definierenden Benutzergruppe nur mittels SmartCard anmelden kann. Oder es müssen sich alle Benutzer mittels SmartCard anmelden, bis auf Benutzer, die in einer bestimmten Benutzergruppe enthalten sind, welche sich mit Ihrem Usernamen und Passwort anmelden können. 

Wunschvorstellung ist die, dass eine Benutzergruppe nur mittels SmartCard und eine andere sich mit Usernamen und Passwort anmelden kann. Alle anderen User können sich nicht an diesen Servern anmelden.

Aus welcher Prüfungsfrage ist das denn? :)

Share this post


Link to post
Share on other sites

 

vor 1 Stunde schrieb Sunny61:

Aus welcher Prüfungsfrage ist das denn? :)


Das ist direkt die Kundenanforderung. Klingt komisch, ist aber so. :rolleyes:

Share this post


Link to post
Share on other sites

Userindividuelles "Require Smartcard" ist eine Eigenschaft des AD-Accounts, da kannst mit GPOs IMHO nix reißen... Aber ich bin da bei Server 2016 nicht ganz aktuell, vielleicht ist mit Authentication Silos was zu machen.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...