Volker Racho 10 Geschrieben 11. Januar 2009 Melden Teilen Geschrieben 11. Januar 2009 Hallo! Ich möchte verhindern, dass sich Benutzer lokal anmelden können. Das kann man ja als einfache GPO einstellen (Lokale Anmeldung zulassen). Aber ich möchte eigentlich, dass es gar nicht mehr im Loginfenster als Möglichkeit angezeigt wird. Gibt es zudem die Möglichkeit dem Anmeldebidlschirm eine Info ("Sie melden Sich nun an einem System der Firma XYZ an") oder vielleicht sogar ein Bild (Firmenlogo) mitzugeben? Für die Default-Domäne habe ich folgendes - wenn auch W2k - ADM-Script (Computerkonfig) gefunden. Tut es das wohl auch unter Win2K3 R2? Ich kann es erst morgen ausprobieren, aber vielleicht weiß jemand gerade, ob es noch tut. CATEGORY "Logon Settings" KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" POLICY "Default Domain" PART "Default Domain" EDITTEXT VALUENAME "DefaultDomainName" END PART END POLICY END CATEGORY Gruß, MD Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 11. Januar 2009 Melden Teilen Geschrieben 11. Januar 2009 Mit keinen lokalen Benutzerkonten auf den Rechnern ist für die User auch keine lokale Anmeldung möglich. Zitieren Link zu diesem Kommentar
NorbertFe 1.813 Geschrieben 11. Januar 2009 Melden Teilen Geschrieben 11. Januar 2009 Ich möchte verhindern, dass sich Benutzer lokal anmelden können. Wie schon geschrieben: Keine lokalen Nutzer keine Anmeldung mit lokalen Konten. Ist doch logisch und einfach. ;) Das kann man ja als einfache GPO einstellen (Lokale Anmeldung zulassen). Das ist was anderes ;) Aber ich möchte eigentlich, dass es gar nicht mehr im Loginfenster als Möglichkeit angezeigt wird. Man kann das hinbekommen. Ist aber nicht wirklich sinnvoll. Spätestens wenn du mal als lokaler Admin an den Rechner ranwillst. ;) Gibt es zudem die Möglichkeit dem Anmeldebidlschirm eine Info ("Sie melden Sich nun an einem System der Firma XYZ an") oder vielleicht sogar ein Bild (Firmenlogo) mitzugeben? Es gibt per Policy die Möglichkeit einen Anmeldetext (bei Drücken von Strg - Alt - Entf) anzeigen zu lassen. Findest du in den Sicherheitsrichtlinien. (Computerkonfig) gefunden. Tut es das wohl auch unter Win2K3 R2? Ja. Bye Norbert Zitieren Link zu diesem Kommentar
Volker Racho 10 Geschrieben 12. Januar 2009 Autor Melden Teilen Geschrieben 12. Januar 2009 Hallo Norbert et al! Leider gibt es, bedingt durch alte Strukturen, hier und da noch lokale Benutzerkonten, so dass sich ggf. doch noch Benutzer anmelden können. Ich versuche diese gerade manuell zu löschen. Die Adminanmeldung lokal brauche ich eigentlich kaum noch, da ich alles über administartive Freigaben und Fernwartung regle. Die Sicherheitsoptionen in der Gruppenrichtlinien habe ich gerade durchgesehen, finde aber die Optionen für den Anmeldetext nicht. Hast Du das nochmal für mich Blindfisch einen Tipp? Das Script will sich nicht als ADM einbinden lassen. Ich krieg immer den Fehler es sei ein Fehler in Zeile 8, es wäre dort der Wert CATEGOR gesetzt, erwartet würde aber CATEGORY. Ein Schreibfehler ist es nicht. Ich erstelle die ADMs immer als Textdateien und benenne sie dann in *.adm um. Ist das falsch? Zeilenumbruch ist aus. Gruß, MD Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 12. Januar 2009 Melden Teilen Geschrieben 12. Januar 2009 Die Sicherheitsoptionen in der Gruppenrichtlinien habe ich gerade durchgesehen, finde aber die Optionen für den Anmeldetext nicht. Hast Du das nochmal für mich Blindfisch einen Tipp? Unter Computerconfig/Windows Settings/Security Settings/Local Policies/Security Options die beiden Optionen, die mit "Interactive Logon: Message" anfangen. Christoph Zitieren Link zu diesem Kommentar
