Benutzer LogOns auf bestimmten DomainPCs sperren
Hallo!
Wie kann ich in den Gruppenrichtlinien/Computerkonfiguration eines W2k3 Servers für bestimmte Rechner "sagen", dass auf diesen bestimmte festzulegende Benutzergruppen sich nicht anmelden dürfen?
Ich möchte nicht über das AD gehen oder ein LogonScript für jede Gruppe schreiben, die sich wieder ausloggt, weil u.a. habe ich zig PCs zu prüfen, die auch ab und an Erweiterung finden (administrativer Mehraufwand).
Muss doch eine GPO Option geben. Nur wo..?
Danke im Voraus!!
Wie kann ich in den Gruppenrichtlinien/Computerkonfiguration eines W2k3 Servers für bestimmte Rechner "sagen", dass auf diesen bestimmte festzulegende Benutzergruppen sich nicht anmelden dürfen?
Ich möchte nicht über das AD gehen oder ein LogonScript für jede Gruppe schreiben, die sich wieder ausloggt, weil u.a. habe ich zig PCs zu prüfen, die auch ab und an Erweiterung finden (administrativer Mehraufwand).
Muss doch eine GPO Option geben. Nur wo..?
Danke im Voraus!!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41400
Url: https://administrator.de/forum/benutzer-logons-auf-bestimmten-domainpcs-sperren-41400.html
Ausgedruckt am: 23.12.2024 um 17:12 Uhr
7 Kommentare
Neuester Kommentar
Hi!
Erstelle ein neues Gruppenrichtlinienobjekt unterhalb der Ou mi deinen Clients.
Hier die GPO:
Computerkonfiguration/Windows Einstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Lokal Anmelden verweigern.
Thats it
Gruesse
Chris
Erstelle ein neues Gruppenrichtlinienobjekt unterhalb der Ou mi deinen Clients.
Hier die GPO:
Computerkonfiguration/Windows Einstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Lokal Anmelden verweigern.
Thats it
Gruesse
Chris
Wie kann ich in den Gruppenrichtlinien/Computerkonfiguration eines W2k3 Servers für bestimmte Rechner "sagen", dass auf diesen bestimmte festzulegende Benutzergruppen sich nicht anmelden dürfen?
-> Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Lokale Anmeldung verweigern
Doch dies gilt für lokale Anmeldungen, hm? Sprich also werden nur Domainaccounts erlaubt?
Lokales Anmelden heißt vor Ort an dem PC anmelden - egal ob nun über einen Domänenaccount oder über einen lokalen Account.
Wie aber verhält es sich mit dem lokalen Admin?
Naja, den würde ich da besser nicht eintragen ... sonst hast Du ein Problem, wenn die Verbindung zur Domäne mal weg ist.
Und:
Ich mag gewisse DOMÄNENgruppen nicht an den und jene PCs anmelden lassen, an andere aber doch. Und eine andere DOMÄNENgruppe darf dort aber nicht da... Wie setzt man dies um?
Ich mag gewisse DOMÄNENgruppen nicht an den und jene PCs anmelden lassen, an andere aber doch. Und eine andere DOMÄNENgruppe darf dort aber nicht da... Wie setzt man dies um?
Nimm mal an, Du hast vier Computer, PC 1 und 3 im Raum A und PC 2 und 4 im Raum B. Die Benutzergruppe XYZ soll sich im Raum A nicht anmelden können, die Gruppe ABC im nicht Raum B.
Also erstellst Du zwei Gruppenrichtlinienobjekte, eins für die PCs in Raum A (dort trägst Du die Gruppe XYZ bei Lokales Anmelden verweigern ein) und eins für die PCs in Raum B (dort wird die Gruppe ABC bei Lokales Anmelden verweigern eingetragen).
Wie Die Gruppenrichtlinien nun zugeordnet werden, hängt davon ab, wo Du im AD die Computerkonten gespeichert hast. Wenn sie in unterschiedlichen OUs sind, dann kannst Du einfach jeder OU die für sie zutreffende Gruppenrichtlinie zuweisen. Also in unserem Beispiel wären PC 1 und PC 3 in einer OU "Raum A" und PC 2 und PC 4 in einer OU "Raum B". Dann weist Du die Gruppenrichtlinie, die die Anmeldung für die Benutzergruppe ABC verweigert, der OU "Raum B" zu und die OU, die der Benutzergruppe XYZ die Anmeldung verweigert, der OU "Raum A".
Sind aber alle Computerkonten in einer OU, dann mußt Du Gruppen anlegen und Berechtigungen vergeben. Also eine Gruppe Raum A, in die Du die Computerkonten von PC 1 und PC 3 aufnimmst, und eine Gruppe Raum B, in die die Computerkonten von PC 2 und PC 4 kommen. Dann weist Du der OU, in der alle Computerkonten sind, beide Gruppenrichtlinien zu, entfernst aber bei den Sicherheitseinstellungen der Gruppenrichtlinien den Eintrag "Authentifizierte Benutzer". Stattdessen fügst Du bei den Sicherheitseinstellungen der Gruppenrichtlinie, die die Benutzergruppe XYZ aussperren soll, die Gruppe Raum A hinzu und gibst ihm die Berechtigungen "Lesen" und "Gruppenrichtline übernehmen". Entsprechend verfährst Du mit der Gruppenrichtlinie, die die Benutzergruppe ABC aussperren soll, und der Gruppe Raum B.
SO ausführlich!
Wie kann ich Dir nur danken?! DANKE!
Mir gefällt, wie Du dies erklärt hast, sehr kompetent zudem.
Wie kann ich Dir nur danken?! DANKE!
Mir gefällt, wie Du dies erklärt hast, sehr kompetent zudem.
Danke für die Blumen ... es steht Dir natürlich jederzeit frei, meinen Beitrag mit 5 Sternen zu bewerten ;)
Aber erst mal solltest Du schauen, ob es so funktioniert. Ich habe in der Praxis noch nie Computerkonten in eine Gruppe aufgenommen bzw. Gruppenrichtlinien auf Computerkontenebene Berechtigungen erteilt. Zu deutsch: Ich habe es nach bestem Wissen und Gewissen erklärt, kann aber nicht dafür garantieren, daß es so funktioniert.