kmulife
Goto Top

Authentifizierte Benutzer in Gruppe Benutzer auch auf Server

Hallo zusammen

Eventuell ist dies eine Freitagsfrage und ich stehe auf dem Schlauch aber was solls face-wink.

Unter Windows gibt es die Gruppe "NT-Autorität\Authentifizierte Benutzer. Diese Gruppe wird bei einem Domain-Join automatisch auf einen Laptop "ausgerollt" das sich die Domain-Benutzer am Gerät anmelden können. So weit so gut. Nun wird diese Gruppe logischerweise auch automatisch bei einem Server (z.B. Windows Server 2016 VM) den Benutzern hinzugefügt. Somit könnte sich ein normaler Benutzer am System anmelden sofern er Zugriff hat und es wird ein neues Profil erstellt.

Ich bin mir bewusst, dass dieses Profil nur Eingeschränkte-Rechte Besitzt, trotzdem finde ich komisch, das dem so ist. Was ist hier der "normale Weg" löscht man diese Gruppe "manuell" nach dem Einrichten, gibt es Richtlinien, oder lässt man dies einfach so und ich habe da "zuviele Bedenken"?

Wäre froh wenn ihr mich Aufklärt, merci face-smile.

Grüsse und ein schöner Freitag
KMUlife

Content-ID: 350479

Url: https://administrator.de/contentid/350479

Ausgedruckt am: 24.11.2024 um 06:11 Uhr

Apophis
Lösung Apophis 29.09.2017 aktualisiert um 16:33:43 Uhr
Goto Top
Hallo,

soweit ich weiss, reicht es nicht, "nur" Authentisierter Benutzer zu sein, um die Serverkonsole nutzen zu können. Man braucht zusätzlich noch explizit das Recht, sich an der Konsole anzumelden. Entweder ist man Admin oder der Admin hat einen in die richtige Gruppe gesteckt, sonst wird's nix.

Daher: no action required.

Gruß
Apophis
anteNope
anteNope 29.09.2017 um 16:33:25 Uhr
Goto Top
Also per RDP kann sich dieser Nutzer schon mal nicht am Server anmelden. Dazu müsste er Domänen-Administrator sein, bzw. der Gruppe Remotedesktopbenutzer usw. angehörig sein. Das ist ja normalerweise nicht der Fall.

Was passiert wenn ein Nutzer sich direkt per Tastatur am Server anmeldet, habe ich noch nicht gehabt; ein sehr interessanter Gedanke :D

Die meisten meiner Server bei Kunden haben weder Maus, Tastatur noch Monitor. Die mit Eingabegeräten stehen meist in verschlossenen Räumen sowie Serverschränken.

Meld dich doch zum Spaß mal mit deinem Non-Admin per Console da an. Bin echt gespannt was dann passiert =)
Apophis
Apophis 29.09.2017 aktualisiert um 16:36:05 Uhr
Goto Top
Hallo,

Zitat von @anteNope:

Was passiert wenn ein Nutzer sich direkt per Tastatur am Server anmeldet, habe ich noch nicht gehabt; ein sehr interessanter Gedanke :D

Kurz: Nix. Wird genauso geblockt. Dem Server ist es egal, ob Du per RDP oder per Tastatur zugreifen willst - keine Rechte ist keine Rechte.

Gruß
Apophis
anteNope
anteNope 29.09.2017 um 16:42:57 Uhr
Goto Top
Deine Antwort war zügiger als meine Frage ;) Aber gut zu wissen =)
KMUlife
KMUlife 29.09.2017 aktualisiert um 16:51:24 Uhr
Goto Top
Zitat von @Apophis:

Kurz: Nix. Wird genauso geblockt. Dem Server ist es egal, ob Du per RDP oder per Tastatur zugreifen willst - keine Rechte ist keine Rechte.

Aber der User hat ja Rechte, schließlich ist er "Authentifizierter Benutzer" und somit in der Gruppe Benutzer!
Habe dies nun getestet, ein normaler Domänen-Benutzer kann sich am Server Anmelden und es wird ein neues Profil erstellt.
(Per VMware RemoteKonsole getestet, somit gleich wie wenn der User Tastatur und Maus zu Verfügung hätte.)

Also entweder ist bei mir im Netzwerk was falsch konfiguriert, oder das ist so und da Server in einem Raum stehen, welcher nicht zugänglich ist, ist es nicht schlimm?

