12
Authentifizierte Benutzer in Gruppe Benutzer auch auf Server
Hallo zusammen
Eventuell ist dies eine Freitagsfrage und ich stehe auf dem Schlauch aber was solls
.
Unter Windows gibt es die Gruppe "NT-Autorität\Authentifizierte Benutzer. Diese Gruppe wird bei einem Domain-Join automatisch auf einen Laptop "ausgerollt" das sich die Domain-Benutzer am Gerät anmelden können. So weit so gut. Nun wird diese Gruppe logischerweise auch automatisch bei einem Server (z.B. Windows Server 2016 VM) den Benutzern hinzugefügt. Somit könnte sich ein normaler Benutzer am System anmelden sofern er Zugriff hat und es wird ein neues Profil erstellt.
Ich bin mir bewusst, dass dieses Profil nur Eingeschränkte-Rechte Besitzt, trotzdem finde ich komisch, das dem so ist. Was ist hier der "normale Weg" löscht man diese Gruppe "manuell" nach dem Einrichten, gibt es Richtlinien, oder lässt man dies einfach so und ich habe da "zuviele Bedenken"?
Wäre froh wenn ihr mich Aufklärt, merci
.
Grüsse und ein schöner Freitag
KMUlife
Eventuell ist dies eine Freitagsfrage und ich stehe auf dem Schlauch aber was solls
.Unter Windows gibt es die Gruppe "NT-Autorität\Authentifizierte Benutzer. Diese Gruppe wird bei einem Domain-Join automatisch auf einen Laptop "ausgerollt" das sich die Domain-Benutzer am Gerät anmelden können. So weit so gut. Nun wird diese Gruppe logischerweise auch automatisch bei einem Server (z.B. Windows Server 2016 VM) den Benutzern hinzugefügt. Somit könnte sich ein normaler Benutzer am System anmelden sofern er Zugriff hat und es wird ein neues Profil erstellt.
Ich bin mir bewusst, dass dieses Profil nur Eingeschränkte-Rechte Besitzt, trotzdem finde ich komisch, das dem so ist. Was ist hier der "normale Weg" löscht man diese Gruppe "manuell" nach dem Einrichten, gibt es Richtlinien, oder lässt man dies einfach so und ich habe da "zuviele Bedenken"?
Wäre froh wenn ihr mich Aufklärt, merci
.Grüsse und ein schöner Freitag
KMUlife
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 350479
Url: https://administrator.de/contentid/350479
Ausgedruckt am: 24.11.2024 um 06:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
soweit ich weiss, reicht es nicht, "nur" Authentisierter Benutzer zu sein, um die Serverkonsole nutzen zu können. Man braucht zusätzlich noch explizit das Recht, sich an der Konsole anzumelden. Entweder ist man Admin oder der Admin hat einen in die richtige Gruppe gesteckt, sonst wird's nix.
Daher: no action required.
Gruß
Apophis
soweit ich weiss, reicht es nicht, "nur" Authentisierter Benutzer zu sein, um die Serverkonsole nutzen zu können. Man braucht zusätzlich noch explizit das Recht, sich an der Konsole anzumelden. Entweder ist man Admin oder der Admin hat einen in die richtige Gruppe gesteckt, sonst wird's nix.
Daher: no action required.
Gruß
Apophis
Also per RDP kann sich dieser Nutzer schon mal nicht am Server anmelden. Dazu müsste er Domänen-Administrator sein, bzw. der Gruppe Remotedesktopbenutzer usw. angehörig sein. Das ist ja normalerweise nicht der Fall.
Was passiert wenn ein Nutzer sich direkt per Tastatur am Server anmeldet, habe ich noch nicht gehabt; ein sehr interessanter Gedanke :D
Die meisten meiner Server bei Kunden haben weder Maus, Tastatur noch Monitor. Die mit Eingabegeräten stehen meist in verschlossenen Räumen sowie Serverschränken.
Meld dich doch zum Spaß mal mit deinem Non-Admin per Console da an. Bin echt gespannt was dann passiert =)
Was passiert wenn ein Nutzer sich direkt per Tastatur am Server anmeldet, habe ich noch nicht gehabt; ein sehr interessanter Gedanke :D
Die meisten meiner Server bei Kunden haben weder Maus, Tastatur noch Monitor. Die mit Eingabegeräten stehen meist in verschlossenen Räumen sowie Serverschränken.
