Jump to content

Zugangssteuerung in Gesamtstruktur


Recommended Posts

Einen wunderschönen guten Abend,

 

hat jemand einen erfolgsversprechenden Tipp für mich, wie man bestimmten Benutzern innerhalb einer Gesamtstruktur den Zugrif auf die anderen Domänen der Gesamtstruktur untersagt?

Die Domänen haben untereinander alle eine Vertrauensstellung,

Ich möchte eine Gruppe von Benutzern definieren, die sich nur an der eigenen Domäne anmelden dürfen. Eine Anmeldung an den anderen Domänen der Struktur soll für diese Benuter nicht möglich sein.

Ich suche schon ewig in den Gruppenrichtlinen, finde aber keine passende Richtline.

Den Zugriff auf Resoursen fremder Domänen kann ich über die NTFS Berechtigungen der Resourcen direkt steuern. Aber nicht die Anmeldung an einer fremdem Domäne-

 

Ich danke und wünsche noch einen schönen Sonntag Abend.

 

Oli

Link to comment
vor 2 Minuten schrieb cj_berlin:

Moin,

 

User Rights Assignments --> Allow Log On Locally + Deny Log On Locally

 

In allen "unzulässigen" Domänen diese Gruppe in das "Deny Log On locally"-Recht stecken und auf alle Member-Maschinen anwenden.

 

 

Moin nach Berlin,

 

Danke. Bei der Richtline "Lokal anmelden verweigern" war ich auch schon. Aber verhindert das nicht nur, daß sich ein Benutzer lokal auf dem entsprechenden Pc anmelden kann? 

Der benutzer  kann sich doch dann noch immer von seinem eigenen  PC an anderen Domänen anmelden.

 

 

Link to comment
vor 1 Minute schrieb Oli72:

Der benutzer  kann sich doch dann noch immer von seinem eigenen  PC an anderen Domänen anmelden.

Wie meinen? Der Benutzer kann sich eh nur an der Domäne anmelden, zu der er gehört. Wenn Du auch Netzwerkzugriff beschränken willst, musst Du die Gruppe in alle Deny-Rechte stecken, die da angeboten werden: Remote Logon, Batch Logon und vor allem "Access this computer from network". Es bleibt aber natürlich die Frage

images?q=tbn:ANd9GcRhkTiJvZzuUrVVhorI6h0

 

Was willst Du mit dieser Übung wirklich erreichen? Die Security Boundary im AD ist der Forest, nicht die Domäne innerhalb des Forests.

  • Like 1
Link to comment

Und um die Begrifflichkeiten mal etwas aufzuräumen: Ein User meldet sich nicht an einer Domäne an - er authentifiziert sich nur ihr gegenüber. Danach ist er "Authenticated User" in der Gesamtstruktur, und genau das ist wohl Dein Problem :-) Tatsächlich "anmelden" passiert danach (!) da, wo dann ein Prozess unter der Identität des Users läuft - sei es ein vollständiger Desktop, sei es RDP (Desktop oder App) oder auch runas. Und das klappt nur, wenn der User aufgrund seiner Gruppenmitgliedschaften ein entsprechendes TGS bekommen kann.

 

Der Zugriff auf Domänendaten wiederum benötigt nur eine Authentifizierung - die "Anmeldung" haben wir ja schon erledigt. Und "by default" haben Authentifizierte Benutzer innerhalb einer Gesamtstruktur Leserechte auf nahezu alles.

 

LOM wäre eine Lösung... Aber das kriegst Du nicht mit Hilfe eines Forums implementiert.

  • Like 1
Link to comment
vor 14 Stunden schrieb daabm:

Und um die Begrifflichkeiten mal etwas aufzuräumen: Ein User meldet sich nicht an einer Domäne an - er authentifiziert sich nur ihr gegenüber. Danach ist er "Authenticated User" in der Gesamtstruktur, und genau das ist wohl Dein Problem :-) Tatsächlich "anmelden" passiert danach (!) da, wo dann ein Prozess unter der Identität des Users läuft - sei es ein vollständiger Desktop, sei es RDP (Desktop oder App) oder auch runas. Und das klappt nur, wenn der User aufgrund seiner Gruppenmitgliedschaften ein entsprechendes TGS bekommen kann.

 

Der Zugriff auf Domänendaten wiederum benötigt nur eine Authentifizierung - die "Anmeldung" haben wir ja schon erledigt. Und "by default" haben Authentifizierte Benutzer innerhalb einer Gesamtstruktur Leserechte auf nahezu alles.

 

LOM wäre eine Lösung... Aber das kriegst Du nicht mit Hilfe eines Forums implementiert.

 

vielen Dank für die Hilfe und Erklärung.

Über das Stichwort "authentifizierte Benutzer"  habe ich jetzt einen Ansatz weiter daran zu arbeiten.

Ich muß das auch nicht umsetzen. Hier geht es um ein theoretisches Problem. zum Glück :-)  

Ich dachte nur es gibt irgendwo eine Gruppenrichtliene, die verhindert, das auf einem Rechner alle in der GS verfügbaren Domänen überhaupt auf der Anmeldemaske  angeboten werden.

Aber logisch. Die Anmeldemaske unter Windows hat ja noch nichts mit den enzelnen Resourcen zu tun.

 

 

 

Link to comment
vor 33 Minuten schrieb Oli72:

Ich dachte nur es gibt irgendwo eine Gruppenrichtliene, die verhindert, das auf einem Rechner alle in der GS verfügbaren Domänen überhaupt auf der Anmeldemaske  angeboten werden.

Aber logisch. Die Anmeldemaske unter Windows hat ja noch nichts mit den enzelnen Resourcen zu tun.

Die Anmeldemaske zeigt doch seit Windows 8 nur eine Domäne an? *welche* das ist, dafür gibt es tatsächlich eine Richtlinie. Die ist aber computerbezogen.

Edited by cj_berlin
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...