5
Globale Domaingruppe mit lokalen administrativen Rechten (Ohne Anmelderechte auf Client und Server)
Hallo,
ich habe eine globale Gruppe erstellt mit lokalen Administratorenrechten. Ist es möglich dieser Gruppe die Anmeldung zu verbieten und diese dennoch in der UAC als gülitg zu hinterlegen, ohne sie jedem Client extra hinzuzufügen?
Mein erster Lösungsansatz war über die Gruppenrichtlinienverwaltung bei Locale Richtilinien die Anmeldung verweigern. Leider wurde damit auch die UAC-Anmeldung verweigert. Ich möchte nur die Windowsanmeldung auf Client und Server blocken.
Bin für Vorschläge dankbar.
vG
ich habe eine globale Gruppe erstellt mit lokalen Administratorenrechten. Ist es möglich dieser Gruppe die Anmeldung zu verbieten und diese dennoch in der UAC als gülitg zu hinterlegen, ohne sie jedem Client extra hinzuzufügen?
Mein erster Lösungsansatz war über die Gruppenrichtlinienverwaltung bei Locale Richtilinien die Anmeldung verweigern. Leider wurde damit auch die UAC-Anmeldung verweigert. Ich möchte nur die Windowsanmeldung auf Client und Server blocken.
Bin für Vorschläge dankbar.
vG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 248282
Url: https://administrator.de/contentid/248282
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
5 Kommentare
Neuester Kommentar
Hi.
Zunächst: "hinterlegen" kann man bei der UAC nichts. Du verbietest mit "lokale Anmeldung verweigern" den Anmeldetyp "Netzwerkanmeldung", was sowohl interaktive Logons an der Anmeldemaske sind, als auch Logons über UAC-prompts. Geht nicht.
Was willst Du denn erreichen, ich bin mir sicher, dass das eh keine sichere Vorgehensweise wäre.
Zunächst: "hinterlegen" kann man bei der UAC nichts. Du verbietest mit "lokale Anmeldung verweigern" den Anmeldetyp "Netzwerkanmeldung", was sowohl interaktive Logons an der Anmeldemaske sind, als auch Logons über UAC-prompts. Geht nicht.
Was willst Du denn erreichen, ich bin mir sicher, dass das eh keine sichere Vorgehensweise wäre.
Hi DerWoWusste,
es geht darum den Usern temporär Lokale Adminrechte zur Verfügung zu stellen. Grundidee war eine Gruppe mit Accounts die vom Servicedesk im AD mit einem Kennwort vershene werden und einem Ablaufdatum. Diese dann an den Nutzer weitergeleitet werden und er für ein paar Stunden die Rechte hat.
Mit diesem Account soll die Anmeldung an Clients (Physisch) und Serven verboten sein.
es geht darum den Usern temporär Lokale Adminrechte zur Verfügung zu stellen. Grundidee war eine Gruppe mit Accounts die vom Servicedesk im AD mit einem Kennwort vershene werden und einem Ablaufdatum. Diese dann an den Nutzer weitergeleitet werden und er für ein paar Stunden die Rechte hat.
Mit diesem Account soll die Anmeldung an Clients (Physisch) und Serven verboten sein.
Wie gesagt: das geht nicht.
Also zur Inof es funktioniert über restricted groups und local policies.
Dann erklär bitte, wie, ich bin mir sicher, dass Du etwas missverstehst.
