Domänenbenutzern die Anmeldung an Arbeitsplätzen verbieten (über GPO)
Domänenbenutzern einer bestimmten OU oder Gruppe die Anmeldung an Arbeitsplätzen verbieten
Hallo zusammen,
Ich habe vor einiger Zeit eine Frage zu dem Thema, wie man einem Benutzer, den es im Active directory gibt die Anmeldung an Arbeitsplatz PC's in der Domäne verbietet. Es gab auch div. Anregungen und Vorschläge, jedoch zeigten diese keine Wirkung. Vielleicht hab ich es beim letzten mal auch nicht verständlich genug geschrieben.
Kurze Beschreibung: Es handelt sich um eine Windows Server 2008 R2 Umgebung. Wir verwalten unseren lokalen Domänen Benutzer + Benutzer die von extern über LDAP abgefragt werden
Unsere Domänen Benutzer befinden sich z.B. in der OU IT, Projektleiter, Geschäftsführer, o.ä Über dieses Modell werden die Berechtigungen intern abgehandelt.
Zusätzlich gibt es eine OU Extranet. In dieser befinden sich Benutzer, die auf unsere externen Anwendungen wie z.B. Bugtracker, Foren usw Zugriff haben. Um eine Zentrale Benutzerverwaltung zu bekommen, Pflegen wir alles im AD. Diese Benutzer bekommen bestimmte Gruppen zugewiesen, welche von den anderen Anwendungen ausgewertet werden.
Soweit so gut. Funktioniert auch alles Super
Was mir an der Situation nicht gefällt:
Die Benutzer, die sich in der OU Extranet befinden,haben auch das Recht sich lokal in unserer Domäne an jedem Arbeitsplatz anzumelden. Natürlich kommen sie nicht auf Freigaben am Server aber trotzdem stört es mich.
Über jeglichen Ansatz einer Lösung wäre ich dankbar
P.S
Ich habe schon Gruppenrichtlinien Objekte gebaut, in denen die lokale Anmeldung verweigert wird usw. usw. Wirkt aber alles nicht. Ist ja auch eigentlich keine lokale Anmeldung, die ich da untersagen möchte, sondern eine Domänen Anmeldung ;)
Hallo zusammen,
Ich habe vor einiger Zeit eine Frage zu dem Thema, wie man einem Benutzer, den es im Active directory gibt die Anmeldung an Arbeitsplatz PC's in der Domäne verbietet. Es gab auch div. Anregungen und Vorschläge, jedoch zeigten diese keine Wirkung. Vielleicht hab ich es beim letzten mal auch nicht verständlich genug geschrieben.
Kurze Beschreibung: Es handelt sich um eine Windows Server 2008 R2 Umgebung. Wir verwalten unseren lokalen Domänen Benutzer + Benutzer die von extern über LDAP abgefragt werden
Unsere Domänen Benutzer befinden sich z.B. in der OU IT, Projektleiter, Geschäftsführer, o.ä Über dieses Modell werden die Berechtigungen intern abgehandelt.
Zusätzlich gibt es eine OU Extranet. In dieser befinden sich Benutzer, die auf unsere externen Anwendungen wie z.B. Bugtracker, Foren usw Zugriff haben. Um eine Zentrale Benutzerverwaltung zu bekommen, Pflegen wir alles im AD. Diese Benutzer bekommen bestimmte Gruppen zugewiesen, welche von den anderen Anwendungen ausgewertet werden.
Soweit so gut. Funktioniert auch alles Super
Was mir an der Situation nicht gefällt:
Die Benutzer, die sich in der OU Extranet befinden,haben auch das Recht sich lokal in unserer Domäne an jedem Arbeitsplatz anzumelden. Natürlich kommen sie nicht auf Freigaben am Server aber trotzdem stört es mich.
Über jeglichen Ansatz einer Lösung wäre ich dankbar
P.S
Ich habe schon Gruppenrichtlinien Objekte gebaut, in denen die lokale Anmeldung verweigert wird usw. usw. Wirkt aber alles nicht. Ist ja auch eigentlich keine lokale Anmeldung, die ich da untersagen möchte, sondern eine Domänen Anmeldung ;)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 156776
Url: https://administrator.de/forum/domaenenbenutzern-die-anmeldung-an-arbeitsplaetzen-verbieten-ueber-gpo-156776.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
7 Kommentare
Neuester Kommentar
Hi Marco,
wenn es dich nicht stört, alle User der OU Extranet in eine weitere Gruppe hinzuzufügen (z.B. GRP_ComLokaleAnmeldungVerweigern). Dann kannst du über die GPOs diese Gruppe das Recht zur Lokalen Anmeldung verweigern.
Beachte allerdings, das du die GPO nicht auf die OU Extranet legen darfst, sondern auf die OU in der die Computer sind oder eben auf die Gesamte Domain. Es muss auch in den Computervorgaben und nicht in den Bentztervorgaben eingestellt werden.
mfg
andi
wenn es dich nicht stört, alle User der OU Extranet in eine weitere Gruppe hinzuzufügen (z.B. GRP_ComLokaleAnmeldungVerweigern). Dann kannst du über die GPOs diese Gruppe das Recht zur Lokalen Anmeldung verweigern.
Beachte allerdings, das du die GPO nicht auf die OU Extranet legen darfst, sondern auf die OU in der die Computer sind oder eben auf die Gesamte Domain. Es muss auch in den Computervorgaben und nicht in den Bentztervorgaben eingestellt werden.
mfg
andi
Moin,
wie wäre es denn mit:
Active Directory-Benutzer und -Computer öffnen
Such dir das entsprechende Benutzerkonto (geht nicht mit Gruppen)
Dann auf Eigenschaften.
Im Register Konto auf "Anmelden an..."
Da legst du dann die entsprechenden Rechner fest an denen sie sich anmelden dürfen ...
http://technet.microsoft.com/de-de/library/cc740199(WS.10).aspx
VG
wie wäre es denn mit:
Active Directory-Benutzer und -Computer öffnen
Such dir das entsprechende Benutzerkonto (geht nicht mit Gruppen)
Dann auf Eigenschaften.
Im Register Konto auf "Anmelden an..."
Da legst du dann die entsprechenden Rechner fest an denen sie sich anmelden dürfen ...
http://technet.microsoft.com/de-de/library/cc740199(WS.10).aspx
VG
Hi Marco,
ich hab jetzt nochmal bei mir nachgeschaut. Ich hab das damals in der "Default Domain Policy" definiert und bei mir funktionierts auch wunderbar.
Definier die Rechte mal in der Default Domain Policy unter
Computerkonfiguratin -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Sicherheitsrichtlinien -> Zuweisen von Benutzerrechten -> Lokal anmelden verweigern
mfg
n4426
ich hab jetzt nochmal bei mir nachgeschaut. Ich hab das damals in der "Default Domain Policy" definiert und bei mir funktionierts auch wunderbar.
Definier die Rechte mal in der Default Domain Policy unter
Computerkonfiguratin -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Sicherheitsrichtlinien -> Zuweisen von Benutzerrechten -> Lokal anmelden verweigern
mfg
n4426