flenn90
Goto Top

Globale Domaingruppe mit lokalen administrativen Rechten (Ohne Anmelderechte auf Client und Server)

Hallo,

ich habe eine globale Gruppe erstellt mit lokalen Administratorenrechten. Ist es möglich dieser Gruppe die Anmeldung zu verbieten und diese dennoch in der UAC als gülitg zu hinterlegen, ohne sie jedem Client extra hinzuzufügen?

Mein erster Lösungsansatz war über die Gruppenrichtlinienverwaltung bei Locale Richtilinien die Anmeldung verweigern. Leider wurde damit auch die UAC-Anmeldung verweigert. Ich möchte nur die Windowsanmeldung auf Client und Server blocken.

Bin für Vorschläge dankbar.

vG

Content-ID: 248282

Url: https://administrator.de/forum/globale-domaingruppe-mit-lokalen-administrativen-rechten-ohne-anmelderechte-auf-client-und-server-248282.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

DerWoWusste
DerWoWusste 04.09.2014 um 17:29:48 Uhr
Goto Top
Hi.

Zunächst: "hinterlegen" kann man bei der UAC nichts. Du verbietest mit "lokale Anmeldung verweigern" den Anmeldetyp "Netzwerkanmeldung", was sowohl interaktive Logons an der Anmeldemaske sind, als auch Logons über UAC-prompts. Geht nicht.

Was willst Du denn erreichen, ich bin mir sicher, dass das eh keine sichere Vorgehensweise wäre.
Flenn90
Flenn90 05.09.2014 um 08:23:58 Uhr
Goto Top
Hi DerWoWusste,

es geht darum den Usern temporär Lokale Adminrechte zur Verfügung zu stellen. Grundidee war eine Gruppe mit Accounts die vom Servicedesk im AD mit einem Kennwort vershene werden und einem Ablaufdatum. Diese dann an den Nutzer weitergeleitet werden und er für ein paar Stunden die Rechte hat.

Mit diesem Account soll die Anmeldung an Clients (Physisch) und Serven verboten sein.
DerWoWusste
DerWoWusste 05.09.2014 um 08:29:21 Uhr
Goto Top
Wie gesagt: das geht nicht.
Flenn90
Flenn90 05.09.2014 um 10:42:15 Uhr
Goto Top
Also zur Inof es funktioniert über restricted groups und local policies.
DerWoWusste
DerWoWusste 05.09.2014 um 10:53:47 Uhr
Goto Top
Dann erklär bitte, wie, ich bin mir sicher, dass Du etwas missverstehst.