Grüsse
KMUlife

Edit: Die Gruppe "Domain\Domänen-Benutzer" ist auch in der Gruppe Benutzer (was aber ja auch Standard ist).
anteNope
anteNope 29.09.2017 aktualisiert um 17:08:01 Uhr
Goto Top
OK also doch, ist auf jeden Fall logisch, weil er ja das Recht "Benutzer" hat. Aber tatsächlich haben die Leute üblicher Weise keinen Zugriff auf die manuelle Console oder RemoteConsole. Per RDP geht es jedenfalls nicht.
KMUlife
KMUlife 29.09.2017 um 17:04:05 Uhr
Goto Top
Zitat von @anteNope:

OK also doch, ist auf jeden fall logisch, weil er ja das Recht "Benutzer" hat. Aber tatsächlich haben die Leute üblicher Weise keinen Zugriff auf die manuelle Console oder RemoteConsole. Per RDP geht es jedenfalls nicht.

Das ist richtig, finde es aber trotzdem komisch, dass ein User "einfach so" ein Profil auf einem Server anlegen kann.

LG
anteNope
Lösung anteNope 29.09.2017 um 17:16:53 Uhr
Goto Top
Wohl war, aber viel mehr kann er dann auch nicht tun. Keine Rechte für nix, nicht mal Herunterfahren oder Neustart.
Gut er könnte in sein eigenes Profil schreiben und somit die Festplatte bis zur Oberkannte füllen, RAM vollschreiben und so ggf. Dienste abstürzen lassen. Oder gezielt Exploits auf dem Server starten und sich ggf. Admin-Rechte erschleichen ...

Aber wieso sich noch so viel Arbeit machen, wenn jemand Schaden anrichten möchte und physikalisch vom Server steht, regelt das generell ein Eimer Salz-Wasser oder ein Hammer ;)
DerWoWusste
Lösung DerWoWusste 29.09.2017 um 18:26:02 Uhr
Goto Top
Hi.

Der normale Weg:

auf DCs: nichts tun - hier geht es nicht.
auf weiteren Servern: Anmelderecht entfernen (secpol.msc ->Zuweisung von Benutzerrechten).
Yaimael
Lösung Yaimael 29.09.2017 um 18:45:12 Uhr
Goto Top
Hallo KMUlife,

ich gehe mal davon aus das MS beim anmelden zwischen Server und Client nicht unterscheidet, daher funktioniert das.
Was man testen kann (ohne Gewähr) mal eine kleine Test Policie mit deinem Non-Admin User in der du die lokale Anmeldung am Server verbietest:

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinie > Zuweisen von Benutzerrechten > Lokal anmelden verweigern

Da mal den Non-Admin User rein und schauen ob anmelden noch geht. Ich würde aber vorsichtig sein ;) nicht das du dich komplett aussperrst.
Immer dran denken verweigern ist stärker als erlauben.
Vielleicht statt GPO auch erst mal lokal am Server einstellen wenn ich so drüber nachdenke.

Grüße
Yai
emeriks
Lösung emeriks 29.09.2017 aktualisiert um 22:04:28 Uhr
Goto Top
Hi,
das ist noch nie anders gewesen. Standardmäßig können sich alle Benutzer einer Domäne an alle Member Computer dieser Domäne lokal interaktiv anmelden. Windows unterscheidet da nicht ziwchen den Versionen oder Editionen. Wenn man das bei Servern nicht will, dann muss man die Mitgliedschaft der lokalen Gruppe "Benutzer" nach dem Domänenbeitritt ändern, z.B. per GPO und "eingeschränkte Gruppen".
Seit - meines Wissens - Windows Vista können sich sogar aller Benutzer des selben Forest (auch anderer Domänen) standardmäßig an alle Member Computer aller Domänen dieses Forest anmelden. Das kommt durch die Mitgliedschaft der "Authentifizierten Benutzer" in der lokalen Gruppe "Benutzer". Vor Vista kam das durch das Hinzufügen der "Domänen-Benutzer" zu lokalen Gruppe "Benutzer" beim Domänenbeitritt.

E.
KMUlife
KMUlife 22.11.2017 um 09:35:11 Uhr
Goto Top
Sorry Thread ist etwas untergegangen.^^

Danke für all eure Beiträge! face-smile