5
Anmeldung nur an einen Server erlauben
Servus Zusammen,
ich würde gerne einen Domänen User nur das Anmelden an einem Server erlauben. Ansonsten sollte er sich nirgends anmelden dürfen. Ich habe bereits die Option beim User "Anmelden an" ausprobiert jedoch ohne Erfolg. Wenn ich hier den Server hinzufüge (Computername), dann kann ich mich bei diesen ebenfalls nicht anmelden... . Habe aus neugier das gleiche bei einem PC getestet (Anmelden an) -> hier funktioniert dann die Anmeldung :/ . Könnt ihr mir bei meinen Vorhaben weiterhelfen. Gibt es andere Möglichkeiten?
Merci im Voraus.
VG
Lebakasjunky
ich würde gerne einen Domänen User nur das Anmelden an einem Server erlauben. Ansonsten sollte er sich nirgends anmelden dürfen. Ich habe bereits die Option beim User "Anmelden an" ausprobiert jedoch ohne Erfolg. Wenn ich hier den Server hinzufüge (Computername), dann kann ich mich bei diesen ebenfalls nicht anmelden... . Habe aus neugier das gleiche bei einem PC getestet (Anmelden an) -> hier funktioniert dann die Anmeldung :/ . Könnt ihr mir bei meinen Vorhaben weiterhelfen. Gibt es andere Möglichkeiten?
Merci im Voraus.
VG
Lebakasjunky
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6376095069
Url: https://administrator.de/contentid/6376095069
Ausgedruckt am: 25.11.2024 um 02:11 Uhr
5 Kommentare
Neuester Kommentar
Ich gehe bei einem Server davon aus, dass du die Anmeldung über RDP meinst. Das ist ganz einfach zu lösen, denn ein normaler Domänenbenutzer kann sich per default nicht per RDP auf Server verbinden, das dürfen nur Administratoren.
Man muss den Benutzer nur berechtigen in der Systemsteuerung - Fernzugriff, dann sollte es klappen.
Man muss den Benutzer nur berechtigen in der Systemsteuerung - Fernzugriff, dann sollte es klappen.
Der AD-User soll als art "Service-User" eingesetzt und somit nur an diesen einem System genutzt werden können. D.h. er darf sich an keinem anderen Gerät in der Domäne anmelden nur eben an diesen einem Server.
Zitat von @Lebakasjunky:
Der AD-User soll als art "Service-User" eingesetzt und somit nur an diesen einem System genutzt werden können. D.h. er darf sich an keinem anderen Gerät in der Domäne anmelden nur eben an diesen einem Server.
Der AD-User soll als art "Service-User" eingesetzt und somit nur an diesen einem System genutzt werden können. D.h. er darf sich an keinem anderen Gerät in der Domäne anmelden nur eben an diesen einem Server.
Machst halt lokales Konto auf dem Server und kein Domänenbenutzer. Thema durch.
2
Moin
das ist nicht kompliziert. In der Computerrichtlinie unter Windows-Einstellungen -> Sicherheitseinstellungen - Lokale Richtlinien -> Zuweisen von Benutzerrechten ist definiert, wer sich lokal oder auch per RDP am System anmelden kann.
Ggf. kann es aber such Sinn machen, auf dem Server dann ein einzelnes lokale Benutzerkonto einzurichten, dem die erforderlichen Rechte zugewiesen werden. So muss hat man den Teil "nicht an anderen Systeme der Domäne anmelden können" auch gleich erledigt.
Gruß
das ist nicht kompliziert. In der Computerrichtlinie unter Windows-Einstellungen -> Sicherheitseinstellungen - Lokale Richtlinien -> Zuweisen von Benutzerrechten ist definiert, wer sich lokal oder auch per RDP am System anmelden kann.
Ggf. kann es aber such Sinn machen, auf dem Server dann ein einzelnes lokale Benutzerkonto einzurichten, dem die erforderlichen Rechte zugewiesen werden. So muss hat man den Teil "nicht an anderen Systeme der Domäne anmelden können" auch gleich erledigt.
Gruß
Moin
Wenn du dich per RPD an dem Server anmeldest, dann geht das nicht mit der im AD hinterlegten Anmelden-An Funktion. Die "Anmelden An"-Option im AD benötigt immer den Quell und den Zielrechner. Das liegt im Prozess der RDP begründet.
Wenn du dich von einem Rechner A auf den Server B verbinden willst, dann öffnest du auf A die RDP und gibst dort die Crendetials ein. Der baut dann eine Verbindung zu B auf und reicht die Credentials weiter. Hast du nur B eingetragen, so scheitert es bei der Eingabe auf A. Daher musst du zwingend A und B eintragen, was bei dir jedoch dazu führt, dass der User sich theoretisch auch an A anmelden kann.
Das lässt sich quick and dirty dahingehend ändern, dass du dem User einfach ein Anmeldeskript mitgibst, welches prüft ob er auf A oder B angemeldet ist. Ist er auf A angemeldet, führst du ein Logoff durch. ist er auf B wo er sein soll, dann machst du nichts. Das ist aber recht fehleranfällig, falls das Skript nämlich nicht erreich werden kann (weil bei A das Netzwerkkabel gezogen wurde bei der Anmeldung), dann kann sich der User damit immer noch an A anmelden und anschließend das Kabel wieder einstecken und der Logoff würde nicht durchgeführt werden.
Sicherer ist, wie von @itisnapanto vorgeschlagen, ein lokaler Benutzer.
Gruß
Doskias
Zitat von @Lebakasjunky:
Ich habe bereits die Option beim User "Anmelden an" ausprobiert jedoch ohne Erfolg
[...]
Der AD-User soll als art "Service-User" eingesetzt und somit nur an diesen einem System genutzt werden können. D.h. er darf sich an keinem anderen Gerät in der Domäne anmelden nur eben an diesen einem Server.
Ich habe bereits die Option beim User "Anmelden an" ausprobiert jedoch ohne Erfolg
[...]
Der AD-User soll als art "Service-User" eingesetzt und somit nur an diesen einem System genutzt werden können. D.h. er darf sich an keinem anderen Gerät in der Domäne anmelden nur eben an diesen einem Server.
Wenn du dich per RPD an dem Server anmeldest, dann geht das nicht mit der im AD hinterlegten Anmelden-An Funktion. Die "Anmelden An"-Option im AD benötigt immer den Quell und den Zielrechner. Das liegt im Prozess der RDP begründet.
Wenn du dich von einem Rechner A auf den Server B verbinden willst, dann öffnest du auf A die RDP und gibst dort die Crendetials ein. Der baut dann eine Verbindung zu B auf und reicht die Credentials weiter. Hast du nur B eingetragen, so scheitert es bei der Eingabe auf A. Daher musst du zwingend A und B eintragen, was bei dir jedoch dazu führt, dass der User sich theoretisch auch an A anmelden kann.
Das lässt sich quick and dirty dahingehend ändern, dass du dem User einfach ein Anmeldeskript mitgibst, welches prüft ob er auf A oder B angemeldet ist. Ist er auf A angemeldet, führst du ein Logoff durch. ist er auf B wo er sein soll, dann machst du nichts. Das ist aber recht fehleranfällig, falls das Skript nämlich nicht erreich werden kann (weil bei A das Netzwerkkabel gezogen wurde bei der Anmeldung), dann kann sich der User damit immer noch an A anmelden und anschließend das Kabel wieder einstecken und der Logoff würde nicht durchgeführt werden.
Sicherer ist, wie von @itisnapanto vorgeschlagen, ein lokaler Benutzer.
Gruß
Doskias
