Authentifizierte Benutzer in Gruppe Benutzer auch auf Server
Hallo zusammen
Eventuell ist dies eine Freitagsfrage und ich stehe auf dem Schlauch aber was solls .
Unter Windows gibt es die Gruppe "NT-Autorität\Authentifizierte Benutzer. Diese Gruppe wird bei einem Domain-Join automatisch auf einen Laptop "ausgerollt" das sich die Domain-Benutzer am Gerät anmelden können. So weit so gut. Nun wird diese Gruppe logischerweise auch automatisch bei einem Server (z.B. Windows Server 2016 VM) den Benutzern hinzugefügt. Somit könnte sich ein normaler Benutzer am System anmelden sofern er Zugriff hat und es wird ein neues Profil erstellt.
Ich bin mir bewusst, dass dieses Profil nur Eingeschränkte-Rechte Besitzt, trotzdem finde ich komisch, das dem so ist. Was ist hier der "normale Weg" löscht man diese Gruppe "manuell" nach dem Einrichten, gibt es Richtlinien, oder lässt man dies einfach so und ich habe da "zuviele Bedenken"?
Wäre froh wenn ihr mich Aufklärt, merci .
Grüsse und ein schöner Freitag
KMUlife
Eventuell ist dies eine Freitagsfrage und ich stehe auf dem Schlauch aber was solls .
Unter Windows gibt es die Gruppe "NT-Autorität\Authentifizierte Benutzer. Diese Gruppe wird bei einem Domain-Join automatisch auf einen Laptop "ausgerollt" das sich die Domain-Benutzer am Gerät anmelden können. So weit so gut. Nun wird diese Gruppe logischerweise auch automatisch bei einem Server (z.B. Windows Server 2016 VM) den Benutzern hinzugefügt. Somit könnte sich ein normaler Benutzer am System anmelden sofern er Zugriff hat und es wird ein neues Profil erstellt.
Ich bin mir bewusst, dass dieses Profil nur Eingeschränkte-Rechte Besitzt, trotzdem finde ich komisch, das dem so ist. Was ist hier der "normale Weg" löscht man diese Gruppe "manuell" nach dem Einrichten, gibt es Richtlinien, oder lässt man dies einfach so und ich habe da "zuviele Bedenken"?
Wäre froh wenn ihr mich Aufklärt, merci .
Grüsse und ein schöner Freitag
KMUlife
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 350479
Url: https://administrator.de/contentid/350479
Ausgedruckt am: 24.11.2024 um 06:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
soweit ich weiss, reicht es nicht, "nur" Authentisierter Benutzer zu sein, um die Serverkonsole nutzen zu können. Man braucht zusätzlich noch explizit das Recht, sich an der Konsole anzumelden. Entweder ist man Admin oder der Admin hat einen in die richtige Gruppe gesteckt, sonst wird's nix.
Daher: no action required.
Gruß
Apophis
soweit ich weiss, reicht es nicht, "nur" Authentisierter Benutzer zu sein, um die Serverkonsole nutzen zu können. Man braucht zusätzlich noch explizit das Recht, sich an der Konsole anzumelden. Entweder ist man Admin oder der Admin hat einen in die richtige Gruppe gesteckt, sonst wird's nix.
Daher: no action required.
Gruß
Apophis
Also per RDP kann sich dieser Nutzer schon mal nicht am Server anmelden. Dazu müsste er Domänen-Administrator sein, bzw. der Gruppe Remotedesktopbenutzer usw. angehörig sein. Das ist ja normalerweise nicht der Fall.
Was passiert wenn ein Nutzer sich direkt per Tastatur am Server anmeldet, habe ich noch nicht gehabt; ein sehr interessanter Gedanke :D
Die meisten meiner Server bei Kunden haben weder Maus, Tastatur noch Monitor. Die mit Eingabegeräten stehen meist in verschlossenen Räumen sowie Serverschränken.
Meld dich doch zum Spaß mal mit deinem Non-Admin per Console da an. Bin echt gespannt was dann passiert =)
Was passiert wenn ein Nutzer sich direkt per Tastatur am Server anmeldet, habe ich noch nicht gehabt; ein sehr interessanter Gedanke :D
Die meisten meiner Server bei Kunden haben weder Maus, Tastatur noch Monitor. Die mit Eingabegeräten stehen meist in verschlossenen Räumen sowie Serverschränken.
Meld dich doch zum Spaß mal mit deinem Non-Admin per Console da an. Bin echt gespannt was dann passiert =)
Hallo,
Kurz: Nix. Wird genauso geblockt. Dem Server ist es egal, ob Du per RDP oder per Tastatur zugreifen willst - keine Rechte ist keine Rechte.
