Jump to content
Sign in to follow this  
004

Anmeldung nicht zulassen

Recommended Posts

Hallo zusammen,

 

da sich hier manchmal User "verirren" möchte ich diesen die Anmeldung am DC verweigern.

 

Mit lokalen Richtlinien scheint das ja kein Thema zu sein, wie oder wo blockiere ich aber eine Domänenanmeldung?

 

Grüsse,

004

Share this post


Link to post

@004: Mir ist dein Anliegen nicht ganz klar, du solltest eine nur ein wenig ausgefeiltere Porblembeschreibungssprache wählen ;)

Z.B.:

da sich hier manchmal User "verirren"

Wo ist "hier" und was ist verirren (/Witz On auf dem Flur des RZ :suspect: /Witz Off)

 

wo blockiere ich aber eine Domänenanmeldung

Sind doch DomänenUser, oder?! Dann sollten die sich auch an der Domäne anmelden können :suspect:

 

Du siehst: du weißt, was du willst, wir nicht .. :cry:

 

grizzly999

Share this post


Link to post

Hallo,

 

leider kann ich Dir nicht ganz folgen ???

 

[Qoute] Mit lokalen Richtlinien scheint das ja kein Thema zu sein[/Qoute]

Na super! klappt doch. So soll es doch sein! Oder?

 

[Qoute]wie oder wo blockiere ich aber eine Domänenanmeldung[/Qoute]

 

Ich würde das Konto deaktivieren.

 

@grizzley999 - ok wars*** schneller, 2 Köpfe ein Gedanke :-)

 

mfg

Share this post


Link to post

:shock: Oje, oje, da predige ich auch immer wieder, dass man ausfürlich beschreiben soll und nun so etwas...

 

Ich bitte vielmals um Entschuldigung!

 

Also noch einmal - @grizzly999:

"ausgefeilte Problembeschreibungssprache" - gefällt mir :D

 

Hier (bei uns) arbeiten einige Leute mit Terminal Services. Und manche arbeiten nicht nur mit dem Terminalserver, sondern melden sich mal am DC oder einem anderen Server an. Und genau das will ich in Zukunft vermeiden.

 

Ich will generell vermeiden, dass sich ausser Administratoren oder bestimmten Benutzern niemand an einem Server anmelden kann, der nicht für den Benutzer freigegeben ist.

 

Es gibt eine "Richtline für lokale Anmeldungen" und darin kann ich Benutzer vermerken, die sich nicht anmelden dürfen. Aber diese greift ja nur für lokale Anmeldungen und nicht für Anmeldungen mit einem Domänenkonto.

 

:suspect: Kapiert?

 

Grüsse,

004

Share this post


Link to post

Ja, kapiert :D

 

Aber, das hier ist falsch:

Es gibt eine "Richtline für lokale Anmeldungen" und darin kann ich Benutzer vermerken, die sich nicht anmelden dürfen. Aber diese greift ja nur für lokale Anmeldungen und nicht für Anmeldungen mit einem Domänenkonto

Die Richtlinie heißt ja nicht "Richtlinie für Anmedlungen lokaler Konten" !!, sondern lokale Anmeldung. Bedeutet, wer hier drin steht, darf sich lokal, sprich mit Tastatur und Maus an der Konsole bzw. über Terminaldienste anmelden(*hüstel*) . Du siehst das Problem von Windows 2000?! TS-Anmeldung heißt auch: lokale Anmeldung. Und deshalb predige ich immer: keinen produktiven TS für allgemeine Anwendungen auf einem DC :cry:

 

Du hast drei Möglichkeiten: die eine ist natürlich, die, die immer gelten sollte: physische Sicherheit. Kein Zugang zum Server -> keine Anmeldung direkt am Server (wie kommt auch ein normaler streunender User an einen DC ran :suspect: :suspect: IMHO solltet ihr eure Sicherheit erst an anderer Stelle überdenken).

 

Zweite Möglichkeit: TS auf einen anderen Server (sowieso empfohlen, s.o.)

 

Dritte Möglichkeit: Auf 2003 gehen, da brauchts für das Arbeiten mittels TS-Client auf einem TS nicht mehr das Recht der lokalen Anmeldung

 

grizzly999

Share this post


Link to post
Du hast drei Möglichkeiten: ...physische Sicherheit. Kein Zugang zum Server

Ok ist klar...

 

Zweite Möglichkeit: TS auf einen anderen Server

Wir haben hier einen Terminalserver im Anwendungsmodus mit dem die User normalerweise arbeiten, auf allen anderen Servern inkl. DC läuft der Terminaldienst im Administrationsmodus.