Meld dich doch zum Spaß mal mit deinem Non-Admin per Console da an. Bin echt gespannt was dann passiert =)
Hallo,
Kurz: Nix. Wird genauso geblockt. Dem Server ist es egal, ob Du per RDP oder per Tastatur zugreifen willst - keine Rechte ist keine Rechte.
Gruß
Apophis
Zitat von @anteNope:
Was passiert wenn ein Nutzer sich direkt per Tastatur am Server anmeldet, habe ich noch nicht gehabt; ein sehr interessanter Gedanke :D
Was passiert wenn ein Nutzer sich direkt per Tastatur am Server anmeldet, habe ich noch nicht gehabt; ein sehr interessanter Gedanke :D
Kurz: Nix. Wird genauso geblockt. Dem Server ist es egal, ob Du per RDP oder per Tastatur zugreifen willst - keine Rechte ist keine Rechte.
Gruß
Apophis
Deine Antwort war zügiger als meine Frage ;) Aber gut zu wissen =)
Zitat von @Apophis:
Kurz: Nix. Wird genauso geblockt. Dem Server ist es egal, ob Du per RDP oder per Tastatur zugreifen willst - keine Rechte ist keine Rechte.
Kurz: Nix. Wird genauso geblockt. Dem Server ist es egal, ob Du per RDP oder per Tastatur zugreifen willst - keine Rechte ist keine Rechte.
Aber der User hat ja Rechte, schließlich ist er "Authentifizierter Benutzer" und somit in der Gruppe Benutzer!
Habe dies nun getestet, ein normaler Domänen-Benutzer kann sich am Server Anmelden und es wird ein neues Profil erstellt.
(Per VMware RemoteKonsole getestet, somit gleich wie wenn der User Tastatur und Maus zu Verfügung hätte.)
Also entweder ist bei mir im Netzwerk was falsch konfiguriert, oder das ist so und da Server in einem Raum stehen, welcher nicht zugänglich ist, ist es nicht schlimm?
Grüsse
KMUlife
Edit: Die Gruppe "Domain\Domänen-Benutzer" ist auch in der Gruppe Benutzer (was aber ja auch Standard ist).
OK also doch, ist auf jeden Fall logisch, weil er ja das Recht "Benutzer" hat. Aber tatsächlich haben die Leute üblicher Weise keinen Zugriff auf die manuelle Console oder RemoteConsole. Per RDP geht es jedenfalls nicht.
Zitat von @anteNope:
OK also doch, ist auf jeden fall logisch, weil er ja das Recht "Benutzer" hat. Aber tatsächlich haben die Leute üblicher Weise keinen Zugriff auf die manuelle Console oder RemoteConsole. Per RDP geht es jedenfalls nicht.
OK also doch, ist auf jeden fall logisch, weil er ja das Recht "Benutzer" hat. Aber tatsächlich haben die Leute üblicher Weise keinen Zugriff auf die manuelle Console oder RemoteConsole. Per RDP geht es jedenfalls nicht.
Das ist richtig, finde es aber trotzdem komisch, dass ein User "einfach so" ein Profil auf einem Server anlegen kann.
LG
Wohl war, aber viel mehr kann er dann auch nicht tun. Keine Rechte für nix, nicht mal Herunterfahren oder Neustart.
Gut er könnte in sein eigenes Profil schreiben und somit die Festplatte bis zur Oberkannte füllen, RAM vollschreiben und so ggf. Dienste abstürzen lassen. Oder gezielt Exploits auf dem Server starten und sich ggf. Admin-Rechte erschleichen ...
Aber wieso sich noch so viel Arbeit machen, wenn jemand Schaden anrichten möchte und physikalisch vom Server steht, regelt das generell ein Eimer Salz-Wasser oder ein Hammer ;)
Gut er könnte in sein eigenes Profil schreiben und somit die Festplatte bis zur Oberkannte füllen, RAM vollschreiben und so ggf. Dienste abstürzen lassen. Oder gezielt Exploits auf dem Server starten und sich ggf. Admin-Rechte erschleichen ...
