jap
Goto Top

Benutzer soll sich auf einem bestimmten PC nicht anmelden

Wir haben ca 600 PCs im Netzwerk. Wir möchten, dass sich Benutzer auf bestimmten PCs nicht anmelden können. Win2000 Server (AD Domäne) XP Clients ermöglichen, daß ich einem Benutzer eine oder mehrere PCs zuseisen kann, wir benötigen aber die Funktion, dass einem Benutzer eine Anmeldung an einem oder mehreren PC verwehrt werden.

Gibt es da eine Lösung? Evtl. auch von Drittanbietern !!

Jap

Content-ID: 16482

Url: https://administrator.de/contentid/16482

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

superboh
superboh 22.09.2005 um 03:45:09 Uhr
Goto Top
Hallo,

sowas gibt es nicht, nicht dass ich wüsste auf jeden Fall.

Ich hatte so was aber auch mal benötigt und habe es dann per Loginscript (Sprache Kixstart) selbst "gestrickt".
Und zwar so, dass ich eben gleich zu Beginn des Scripts überprüft habe, ob ein User Mitglied einer bestimmten Gruppe ist und wenn ja, dann überprüft, ob der Rechnername, an dem das Login erfolgt, auf der Liste der gesperrten Rechner steht. Wenn das alles zutraff, wurde der User gleich wieder vom Script abgemeldet. Das Login-Script konnte auch nicht abgebrochen werden, weil man auch sonst sofort abgemeldet wird.

Gruss,
Thomas
Soldier
Soldier 22.09.2005 um 08:59:26 Uhr
Goto Top
Heißt das also, dass ihr von Anfang an allen Usern im AD unter "Anmelden an..." erlaubt, sich an allen Rechnern anzumelden?
superboh
superboh 22.09.2005 um 14:12:51 Uhr
Goto Top
Ja, genau. Denke das wird wohl in den meisten Fällen so sein. Weil ein Mitarbeiter hat ja auch nicht zu allen PCs in der Firma Zugang.

Gruss,
Thomas
Soldier
Soldier 22.09.2005 um 18:02:23 Uhr
Goto Top
Aber das müllt doch nach und nach die Dokumente und Einstellungen voll, da ja bei jeder Neuanmeldung ein Benutzerprofil angelegt wird. Ausserdem könnte ja ein Mitarbeiter Daten einsehen, die ein anderer Mitarbeiter aus Nichtwissen oder Dummheit auf der lokalen Festplatte gespeichert hat. Datenschutz und so... Dafür sind die Admins auch verantwortlich.

Das sollen ja keine Vorwürfe sein. Bitte net falsch verstehen. Ich kenn das nur aus unsrer Firma. Da wird für jeden Benutzer ein PC installiert, auf dem sich auch nur dieser Benutzer anmelden darf. Es gibt natürlich Ausnahmen, wo auch 5 oder 6 User angemeldet werden können. Aber das ist eher die Seltenheit. Ausser die Admins natürlich. Die können überall drauf. Dafür sind sie ja Admins. face-smile Wir haben auch über 500 PCs und verfolgen das Konzept von Anfang an.

Vielleicht sind wir auch ne Ausnahme. IT-Sicherheit wird bei uns in Großbuchstaben geschrieben. Rüstungsfirma und so... Naja wie auch immer.

MfG und best wishes...
superboh
superboh 23.09.2005 um 04:18:21 Uhr
Goto Top
Hallo,

also ich schreibe Sicherheit auch hoch, aber ein Mitarbeiter aus der Versand wird sich wohl kaum an einem Rechner in der Buchhaltung anmelden können, alleine weil er dort zum Büro keinen Zugang hat. Warum soll ich mir dann mehr Arbeit machen als ich so oder so schon habe? Vor allem ... wer weiss nach einer Weile noch, wer sich wo anmelden darf? Das würde eine Unmenge an Verwaltung bedeuten.
In der Abteilung selbst besteht da auch nur ein geringes Risiko, denn die Leute machen ja auch Urlaubsvertretung und so für einander.
Vor allem ... gerade das ist ja der Vorteil der Domäne und servergespeicherten Profile, dass sich jeder an allen Rechner anmelden kann. Es kommt doch auch mal vor, dass ein Rechner ausfällt, wenn sich dann der Mitarbeiter nicht auch an einem Rechner des Kollegen anmelden könnte, der grad im Urlaub ist, dann würde der gute Mensch erstmal nichts arbeiten können und die EDV ist mal wieder schuld.
Vor allem ... was wäre das für ein Chaos, wenn die Abteilungen mal wieder umziehen. Da werden auch oft die Plätze gewechselt.
Und lokal Daten ablegen? Wer so was macht, verstösst gegen die gültige Richtlinie, dass keine Daten lokal abgelegt werden. Somit hätte dann der User den schwarzen Peter.