Trotzdem kann sich jeder Nutzer anmelden, obwohl er kein Administrator oder in einer Administratorengruppe ist.

 

Dritte Möglichkeit: Auf 2003 gehen, da brauchts für das Arbeiten mittels TS-Client auf einem TS nicht mehr das Recht der lokalen Anmeldung

Du meinst doch eher anders herum: Dort wird das lokale Recht gebraucht! Unter TS 2000 brauche ich kein Recht zur lokalen Anmeldung. Deshalb ist 2k3 ja auch sicherer.

 

 

 

Parallell zum Erlauben gibt es ja auch das Verbieten. Wenn ich den Domänenbenutzern also verbiete sich lokal anzumelden, hätte ich das eigentliche Problem doch gelöst, oder?

Share this post


Link to post
auf allen anderen Servern inkl. DC läuft der Terminaldienst im Administrationsmodus. Trotzdem kann sich jeder Nutzer anmelden, obwohl er kein Administrator oder in einer Administratorengruppe ist.

Ohhh. Dann hat jemand per GPO oder lokal das Recht eingetragen. Das sollte man in den von dir o.g. Benutzerrechten (lokale Anmeldung) für die User rausnehmen und nur denjeneigen Gruppen erteilen, die sich wirklich lokal anmelden müssen. Und das ist ausser auf dem TS im Anwendungsservermodus eigentlich auf keinem anderen Server für die normalen User der Fall. Also alles raus aus dieser Richtlinie, was nicht rein gehört.

 

Du meinst doch eher anders herum: Dort wird das lokale Recht gebraucht!

Nein, war keiner meiner seltenen Verschreiber! Ich brauche dieses recht der lokalen Anmeldung für Arbeiten eines Users auf einem TS nicht mehr. Mitglied der Gruppe RemotedesktopUser zusein reicht. Ausnahme: Der TS ist auch DC, dann muss noch eine zusätzliche Richtlinie für den DC die TS-Anmeldung erlauben. Aber NICHT die Richtlinie "Lokale Anmeldung zulassen" ;)

 

grizzly999

Share this post


Link to post
Mitglied der Gruppe RemotedesktopUser zusein reicht

Oke... solange die Remotedestopbenutzer das Recht zur Anmeldung über Terminaldienste haben ist das in Ordnung...

 

 

Aber nur nicht den Faden verlieren...

 

Also es gibt in den lokalen Gruppenrichtlinien auf dem DC folgende Einträge:

 

Domänen Benutzer: Auswahl (ausgegraut) bei "Einst. effektive Richtline"

Benutzer: Auswahl bei "Einst. lokale Richtline"

 

Heisst das, dass es per GPO gehandelt wird?

Share this post


Link to post

Genau. Die musst du dann suchen. Entweder auf OU-Ebene oder OU Ebene. Du kannst aber mit gpresult aus dem Resource Kit sehen, welche GPo übernommen werden und im Verbose-Modus auch , welche was setzt.

 

grizzly999

Share this post


Link to post

Verbose-Mode?

 

Egal, ich finde folgendes:

 

==============================================

The computer received "Registry" settings from these GPOs:

Richtlinien der lokalen Gruppe

Default Domain Policy

 

==============================================

The computer received "Security" settings from these GPOs:

Richtlinien der lokalen Gruppe

Default Domain Policy

Default Domain Controllers Policy

 

==============================================

The computer received "EFS recovery" settings from these GPOs:

Richtlinien der lokalen Gruppe

Default Domain Policy

 

Unter den GPOs finde ich jedoch nur "Default Domain Policy" und "SUS-Policy". Doch darin kann ich nichts finden.

So komme ich nicht weiter...

 

Hilfst Du mir auf die Sprünge?

Share this post


Link to post

Das wird wohl in der Default Domain Controllers Policy drin sein, die an der OU Domain Controllers verlinkt ist.

 

Verbose mode: gprsult.exe /v ;)

Am besten in eine Datei umleiten mit

gpresult.exe /v > c:\gpresult.txt

 

grizzly999

Share this post


Link to post

DANKE!!!

 

Jetzt hab ich´s...

 

Noch eine Frage:

Wenn ich die User da rausnehme, gibt es vielleicht Probleme mit der Benutzeranmeldung für Exchange?

Share this post


Link to post

Du bekommst von mir nochmal den MVP verliehen... :D

1000 Dank.

 

Grüsse,

004

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...