hacol22
Goto Top

Domäne - Anmeldung an PC verweigern

Hallo,

in den Eigenschaften eines Benutzerkonts in AD gibt es die Möglichkeit einem Benutzer PCs zuzuordnen an denen er sich anmelden darf. Mein Frage: Gibt es auch eine Möglichkeit einem Benutzer zu verbieten sich an einem PC anzumelden? Dabei meine ich die Anmeldung mit dem Domänen-Account. Lokale Anmeldung spielt dabei keine Rolle.

MfG
hacol22

Content-ID: 65556

Url: https://administrator.de/forum/domaene-anmeldung-an-pc-verweigern-65556.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

Supaman
Supaman 06.08.2007 um 14:48:36 Uhr
Goto Top
klar, z.b. über die gültige anmelde-uhrzeit. oder du setzt das passwort neu und verräts das neue passwort nicht.
hacol22
hacol22 06.08.2007 um 15:11:19 Uhr
Goto Top
Toll ...Ich will nicht jeden einzelnen PC(15) an dem sich ein Benutzer(22) anmelden darf in den Kontoeigenschaften zuordnen und dazu noch Uhrzeiten einstellen müssen. Da sitz ich ja nächstes Jahr noch dran. Bin ich Supaman?

Ich suche eine Möglichkeit einem Benutzer oder einer Sicherheitsgruppe das Anmelden an bestimmten PC(ein oder zwei) zu verbieten.
manuel-r
manuel-r 06.08.2007 um 15:54:08 Uhr
Goto Top
Wenn's nur 1 oder 2 Rechner sind, dann kannst du es ja über die lokale Richtlinie mit lokale Anmeldung verweigern umsetzen. Das musst du halt an jedem der PCs machen - geht nicht über die Domäne.

Manuel
AndreasA
AndreasA 06.08.2007 um 16:23:05 Uhr
Goto Top
Alternativ du stellst die beiden PCs in eine extra OU. Auf diese kannst du dann mit einer Computergruppenrichtlinie "Beschränkte Gruppen" setzen, so das z.B. unter "Benutzer" die Domänenbenutzer nicht mehr enthalten sind, sondern nur noch die, die du zuläßt (globale Sicherheitsgruppe).

Gruß Andreas
hacol22
hacol22 06.08.2007 um 16:42:30 Uhr
Goto Top
Ja stimmt, über eine eigene OU hatte ich noch nicht gedacht. Das wäre eine Möglichkeit die ich auf jeden Fall versuchen würde. Habe auch schon nach einer vordefinierten Richtlinie in der globalen Policy der Domäne gesucht, leider keine gefunden. Oder muss das über ein Logon-Script gelöst werden? Kannst du mir genauere Auskunft geben?

Lokal würde auch gehen, ist natürlich etwas umständlich, aber möglich.

Vielen Dank für die Vorschläge

MfG
AndreasA
AndreasA 06.08.2007 um 17:51:26 Uhr
Goto Top
Lass die Finger von den Default Policies.
Erstelle dir einfach eine neue Policy und verknüpfe diese nur mit der OU, wo diese beiden PC's liegen !!!
Unter Computerkonfiguration --> Windows-Einstellungen--> Sicherheitseinstellungen--> Eingeschränkte Gruppen kannst du die Gruppe Benutzer mit der Domänengruppe befüllen, der es erlaubt ist sich dort anzumelden. Alle nicht aufgeführten Gruppen sind dann nicht mehr Mitglied dieser Gruppe, da diese Policy die lokal eingetragene Gruppe Benutzer (siehe lokale Computerverwaltung) ersetzt!!! Ergo sind die Standard Domänen-Benutzer nicht mehr Mitglied der lokalen Gruppe und können sich somit auch nicht mehr anmelden.
Lokale Benutzer wirst du ja dort auf diesen PC's nicht haben oder?

Gruß Andreas
hacol22
hacol22 06.08.2007 um 23:32:46 Uhr
Goto Top
Natürlich lasse ich die Finger von der Default Policy. Hatte nur nachgesehen ob es überhaupt solch eine Option gibt. Jetzt kenne ich ja den genauen Pfad. Werde eine OU anlegen und dieser eine neue Policy zuweisen.
Nein, lokal habe ich an den Rechnern nur einen Account mit Adminrechten angelegt, da "Administrator" deaktiviert ist.

Vielen Dank für die Hilfe!

MfG
hacol22