Aber wieso sich noch so viel Arbeit machen, wenn jemand Schaden anrichten möchte und physikalisch vom Server steht, regelt das generell ein Eimer Salz-Wasser oder ein Hammer ;)
Hi.
Der normale Weg:
auf DCs: nichts tun - hier geht es nicht.
auf weiteren Servern: Anmelderecht entfernen (secpol.msc ->Zuweisung von Benutzerrechten).
Der normale Weg:
auf DCs: nichts tun - hier geht es nicht.
auf weiteren Servern: Anmelderecht entfernen (secpol.msc ->Zuweisung von Benutzerrechten).
Hallo KMUlife,
ich gehe mal davon aus das MS beim anmelden zwischen Server und Client nicht unterscheidet, daher funktioniert das.
Was man testen kann (ohne Gewähr) mal eine kleine Test Policie mit deinem Non-Admin User in der du die lokale Anmeldung am Server verbietest:
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinie > Zuweisen von Benutzerrechten > Lokal anmelden verweigern
Da mal den Non-Admin User rein und schauen ob anmelden noch geht. Ich würde aber vorsichtig sein ;) nicht das du dich komplett aussperrst.
Immer dran denken verweigern ist stärker als erlauben.
Vielleicht statt GPO auch erst mal lokal am Server einstellen wenn ich so drüber nachdenke.
Grüße
Yai
ich gehe mal davon aus das MS beim anmelden zwischen Server und Client nicht unterscheidet, daher funktioniert das.
Was man testen kann (ohne Gewähr) mal eine kleine Test Policie mit deinem Non-Admin User in der du die lokale Anmeldung am Server verbietest:
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinie > Zuweisen von Benutzerrechten > Lokal anmelden verweigern
Da mal den Non-Admin User rein und schauen ob anmelden noch geht. Ich würde aber vorsichtig sein ;) nicht das du dich komplett aussperrst.
Immer dran denken verweigern ist stärker als erlauben.
Vielleicht statt GPO auch erst mal lokal am Server einstellen wenn ich so drüber nachdenke.
Grüße
Yai
Hi,
das ist noch nie anders gewesen. Standardmäßig können sich alle Benutzer einer Domäne an alle Member Computer dieser Domäne lokal interaktiv anmelden. Windows unterscheidet da nicht ziwchen den Versionen oder Editionen. Wenn man das bei Servern nicht will, dann muss man die Mitgliedschaft der lokalen Gruppe "Benutzer" nach dem Domänenbeitritt ändern, z.B. per GPO und "eingeschränkte Gruppen".
Seit - meines Wissens - Windows Vista können sich sogar aller Benutzer des selben Forest (auch anderer Domänen) standardmäßig an alle Member Computer aller Domänen dieses Forest anmelden. Das kommt durch die Mitgliedschaft der "Authentifizierten Benutzer" in der lokalen Gruppe "Benutzer". Vor Vista kam das durch das Hinzufügen der "Domänen-Benutzer" zu lokalen Gruppe "Benutzer" beim Domänenbeitritt.
E.
das ist noch nie anders gewesen. Standardmäßig können sich alle Benutzer einer Domäne an alle Member Computer dieser Domäne lokal interaktiv anmelden. Windows unterscheidet da nicht ziwchen den Versionen oder Editionen. Wenn man das bei Servern nicht will, dann muss man die Mitgliedschaft der lokalen Gruppe "Benutzer" nach dem Domänenbeitritt ändern, z.B. per GPO und "eingeschränkte Gruppen".
Seit - meines Wissens - Windows Vista können sich sogar aller Benutzer des selben Forest (auch anderer Domänen) standardmäßig an alle Member Computer aller Domänen dieses Forest anmelden. Das kommt durch die Mitgliedschaft der "Authentifizierten Benutzer" in der lokalen Gruppe "Benutzer". Vor Vista kam das durch das Hinzufügen der "Domänen-Benutzer" zu lokalen Gruppe "Benutzer" beim Domänenbeitritt.
E.
Sorry Thread ist etwas untergegangen.^^
Danke für all eure Beiträge!
Danke für all eure Beiträge!
