sysadv 10 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Hallo, ein jeder in unserem Netz authentifiziert sich an seinem PC über seine Domänenkennung. Ich suche nach einer Möglichkeit, den Benutzern unserer Domäne eine Anmeldung an ihrem PC zu verweigern, insofern der Domänencontroller nicht erreichbar ist. W2K stört sich in einem solchen Fall nicht daran, die Anmeldung läuft dann einfach lokal ab (Voraussetzung: der Benutzer hat sich bereits einmal erfolgreich angemeldet). Genau diese Reaktion gilt es zu unterbinden! Doch wie? In den Sicherheitsrichtlinien kann man einstellen, wem eine "lokale Anmeldung verweigert" werden soll. Klingt fast nach des Rätsel's Lösung. Nach Setzen entsprechenden Attributs "UnsereDomaene\domain users" wird grundsätzlich eine Anmeldung unterbunden - egal ob DC erreichbar oder nicht. Mit Dank für eure Hilfe verbleibe ich mit freundlichen Grüßen Sysadv Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Es gibt in den Computerrichtlinien->....->Sicherheitsoptionen eine Einstellung: "Anzahl zwischengespeicherter Anmeldungen, wenn kein DC verfügbar". Standardwert ist 10. Den auf 0 setzen ;) grizzly999 Zitieren Link zu diesem Kommentar
sysadv 10 Geschrieben 15. Oktober 2004 Autor Melden Teilen Geschrieben 15. Oktober 2004 Das hört sich sehr gut an. Bin gespannt! Allemal vielen Dank. Gruß Sysadv Zitieren Link zu diesem Kommentar
motzel 10 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Ähh, ja ? Also wir haben Aussendienst'ler-Laptops die haben eigentlich so gut wie nie Kontakt mit dem DC (auch bei mir ist der Default-Wert von 10 zwischengespeicherten Anmeldungen eingetragen) und die melden sich immer erfoglreich mit ihrem zwischengespeicherten Profil an. Ich hab's gerade selbst ausprobiert 13x und ich kann mich noch immer anmelden (W2K-Client in einer W2K-AD). Evtl. zieht dieser Wert nur dann, wenn der PC eine physikalische Verbindung zum Netzwerk hat, d.h. mit einem CAT5-Kabel mit dem LAN verbunden ist ?! mfg motzel Zitieren Link zu diesem Kommentar
sysadv 10 Geschrieben 15. Oktober 2004 Autor Melden Teilen Geschrieben 15. Oktober 2004 .... hmmm. Ich hab's gerade ausprobiert. Funktioniert einwandfrei. Wert auf "0" und nix geht mehr, nur noch lokale Accounts. Ich habe direkt am Client-PC geschraubt, effektiv war die gleiche Einstellung gegeben. Vielleicht war bei Dir Site-, Domänen- oder OU-GPO-seitig etwas anderes konfiguriert. Soll heißen, vielleicht haben sich Gruppenrichtlinien überschnitten. Gruß Sysadv Zitieren Link zu diesem Kommentar
motzel 10 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Servus, mich würde interessieren was grizzly999 dazu meint ?! Ganz ehrlich, wir haben keine lokalen Benutzer auf unseren Laptops und auch keine GPO's in diesem Bereich gesetzt, und trotzdem (Gott sei es gedankt) können sich unsere Leute am Laptop anmelden ohne dass ein DC erreichbar ist. Und wenn man es sich überlegt, wäre es ja echt unschön, wenn man sich mit der Standard-Konfig von W2K auf einer Dienstreise max. 10x an seinem Lappi anmelden dürfte, oder ;) mfg motzel Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Wie gesagt, das ist Standard Einstellung, die ist da, ohne dass man was machen muss (Default Domain Policy). Die 10x dürfen nicht missverstanden werden im Sinne von 10 Anmeldungen und dann ist Sabbat, sondern gemeint ist: wenn man unter den letzten 10 erfolgreichen Anmeldungen dabei ist 8er merkt sich die in der Richtline angegebene Anzahl erfolgreicher Anmeldungen), dann wird man unter Verwendung des lokal gespeicherten Profils aber ohne Netzwerkberechtigungen angemeldet ;) Maximalwert ist übrigens 50. grizzly999 Zitieren Link zu diesem Kommentar
motzel 10 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 @grizzly999 sorry, dass ich jetzt nochmal nachhake ;) Also, wenn ich dich recht verstanden habe, kann man sich zwar weiter unter dem zwischengespeicherten Profil anmelden, erhält aber im Zweifelsfall keinen Zugriff auf das Netzwerk. Bei uns ist das so: die Laptop-User melden sich mit dem zwischengespeicherten Profil über Monate hinweg an, bauen via DFÜ eine Telefoneinwahl zur Firma auf, und rufen dann ein lokal auf dem Laptop hinterlegtes Logon-Script auf, welches z.B. die Netzlaufwerke einbindet. Eigentlich müsste dann doch da Zugriff auf die Server verweigert werden, oder Aber das geht wirklich inkl. Zugriff auf den Exchange :suspect: Ich meine, ich bin echt sehr froh darüber, aber ich würde es halt sehr gerne verstehen :) vielen lieben Dank motzel Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Aber nach der Einwahl steht ja wieder ein DC zur Verfügung, an dem der Benutzer authentifiziert werden kann.... grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.