lebakasjunky
Goto Top

Anmeldung nur an einen Server erlauben

Servus Zusammen,

ich würde gerne einen Domänen User nur das Anmelden an einem Server erlauben. Ansonsten sollte er sich nirgends anmelden dürfen. Ich habe bereits die Option beim User "Anmelden an" ausprobiert jedoch ohne Erfolg. Wenn ich hier den Server hinzufüge (Computername), dann kann ich mich bei diesen ebenfalls nicht anmelden... . Habe aus neugier das gleiche bei einem PC getestet (Anmelden an) -> hier funktioniert dann die Anmeldung :/ . Könnt ihr mir bei meinen Vorhaben weiterhelfen. Gibt es andere Möglichkeiten?

Merci im Voraus.

VG
Lebakasjunky

Content-ID: 6376095069

Url: https://administrator.de/forum/anmeldung-nur-an-einen-server-erlauben-6376095069.html

Ausgedruckt am: 26.12.2024 um 03:12 Uhr

geraldxx
geraldxx 15.03.2023 um 08:46:58 Uhr
Goto Top
Ich gehe bei einem Server davon aus, dass du die Anmeldung über RDP meinst. Das ist ganz einfach zu lösen, denn ein normaler Domänenbenutzer kann sich per default nicht per RDP auf Server verbinden, das dürfen nur Administratoren.

Man muss den Benutzer nur berechtigen in der Systemsteuerung - Fernzugriff, dann sollte es klappen.
Lebakasjunky
Lebakasjunky 15.03.2023 aktualisiert um 08:55:50 Uhr
Goto Top
Der AD-User soll als art "Service-User" eingesetzt und somit nur an diesen einem System genutzt werden können. D.h. er darf sich an keinem anderen Gerät in der Domäne anmelden nur eben an diesen einem Server.
itisnapanto
Lösung itisnapanto 15.03.2023 um 09:02:41 Uhr
Goto Top
Zitat von @Lebakasjunky:

Der AD-User soll als art "Service-User" eingesetzt und somit nur an diesen einem System genutzt werden können. D.h. er darf sich an keinem anderen Gerät in der Domäne anmelden nur eben an diesen einem Server.

Machst halt lokales Konto auf dem Server und kein Domänenbenutzer. Thema durch.
Hubert.N
Hubert.N 15.03.2023 aktualisiert um 09:07:31 Uhr
Goto Top
Moin

das ist nicht kompliziert. In der Computerrichtlinie unter Windows-Einstellungen -> Sicherheitseinstellungen - Lokale Richtlinien -> Zuweisen von Benutzerrechten ist definiert, wer sich lokal oder auch per RDP am System anmelden kann.

Ggf. kann es aber such Sinn machen, auf dem Server dann ein einzelnes lokale Benutzerkonto einzurichten, dem die erforderlichen Rechte zugewiesen werden. So muss hat man den Teil "nicht an anderen Systeme der Domäne anmelden können" auch gleich erledigt.

Gruß
Doskias
Doskias 15.03.2023 um 09:10:16 Uhr
Goto Top
Moin

Zitat von @Lebakasjunky:
Ich habe bereits die Option beim User "Anmelden an" ausprobiert jedoch ohne Erfolg
[...]
Der AD-User soll als art "Service-User" eingesetzt und somit nur an diesen einem System genutzt werden können. D.h. er darf sich an keinem anderen Gerät in der Domäne anmelden nur eben an diesen einem Server.

Wenn du dich per RPD an dem Server anmeldest, dann geht das nicht mit der im AD hinterlegten Anmelden-An Funktion. Die "Anmelden An"-Option im AD benötigt immer den Quell und den Zielrechner. Das liegt im Prozess der RDP begründet.

Wenn du dich von einem Rechner A auf den Server B verbinden willst, dann öffnest du auf A die RDP und gibst dort die Crendetials ein. Der baut dann eine Verbindung zu B auf und reicht die Credentials weiter. Hast du nur B eingetragen, so scheitert es bei der Eingabe auf A. Daher musst du zwingend A und B eintragen, was bei dir jedoch dazu führt, dass der User sich theoretisch auch an A anmelden kann.
Das lässt sich quick and dirty dahingehend ändern, dass du dem User einfach ein Anmeldeskript mitgibst, welches prüft ob er auf A oder B angemeldet ist. Ist er auf A angemeldet, führst du ein Logoff durch. ist er auf B wo er sein soll, dann machst du nichts. Das ist aber recht fehleranfällig, falls das Skript nämlich nicht erreich werden kann (weil bei A das Netzwerkkabel gezogen wurde bei der Anmeldung), dann kann sich der User damit immer noch an A anmelden und anschließend das Kabel wieder einstecken und der Logoff würde nicht durchgeführt werden.

Sicherer ist, wie von @itisnapanto vorgeschlagen, ein lokaler Benutzer.

Gruß
Doskias