Ok, ihr macht das anders, aber ich denke das ist dann doch die Ausnahme.

Gruss,
Thomas
Harry2o
Harry2o 23.09.2005 um 15:07:31 Uhr
Goto Top
Eigentlich hasse ich ja Beiträge, die nur aus unqualifizierten Vermutungen bestehen.... leider habe ich auch wenig Erfahrung mit Domänenadministration.
Allerdings gibt's da eine Möglichkeit, von der ich denke, dass sie funktionieren wird - und hab's auch grade auf den "OK"-Klick ausprobiert.

Es handelt sich doch um Windows-XP Clients (Spielt hier sogar keine Rolle ob Home oder Pro, denn das gibt's in beiden).

Bei XP (vllt sogar schon bei 2000) gibt's in den Lokalen Sicherheitseinstellungen eine Option, mit dem man Benutzern die lokale Anmeldung verweigern kann. Man findet sie in den Lokalen Sicherheitseinstellungen (also Start, Ausführen, secpol.msc) unter "Lokale Richtlinien, Zuweisen von Benutzerrechten" und heißt "Lokale Anmeldung verweigern".
Dort kann man nun quasi die Benutzer auswählen, denen man die Anmeldung verweigern will. Wenn man als Suchpfad die Domäne hernimmt, kann man jetzt alle Benutzer aus besagter Domäne suchen und dann diejenigen auswählen, die sich nicht anmelden dürfen.
(Natürlich wirken diese Änderungen nur, wenn man sie mit Administratorrechten ausführt - allerdings vorsicht, man kann hier auch den Administrator eintragen!)

Wie gesagt, ich hab's nicht bis ganz durchprobiert, aber das klappt in der Theorie (und dass es auf einen Rechner ohne Domäne in einem Netzwerk funktioniert weiß ich).
Allerdings ist das halt bei 600 Rechnern eine ziemlich langwierige und aufwendige Arbeit, lokal bei allen 600 Rechnern die entsprechenden Einstellungen zu treffen.
Aber das ist die Möglichkeit, die (per Vermutung) funktionieren wird.

Das Loginskript, das zentral liegt, ist natürlich exponentiell weniger Arbeit, aber die beschriebene Möglichkeit gibt's auf jeden Fall auch face-smile


Cheers
~Harry


PS: Wünsche Antwort - wenn's versucht wird - ob das funktioniert, danke.
jap
jap 23.09.2005 um 18:23:54 Uhr
Goto Top
Hallo,

die Diskussion hat sich ja munter ohne mich entwickelt, ich war ein paar Tage offline.
Danke für die interessanten Beiträge !!

An die Lösung per LogonScript habe ich auch schon gedacht, Ich habe allerdings gehofft, dass es eine "professionellere" Lösung gibt.

Nun dann werde ich wohl etwas basteln müssen face-smile

Jap
rajsio
rajsio 26.09.2005 um 05:38:14 Uhr
Goto Top
Hallo

ich verstehe die Problematik nicht so ganz.
Du schreibst etwas von wegen Sicherheit.

Ich frage mal anders herum.
Wo sihst Du den da Sicheheitsbedenken?

Ich nehme an dass deine MA doch keine lokalen Admins sind. Oder?

Beim anmelden landet jeder Benutzer in seinem Ordner unter Dokumente und Einstellungen.
Für diese Ordner gibt es Berechtigungen und Besitzer.
Schau dir diese mal an.

Wenn Benutzer A beim Benutzer B mal etwas sehen darf, dann hast Du etwas falsch gemacht.

Zum Mül und Daten auf den PCs.
Habt Ihr Fileserver?
Wenn ja dann werden die Laufwerke beim Anmelden angezogen (nehme ich an).
Eigene Dateien etc. lagert man auf diese aus, somit werden diese nicht auf den PCs hinterlassen.

Zum Mül und Profile.
Servergespeicherte Profile mit GPO dass diese beim abmelden wieder gelöscht werden.
Rate ich von ab.

Servergespeicherte Profile ja aber lässt diese auf auf den PCs.
Wenn die wichtigen Daten und Ordner auf Filer umgelenk werden dann sind die Profile klein.

mfg
Raphael
turangaleela
turangaleela 23.07.2007 um 12:58:16 Uhr
Goto Top
man kann bestimmte Rechner ausschließen indem man ein "-" vor den rechnernamen setzt, also ein logisches nicht. Hab das grade ausprobiert und bei mir funktioniert das wunderbar!

STREICHEN!
FUNKTIONIERT DOCH NICHT!