NorbertFe 1.813 Geschrieben 12. Januar 2009 Melden Teilen Geschrieben 12. Januar 2009 Leider gibt es, bedingt durch alte Strukturen, hier und da noch lokale Benutzerkonten, so dass sich ggf. doch noch Benutzer anmelden können. Ich versuche diese gerade manuell zu löschen. Hmm wieso versuche? ;) Die Adminanmeldung lokal brauche ich eigentlich kaum noch, da ich alles über administartive Freigaben und Fernwartung regle. Spätestens wenn du so einen PC vor dir hast und kein Netzwerk wirst du sehen dass dir das nicht weiterhilft ;) Die Sicherheitsoptionen in der Gruppenrichtlinien habe ich gerade durchgesehen, finde aber die Optionen für den Anmeldetext nicht. Hast Du das nochmal für mich Blindfisch einen Tipp? Düftest du inzwischengefunden haben. Das Script will sich nicht als ADM einbinden lassen. Ich krieg immer den Fehler es sei ein Fehler in Zeile 8, es wäre dort der Wert CATEGOR gesetzt, erwartet würde aber CATEGORY. Ein Schreibfehler ist es nicht. Ich erstelle die ADMs immer als Textdateien und benenne sie dann in *.adm um. Ist das falsch? Zeilenumbruch ist aus. Da fehlt ein Enter als Abschluß hinter Category. ;) Im Übrigen belegt die Policy auch nur die Domain vor und verhindert die lokale Anmeldung nicht. Dazu brauchst du dann sowas hier: http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/security/msgina.mspx#EFAA Thema: Disabling Domain Option of Logon Dialog Box Bye Norbert Zitieren Link zu diesem Kommentar
Volker Racho 10 Geschrieben 12. Januar 2009 Autor Melden Teilen Geschrieben 12. Januar 2009 Versuch deshalb, weil nicht alle Rechner an sind. Muss ich nach und nach machen. Gleichzeitig wäre es schön, die gesammten nicht mehr verwendeten Nutzerprofile würden auch gelöscht werden, um Speicherplatz freizugeben. Das dauert über die Administrativen Freigaben ewig. Mit der lokalen Anmeldung hast Du sicherlich recht. Aber unsere DAU-User rufen immer an, sie könnten sich nicht anmelden usw. Ich krieg dann immer Hektik, weil ich denke der Anmeldeserver oder VPN-Leitung ist irgendwie down, dabei aber haben Sie "aus Versehen" auf "Anmelden an Computer" gedrückt. Nach Umstellen geht's dann. Das nervt. Es wäre einfacher, es gäb gar keine Wahl. Ja, gefunden, danke Christoph! War ja auch zu einfach. Muss ich gleich mal exemplarisch gucken, wie das ausschaut. ****er Wagenrücklauf. Muss man erstmal drauf kommen. Danke. Der zuletzt genannte Link ist mir dann doch zu aufwändig. Ich lasse es also erstmal so. Gruß & vielen Dank! MD Zitieren Link zu diesem Kommentar
NorbertFe 1.813 Geschrieben 12. Januar 2009 Melden Teilen Geschrieben 12. Januar 2009 Der zuletzt genannte Link ist mir dann doch zu aufwändig. Ich lasse es also erstmal so. Immer diese halben Lösungen. Erst fragen und dann die Antwort nicht verkraften. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Volker Racho 10 Geschrieben 12. Januar 2009 Autor Melden Teilen Geschrieben 12. Januar 2009 Hey, Du. Doch, die Antwort kann ich verkraften, aber meine letzte Erfahrung mit Rumgefummel an der GINA ist ordentlich in die Hose gegangen :-) Für den Zweck den ich damit erreichen will, ist mir das zu heikel. Trotzdem muss ich nochmal auf dieser Interaktiven Anmeldungsgeschichte rumhämmern: Ich habe da jetzt Text und Titel eingetragen, aber es passiert nix. Sieht nicht anders aus als vorher ... Ist das eine Extranmeldung oder steht das schon in der Anmeldemaske? Schade, dass man kein Logo in die klassische Anmeldung einbauen kann. MD Zitieren Link zu diesem Kommentar
