Domain- Benutzerrechte abhänig vom PC wo der Benutzer sich anmeldet
Hallo Zusammen,
Problemstellung :
Unsere Azubis wandern von einer Abteilung in die nächste, dort benötigen sie unterschiedliche Rechte auf Laufwerksfreigaben, Exchange Postfächern usw. Diese Rechte sollen die Azubis aber nur dann bekommen wenn Sie sich in der Abteilung an einen Azubi PC anmelden der dafür vorgesehen ist.
Lösungsansatz:
Ich hatte mir überlegt, dass man das mit einen VB-Anmeldescript in Kombination mit Gruppenrichtlinien und Benutzergruppen lösen kann. Dazu müsste das Script bei der Anmeldung schauen, auf welchen PC werde ich grade angemeldet und welcher Benutzer ist es. Wenn ein erlaubt PC, dann füge Benutzer in die Gruppen hinzu die für diesen Arbeitsplatz benötigt werden. Beim Abmelden soll der Benutzer wieder aus den Gruppen gelöscht werden. Soweit die Theorie, aber geht das überhaupt so? Übernimmt er gleich beim Anmelden die Gruppen wenn man sie mit einen Script hinzufügen lässt? Oder gibt es eine andere gute Lösung?
Über euer Ideen und Lösung ansetzten würde ich mich freuen.
Gruß
Stephan
Problemstellung :
Unsere Azubis wandern von einer Abteilung in die nächste, dort benötigen sie unterschiedliche Rechte auf Laufwerksfreigaben, Exchange Postfächern usw. Diese Rechte sollen die Azubis aber nur dann bekommen wenn Sie sich in der Abteilung an einen Azubi PC anmelden der dafür vorgesehen ist.
Lösungsansatz:
Ich hatte mir überlegt, dass man das mit einen VB-Anmeldescript in Kombination mit Gruppenrichtlinien und Benutzergruppen lösen kann. Dazu müsste das Script bei der Anmeldung schauen, auf welchen PC werde ich grade angemeldet und welcher Benutzer ist es. Wenn ein erlaubt PC, dann füge Benutzer in die Gruppen hinzu die für diesen Arbeitsplatz benötigt werden. Beim Abmelden soll der Benutzer wieder aus den Gruppen gelöscht werden. Soweit die Theorie, aber geht das überhaupt so? Übernimmt er gleich beim Anmelden die Gruppen wenn man sie mit einen Script hinzufügen lässt? Oder gibt es eine andere gute Lösung?
Über euer Ideen und Lösung ansetzten würde ich mich freuen.
Gruß
Stephan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 121531
Url: https://administrator.de/forum/domain-benutzerrechte-abhaenig-vom-pc-wo-der-benutzer-sich-anmeldet-121531.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
5 Kommentare
Neuester Kommentar
Moin,
wir haben dazu im Intranet ein Formular, das die Stifte ausfüllen - und das erst abgeschickt wird - wenn alle Infos - die wir brauchen da sind und dann (wenn die Mail da ist) machen "WIR" das.
So - wie du es willst - "gehts" zwar auch, aber warum umständlich eine Sicherheitslücke zimmern, wenns auch anders geht.
z.B kommen bei uns nur dann die Azubis in die Abteilungsverteiler, wenn gleichzeitig eine Mail an diese Abteilung geschickt wird.
Und das wäre bei deiner Lösung dann täglich und so landen diese Mails (wenn Ihr das vorhabt) gleich im Spam / runde Ablage.
Die Azubis wechseln ja auch nicht jeden Tag die Abteilung oder
Gruß
wir haben dazu im Intranet ein Formular, das die Stifte ausfüllen - und das erst abgeschickt wird - wenn alle Infos - die wir brauchen da sind und dann (wenn die Mail da ist) machen "WIR" das.
So - wie du es willst - "gehts" zwar auch, aber warum umständlich eine Sicherheitslücke zimmern, wenns auch anders geht.
z.B kommen bei uns nur dann die Azubis in die Abteilungsverteiler, wenn gleichzeitig eine Mail an diese Abteilung geschickt wird.
Und das wäre bei deiner Lösung dann täglich und so landen diese Mails (wenn Ihr das vorhabt) gleich im Spam / runde Ablage.
Die Azubis wechseln ja auch nicht jeden Tag die Abteilung oder
Gruß
Hi,
wir machen das genauso wie bei Timo. Ich hab mir dafür mittlerweile diverse Scripte geschrieben, die die Azubiuser aus der einen Gruppe entfernt und in andere hinzufügt, um nicht jedes mal hunderte von Menüs durchzuklicken (Ja, ok sooo viel ist es jetzt auch nicht, also es ist auch net so wild das von Hand zu machen wenn es nicht zu viele User auf einmal sind).
Greetz Diskilla
wir machen das genauso wie bei Timo. Ich hab mir dafür mittlerweile diverse Scripte geschrieben, die die Azubiuser aus der einen Gruppe entfernt und in andere hinzufügt, um nicht jedes mal hunderte von Menüs durchzuklicken (Ja, ok sooo viel ist es jetzt auch nicht, also es ist auch net so wild das von Hand zu machen wenn es nicht zu viele User auf einmal sind).
Greetz Diskilla
Hi,
abgesehen vom Aufwand ist ein weiteres Problem das Du das Script an die Anmeldung des Nutzers hängen müsstest.
Das bedeutet aber das der Nutzer erst nach der Domänenanmeldung den Gruppen zugewiesen wird und das wiederum heisst das die Berechtigungen der Gruppen noch nicht gültig sind, weil das Sicherheitsticket für die Domäne bereits gesetzt wurde.
Ergo muss sich der Nutzer nach der Anmeldung wieder neu anmelden damit die Rechte ziehen könnten. Wenn Du jetzt bei dieser "gezwungen" Abmeldung die Rechte wieder entziehst und bei der Neuanmeldung neu setzt könntest Du Dich sogar in eine "Schleife" programmieren bei der Nutzer die Rechte nie tatsächlich wirksam hat.
Falls ich Recht habe ist der ganze Aufwand sogar völlig umsonst.
Mach's wie die Kollegen und scripte lieber den Aufwand den Du durch die Änderungen hast.
Gruss,
Destry
abgesehen vom Aufwand ist ein weiteres Problem das Du das Script an die Anmeldung des Nutzers hängen müsstest.
Das bedeutet aber das der Nutzer erst nach der Domänenanmeldung den Gruppen zugewiesen wird und das wiederum heisst das die Berechtigungen der Gruppen noch nicht gültig sind, weil das Sicherheitsticket für die Domäne bereits gesetzt wurde.
Ergo muss sich der Nutzer nach der Anmeldung wieder neu anmelden damit die Rechte ziehen könnten. Wenn Du jetzt bei dieser "gezwungen" Abmeldung die Rechte wieder entziehst und bei der Neuanmeldung neu setzt könntest Du Dich sogar in eine "Schleife" programmieren bei der Nutzer die Rechte nie tatsächlich wirksam hat.
Falls ich Recht habe ist der ganze Aufwand sogar völlig umsonst.
Mach's wie die Kollegen und scripte lieber den Aufwand den Du durch die Änderungen hast.
Gruss,
Destry