Gruß
Apophis
Zitat von @anteNope:
Was passiert wenn ein Nutzer sich direkt per Tastatur am Server anmeldet, habe ich noch nicht gehabt; ein sehr interessanter Gedanke :D
Was passiert wenn ein Nutzer sich direkt per Tastatur am Server anmeldet, habe ich noch nicht gehabt; ein sehr interessanter Gedanke :D
Kurz: Nix. Wird genauso geblockt. Dem Server ist es egal, ob Du per RDP oder per Tastatur zugreifen willst - keine Rechte ist keine Rechte.
Gruß
Apophis
Wohl war, aber viel mehr kann er dann auch nicht tun. Keine Rechte für nix, nicht mal Herunterfahren oder Neustart.
Gut er könnte in sein eigenes Profil schreiben und somit die Festplatte bis zur Oberkannte füllen, RAM vollschreiben und so ggf. Dienste abstürzen lassen. Oder gezielt Exploits auf dem Server starten und sich ggf. Admin-Rechte erschleichen ...
Aber wieso sich noch so viel Arbeit machen, wenn jemand Schaden anrichten möchte und physikalisch vom Server steht, regelt das generell ein Eimer Salz-Wasser oder ein Hammer ;)
Gut er könnte in sein eigenes Profil schreiben und somit die Festplatte bis zur Oberkannte füllen, RAM vollschreiben und so ggf. Dienste abstürzen lassen. Oder gezielt Exploits auf dem Server starten und sich ggf. Admin-Rechte erschleichen ...
Aber wieso sich noch so viel Arbeit machen, wenn jemand Schaden anrichten möchte und physikalisch vom Server steht, regelt das generell ein Eimer Salz-Wasser oder ein Hammer ;)
Hallo KMUlife,
ich gehe mal davon aus das MS beim anmelden zwischen Server und Client nicht unterscheidet, daher funktioniert das.
Was man testen kann (ohne Gewähr) mal eine kleine Test Policie mit deinem Non-Admin User in der du die lokale Anmeldung am Server verbietest:
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinie > Zuweisen von Benutzerrechten > Lokal anmelden verweigern
Da mal den Non-Admin User rein und schauen ob anmelden noch geht. Ich würde aber vorsichtig sein ;) nicht das du dich komplett aussperrst.
Immer dran denken verweigern ist stärker als erlauben.
Vielleicht statt GPO auch erst mal lokal am Server einstellen wenn ich so drüber nachdenke.
Grüße
Yai
ich gehe mal davon aus das MS beim anmelden zwischen Server und Client nicht unterscheidet, daher funktioniert das.
Was man testen kann (ohne Gewähr) mal eine kleine Test Policie mit deinem Non-Admin User in der du die lokale Anmeldung am Server verbietest:
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinie > Zuweisen von Benutzerrechten > Lokal anmelden verweigern
Da mal den Non-Admin User rein und schauen ob anmelden noch geht. Ich würde aber vorsichtig sein ;) nicht das du dich komplett aussperrst.
Immer dran denken verweigern ist stärker als erlauben.
Vielleicht statt GPO auch erst mal lokal am Server einstellen wenn ich so drüber nachdenke.
Grüße
Yai
Hi,
das ist noch nie anders gewesen. Standardmäßig können sich alle Benutzer einer Domäne an alle Member Computer dieser Domäne lokal interaktiv anmelden. Windows unterscheidet da nicht ziwchen den Versionen oder Editionen. Wenn man das bei Servern nicht will, dann muss man die Mitgliedschaft der lokalen Gruppe "Benutzer" nach dem Domänenbeitritt ändern, z.B. per GPO und "eingeschränkte Gruppen".
Seit - meines Wissens - Windows Vista können sich sogar aller Benutzer des selben Forest (auch anderer Domänen) standardmäßig an alle Member Computer aller Domänen dieses Forest anmelden. Das kommt durch die Mitgliedschaft der "Authentifizierten Benutzer" in der lokalen Gruppe "Benutzer". Vor Vista kam das durch das Hinzufügen der "Domänen-Benutzer" zu lokalen Gruppe "Benutzer" beim Domänenbeitritt.
E.
das ist noch nie anders gewesen. Standardmäßig können sich alle Benutzer einer Domäne an alle Member Computer dieser Domäne lokal interaktiv anmelden. Windows unterscheidet da nicht ziwchen den Versionen oder Editionen. Wenn man das bei Servern nicht will, dann muss man die Mitgliedschaft der lokalen Gruppe "Benutzer" nach dem Domänenbeitritt ändern, z.B. per GPO und "eingeschränkte Gruppen".
Seit - meines Wissens - Windows Vista können sich sogar aller Benutzer des selben Forest (auch anderer Domänen) standardmäßig an alle Member Computer aller Domänen dieses Forest anmelden. Das kommt durch die Mitgliedschaft der "Authentifizierten Benutzer" in der lokalen Gruppe "Benutzer". Vor Vista kam das durch das Hinzufügen der "Domänen-Benutzer" zu lokalen Gruppe "Benutzer" beim Domänenbeitritt.
E.