NorbertFe 1.813 Geschrieben 12. Januar 2009 Melden Teilen Geschrieben 12. Januar 2009 Hey, Du.Doch, die Antwort kann ich verkraften, aber meine letzte Erfahrung mit Rumgefummel an der GINA ist ordentlich in die Hose gegangen :-) Für den Zweck den ich damit erreichen will, ist mir das zu heikel. Schattenparker. ;) Standard Features of the MSGINA DLL Disabling Domain Option of Logon Dialog Box It is possible to disable the domain option on the dialog box brought up by WlxLoggedOutSas. To do this, set the registry value NoDomainUI of type [Reg_Dword] to a value of 1. This would have users enter their user names in the form—for example, username@domain. Trotzdem muss ich nochmal auf dieser Interaktiven Anmeldungsgeschichte rumhämmern: Ich habe da jetzt Text und Titel eingetragen, aber es passiert nix. Sieht nicht anders aus als vorher ... Ist das eine Extranmeldung oder steht das schon in der Anmeldemaske? Die erscheint in dem Moment wenn du Strg Alt Entf drückst (schrub ich schon). Wenn das bei dir nicht passiert greift die Policy nicht. Wo hast du sie definiert? Schade, dass man kein Logo in die klassische Anmeldung einbauen kann. Man kann, aber du bist ja "Schattenparker" ;) Bsp: http://forums.serverwatch.com/archive/index.php/t-1433.html Bye Norbert Zitieren Link zu diesem Kommentar
Volker Racho 10 Geschrieben 12. Januar 2009 Autor Melden Teilen Geschrieben 12. Januar 2009 Na, das mit der GINA überlege ich mir aber nochmal. Zumal ich das ja auf die 350 Clients bringen muss. Wenn das bei einigen nicht hin haut und es zu Startfehlern kommt, dann gut Nacht. DLL-Gefummel ist was für echte Kenner. Wer im Schatten parkt, behält bestimmt auch den kühleren Kopf. Jetzt funktioniert es doch. Hattes es auf die Rechner losgelassen, jedoch mit dem Benutzeraccount getestet. So hab ich nix gesehen. Somit erstmal alles klaro! Danke Dir - wiedermal! MD Zitieren Link zu diesem Kommentar
NorbertFe 1.813 Geschrieben 12. Januar 2009 Melden Teilen Geschrieben 12. Januar 2009 Na, das mit der GINA überlege ich mir aber nochmal. Zumal ich das ja auf die 350 Clients bringen muss. Du hast schon gesehen, dass das nen simpler Registry Wert ist, oder? Sprich das liesse sich simpel per adm Template erschlagen. Abgesehen davon muß man ja nicht gleich alle 350 Clients zum Testen benutzen... Wenn das bei einigen nicht hin haut und es zu Startfehlern kommt, dann gut Nacht. DLL-Gefummel ist was für echte Kenner. Du hast schon gesehen, dass das nen simpler Registry Wert ist, oder? Sprich das liesse sich simpel per adm Template erschlagen. Abgesehen davon muß man ja nicht gleich alle 350 Clients zum Testen benutzen... Jetzt funktioniert es doch. Hattes es auf die Rechner losgelassen, jedoch mit dem Benutzeraccount getestet. So hab ich nix gesehen. Ähm eine Sicherheitsrichtlinie wirkt auf Computer (immer) und sollte jeden Benutzeraccount treffen der sich anmeldet. Auch lokale übrigens ;) Bye Norbert Zitieren Link zu diesem Kommentar
Volker Racho 10 Geschrieben 13. Januar 2009 Autor Melden Teilen Geschrieben 13. Januar 2009 Das mit der Sicherheitsrichtlinie war mir nicht bewußt. Ihc dachte immer es gäbe welche für Benutzer und für Computer. Jetzt nach Ansicht der GMPC-Struktur ist das logisch, wenngleich auch nicht verständlich, denn eine Kennwortrichtlinie möchte ich doch evtl. benutzerabhängig gestalten. Aber das ist ein Nebenthema. Edit msgina.dll (from windowssystem32) with reshacker.exe (available free on the net) copy the images (107 & 101) and edit them. then replace the originals with the edited ones and save the msgina.dll as another named file. Start XP or W2k in safe mode. rename the orignal msgina.dll (in case of problems) and then rename the new one to msgina.dll. reboot in normal mode and admire your handy work. If windows fail to load the logon screen and gives an error staing that msgina.dll is missing or corrup, start the recovery console and rename the original file back to msgina.dll and begin again. ... klingt irgendwie für mich nicht nur nach einem simplen RegKey. Und ... Disabling Domain Option of Logon Dialog BoxIt is possible to disable the domain option on the dialog box brought up by WlxLoggedOutSas. To do this, set the registry value NoDomainUI of type [Reg_Dword] to a value of 1. This would have users enter their user names in the formfor example, username@domain. ... macht ja nicht das, was ich will. Ich will ja gerade nur die Domainoption und mit simplem Benutzernamen, kein username@domain. Oder versehe ich da etwas falsch? Ein eigenes ADM-Template kann ich doch nur über den Vergelich zweier Registry-Versionen erstellen, oder, indem ich mir ansehe, was sich ändert bzw. eintrage, was ich geändert haben will? Zitieren Link zu diesem Kommentar
NorbertFe 1.813 Geschrieben 13. Januar 2009 Melden Teilen Geschrieben 13. Januar 2009 Das mit der Sicherheitsrichtlinie war mir nicht bewußt. Ihc dachte immer es gäbe welche für Benutzer und für Computer. Jetzt nach Ansicht der GMPC-Struktur ist das logisch, wenngleich auch nicht verständlich, denn eine Kennwortrichtlinie möchte ich doch evtl. benutzerabhängig gestalten. Aber das ist ein Nebenthema. Kennwortrichtlinien kannst du aber nicht benutzerabhängig gestalten (Ausnahme W2k8 Domains oder 3rd Party Produkte) und selbst da wird eben diese nicht auf Benutzer angewandt. ;) ... klingt irgendwie für mich nicht nur nach einem simplen RegKey. Das nicht. Ich meinte den Regkey um das Domainfeld auszublenden. ... macht ja nicht das, was ich will. Ich will ja gerade nur die Domainoption und mit simplem Benutzernamen, kein username@domain. Falsch. Ich zitiere dein erstes Posting: "Ich möchte verhindern, dass sich Benutzer lokal anmelden können. Das kann man ja als einfache GPO einstellen (Lokale Anmeldung zulassen). Aber ich möchte eigentlich, dass es gar nicht mehr im Loginfenster als Möglichkeit angezeigt wird." Ein eigenes ADM-Template kann ich doch nur über den Vergelich zweier Registry-Versionen erstellen, oder, indem ich mir ansehe, was sich ändert bzw. eintrage, was ich geändert haben will? Ja und? Den Wert kennst du doch. Bye Norbert Zitieren Link zu diesem Kommentar
Volker Racho 10 Geschrieben 13. Januar 2009 Autor Melden Teilen Geschrieben 13. Januar 2009 Ja, aber ich möchte doch nicht das Domainfeld ausblenden, sondern das "an diesem Computer <name> anmelden." Entweder soll dort stehen "Anmelden an: DOMAIN" (ohne Auswahl) oder das steht gar nichts mehr, der Benutzer gibt seine Kennung (ohne @domain) und sein PW ein und wird automatisch an DOMAIN angemeldet. Ja und? Den Wert kennst du doch Ja? Welcher denn? Vielleicht bin ich auch einfach zu doof dafür. Ich habs unten mal angehängt, wie es ist (1) und wie es sein soll (2,3 oder das letzte Bild). Gruß, MD Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.