9
Allow log on locally GPO auch für lokale User
Hallo ihr Lieben!
Frage: habe auf einer Windows Server 2012 / Windows 10 Enterprise - Struktur die GPO gesetzt
"allow log on locally", damit nur bestimmte User in bestimmten OUs einloggen können.
Das funktionert auch soweit.
Problem aber: leider können damit auch eine Hand voll lokaler User nicht mehr einloggen. Diese müssen aber "rein", da es sich um Reinigungspersonl, Küchenkräfte, etc... in der jeweiligen Abteilung handelt, die nichts mit dem Produktivbetrieb zu tun (und daher keine Domänenkonten) haben, aber trotzdem ihre Arbeitszeiten eintragen und Dienstpläne einsehen müssen auf den PCs.
Die lokalen User gibt es aber nicht auf Domänenkontrollern und ganz allgemein "Benutzer" hinzufügen öffnet das Login wieder für all.
Kann doch nicht sein, dass man nur Domänen-User mit der GPO zulassen und gleichzeit alle lokalen User ausschließt.
Wünschenswert wäre also die Liste mit den zugelassenen Domänen-Usern und sämtliche lokal am PC definierten User.
Hat sowas wer geschafft, bzw. ist das überhaupt lösbar?
LG,
holliknolli
Frage: habe auf einer Windows Server 2012 / Windows 10 Enterprise - Struktur die GPO gesetzt
"allow log on locally", damit nur bestimmte User in bestimmten OUs einloggen können.
Das funktionert auch soweit.
Problem aber: leider können damit auch eine Hand voll lokaler User nicht mehr einloggen. Diese müssen aber "rein", da es sich um Reinigungspersonl, Küchenkräfte, etc... in der jeweiligen Abteilung handelt, die nichts mit dem Produktivbetrieb zu tun (und daher keine Domänenkonten) haben, aber trotzdem ihre Arbeitszeiten eintragen und Dienstpläne einsehen müssen auf den PCs.
Die lokalen User gibt es aber nicht auf Domänenkontrollern und ganz allgemein "Benutzer" hinzufügen öffnet das Login wieder für all.
Kann doch nicht sein, dass man nur Domänen-User mit der GPO zulassen und gleichzeit alle lokalen User ausschließt.
Wünschenswert wäre also die Liste mit den zugelassenen Domänen-Usern und sämtliche lokal am PC definierten User.
Hat sowas wer geschafft, bzw. ist das überhaupt lösbar?
LG,
holliknolli
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 435992
Url: https://administrator.de/contentid/435992
Printed on: April 25, 2024 at 07:04 o'clock
9 Comments
Latest comment
Hi,
Aber Du könntest dort alle möglichen, lokal verwendeten Benutzernamen eintragen. Auch wenn einer mal an einem PC nicht existiert, würde diese GPO dann trotzdem alle anderen berücksichtigen.
E.
Wünschenswert wäre also die Liste mit den zugelassenen Domänen-Usern und sämtliche lokal am PC definierten User.
Das geht so dynamisch nicht. Zumindest nicht mit dieser GPO-Richtlinie.Aber Du könntest dort alle möglichen, lokal verwendeten Benutzernamen eintragen. Auch wenn einer mal an einem PC nicht existiert, würde diese GPO dann trotzdem alle anderen berücksichtigen.
E.
Moin,
geht an der Stelle nicht? Das wäre meine Idee gewesen.
Liebe Grüße
Erik
%computername%\benutzergeht an der Stelle nicht? Das wäre meine Idee gewesen.
Liebe Grüße
Erik
Dann schau mal rein, wer da alles Mitglied ist ...
Da hast Du recht. Dumm gelaufen.
Aber man könnte doch eine weitere Gruppe für die lokalen User anlegen und die dann so einfügen, oder?Zitat von @erikro:
Da hast Du recht. Dumm gelaufen. Aber man könnte doch eine weitere Gruppe für die lokalen User anlegen und die dann so einfügen, oder?
Ja. Viele Wege füren nach Rumänien. Aber der TO hätte es doch gerne dynamsichDa hast Du recht. Dumm gelaufen.
Aber man könnte doch eine weitere Gruppe für die lokalen User anlegen und die dann so einfügen, oder? und sämtliche lokal am PC definierten User.
Zitat von @emeriks:
Zitat von @erikro:
Da hast Du recht. Dumm gelaufen. Aber man könnte doch eine weitere Gruppe für die lokalen User anlegen und die dann so einfügen, oder?
Ja. Viele Wege füren nach Rumänien. Aber der TO hätte es doch gerne dynamsichDa hast Du recht. Dumm gelaufen.
Aber man könnte doch eine weitere Gruppe für die lokalen User anlegen und die dann so einfügen, oder?get-localUser | %{add-localGroupMember -Name darfsicheinloggen -member $_ }als Startscript müsste das doch erledigen. So als ungetesteter Schnellschuss.
Ja sicher. Alles eine Frage des Timings.
das Recht "allow log on locally" = Logon type 2 erteilt das Recht zur interaktiven Anmeldung, und das hat jeder Anwender implizit, es sei denn man kommt auf die Idee, das per Gruppenrichtlnie einzuschränken.
Login typen bei Windows
Wenn überhaupt kann man für bereits existierende lokale Konten das verbieten über eine Computerrichtlinie, denn ein Domänenmitglied wird die Computer-GPO beim Hochfahren auswerten, die Benutzer-GPO aber nur bei Domänenanmeldung
Login typen bei Windows
Wenn überhaupt kann man für bereits existierende lokale Konten das verbieten über eine Computerrichtlinie, denn ein Domänenmitglied wird die Computer-GPO beim Hochfahren auswerten, die Benutzer-GPO aber nur bei Domänenanmeldung
Zitat von @GrueneSosseMitSpeck:
Wenn überhaupt kann man für bereits existierende lokale Konten das verbieten über eine Computerrichtlinie, denn ein Domänenmitglied wird die Computer-GPO beim Hochfahren auswerten, die Benutzer-GPO aber nur bei Domänenanmeldung
Und was hat das mit diesem Thema zu tun?Wenn überhaupt kann man für bereits existierende lokale Konten das verbieten über eine Computerrichtlinie, denn ein Domänenmitglied wird die Computer-GPO beim Hochfahren auswerten, die Benutzer-GPO aber nur bei Domänenanmeldung
Die o.g. GPO-Richtlinie ist eine Richtlinie aus der Computerkonfiguration. Und damit kann man auch lokale Konten benennen.
