ginka 10 Geschrieben 26. Juni 2006 Melden Geschrieben 26. Juni 2006 hallo, ich möchte erreichen, dass sich einige pcs in einer 2003-domäne nicht mehr an der domäne anmelden können. reicht es, dass ich das jeweilige computerkonto deaktiviere? beim deaktivieren kommt nämlich die warnung: ==== wenn sie dieses computerkonto deaktivieren, können sich benutzer auf dem computer nicht mehr in dieser domäne anmelden. möchten sie dieses computerkonto deaktivieren? ==== ich habe diese methode bei einem rechner getestet, neu gebootet, ad repliziert. aber es können sich nach wie vor benutzer auf dem pc mit dem deaktivierten computerkonto anmelden. habe ich etwas falsch gemacht?
IThome 10 Geschrieben 26. Juni 2006 Melden Geschrieben 26. Juni 2006 Hast Du den betreffenden Rechner neu gestartet oder hast Du Dich nur ab- und wieder angemeldet ? Wenn das Computerkonto deaktiviert ist, kann kein SecureChannel aufgebaut werden. Aber warum schickst Du diese Rechner nicht in eine Arbeitsgruppe , dann kann sich da garantiert kein Domänenbenutzer mehr anmelden und Dein AD ist auch aufgeräumter ...
carlito 10 Geschrieben 26. Juni 2006 Melden Geschrieben 26. Juni 2006 hallo, ich möchte erreichen, dass sich einige pcs in einer 2003-domäne nicht mehr an der domäne anmelden können. Temporär oder dauerhaft? reicht es, dass ich das jeweilige computerkonto deaktiviere? Ja. beim deaktivieren kommt nämlich die warnung:==== wenn sie dieses computerkonto deaktivieren, können sich benutzer auf dem computer nicht mehr in dieser domäne anmelden. möchten sie dieses computerkonto deaktivieren? ==== Klar. ich habe diese methode bei einem rechner getestet, neu gebootet, ad repliziert.aber es können sich nach wie vor benutzer auf dem pc mit dem deaktivierten computerkonto anmelden. Lokal oder an der Domäne?
ginka 10 Geschrieben 26. Juni 2006 Autor Melden Geschrieben 26. Juni 2006 Temporär oder dauerhaft? Ja. Klar. Lokal oder an der Domäne? Das ist an der Domäne passiert. Und der Rechner wurde neu gebootet. Es soll temporär passieren.
ginka 10 Geschrieben 26. Juni 2006 Autor Melden Geschrieben 26. Juni 2006 Hast Du den betreffenden Rechner neu gestartet oder hast Du Dich nur ab- und wieder angemeldet ? Wenn das Computerkonto deaktiviert ist, kann kein SecureChannel aufgebaut werden. Aber warum schickst Du diese Rechner nicht in eine Arbeitsgruppe , dann kann sich da garantiert kein Domänenbenutzer mehr anmelden und Dein AD ist auch aufgeräumter ... Der Rechner wurde neu gestartet, das ist ja das Komische. Langfristig ist geplant, die Rechner in eine Arbeitsgruppe zu schicken. Nur will ich aber erzwingen, dass sich die betreffenden User in der IT-Abteilung melden müssen, damit die Umstellung besser koordiniert werden kann.
IThome 10 Geschrieben 26. Juni 2006 Melden Geschrieben 26. Juni 2006 Das erwünschte Ziel kannst Du auch anders erreichen. Du kannst es entweder erreichen, in dem Du die Gruppe Benutzer aus dem Benutzerrecht "Lokal anmelden" entfernst oder die globale Gruppe Domänenbenutzer aus der lokalen Gruppe Benutzer (wobei der zweite Weg der bessere ist). Beides setzt voraus, dass die Benutzer, die sich dort anmelden, nur Domänenbenutzer sind und nicht auf irgendeine Weise einer anderen Gruppe angehören, denen das lokale Anmelden erlaubt ist. Beide Möglichkeiten lassen sich via GPO konfigurieren ...
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden