lem0nf0x
Goto Top

GPO: Lokal Anmelden verbieten?

Hallo erstmal.

Folgende Umgebung:
- Domäne Mit DC Win Server 2016
- Clients Win 10 Pro

Wir haben das Problem, dass manche User Systeme einfach austauschen, auch Abteilungsübergreifend. Das liegt an „unterschiedlicher“ Performance (subjektiv, da selbe Hardware und Software) der Systeme. Um das zu unterbinden, wollen wir via GPO über den DC für bestimmte User bestimmte Systeme für die Anmeldung freigeben und alle anderen verbieten.

Beispiel: Wir haben User A, B, C, D und E sowie die Systeme 1, 2, 3, 4 und 5. jetzt möchte ich, dass User A mit System 1 und 4 arbeiten kann, mit allen anderen nicht. User B soll mit System 5 arbeiten, mit allen anderen nicht. User C, D und E sollen nur an System 2 und 3 arbeiten.

Da wir aktuell alles über die GPOs abgebildet haben, möchten wir jetzt keine Scripte zur Verwendung bringen oder mehr als 400 User direkt im AD pflegen, heißt wir benötigen die Richtlinien Lokales anmelden erlauben und Lokales anmelden verbieten.

Wir haben entsprechende Sicherheitsgruppen angelegt für die User, sowie für die Clients. Zudem haben wir Richtlinien erstellt und die entsprechenden Sicherheitsgruppen hinterlegt. Jetzt habe ich das Problem, dass die Policy schlicht und ergreifen nicht funktioniert. Egal was ich meiner GPO sage, jeder User darf sich an jedem System anmelden. Laut Google sollte das Problemlos möglich sein. Zu meinem Problem habe ich lediglich gelesen, dass bis Server 2008 R2 diese Richtliene wohl nur gegriffen hat, wenn sie in der Default Policy hinterlegt wird. Das würde uns nicht betreffen, daher frage ich mich ob wir hier was falsch machen oder etwas nicht beachten?

Wir haben zum Testen ein System hergenommen und am lokalen Gerät in der Lokalen Benutzergruppe die Domänen-Benutzer entfernt, dennoch konnten sich alle anmelden. Ich bin etwas ratlos und hoffe auf den passenden Denkanstoß. Vielen Dank im Voraus

Content-ID: 4951702079

Url: https://administrator.de/contentid/4951702079

Ausgedruckt am: 23.11.2024 um 14:11 Uhr

Xaero1982
Xaero1982 13.12.2022 um 21:10:59 Uhr
Goto Top
wobit94
wobit94 13.12.2022 um 22:27:10 Uhr
Goto Top
Per System Preferences sollte das imho möglich sein..
Lem0nf0x
Lem0nf0x 13.12.2022 um 23:36:34 Uhr
Goto Top
Nach dem Blacklisting Whitelisting Prinzip habe ich gearbeitet. Es soll per GPO abzubilden sein, Skripte sind unerwünscht. Leider funktioniert genau dieses beschriebene Verfahren bei mir nicht
Lem0nf0x
Lem0nf0x 13.12.2022 um 23:37:29 Uhr
Goto Top
Der Meinung bin ich auch, leider greift meine GPO nicht
maretz
maretz 14.12.2022 um 06:46:05 Uhr
Goto Top
Moin,

das heisst die tragen wirklich die physischen Rechner durch die Gegend? Ganz davon abgesehen das ich einfach das Gehäuse unter Spannung setzen würde (nur ob der BR zustimmt ist fraglich) würde ich einfach am Netzwerk ne MAC-Sperre einrichten. Einfach das limit auf 1 MAC setzen und die Haltezeit auf ne Woche...

Und generell würde ich das ganze dann eher auf Leitungsebene ansprechen das Hardware nicht verändert wird (im Zweifel ist nen Kensington-Schloss dein Freund - ist aber eigentlich traurig wenn man sowas in nem Office benötigt) da du ein menschliches Problem eher nicht technisch lösen wirst.

Sofern die Hardware an Ort und Stelle bleibt sollte es der IT ja ziemlich egal sein wer wo arbeitet, auch dies ist dann ein Problem der jeweiligen Abteilungsleiter. Wenn die ihre Leute nicht am Platz halten können (oder wollen - shared office ist ja durchaus auch eine Möglichkeit) ist es ja nicht ein IT-Problem sondern ein Problem des Abteilungsleiters...
departure69
departure69 14.12.2022 aktualisiert um 07:40:28 Uhr
Goto Top
@Lem0nf0x:

Hallo.

Was ein Aufwand. Ich schließe mich @maretz an. Ich würde das schlichtweg verbieten (lassen). Dabei Führungskräfte mit in's Boot holen.

Was trotzdem wundert: Finden die denn auf jeder Kiste gleichsam auch die (Fach)Software vor, die sie brauchen? Bei uns (allerdings kleine Hütte) ginge das gar nicht, jeder PC ist unterschiedlich installiert.

Bei uns würde auch die ganze Inventarisierung (Hostname zu Seriennummer zu Raum-/Büronummer) nicht mehr stimmen nach solchen Aktionen.

Und wenn ein Verbot keine Früchte trägt, würde ich, wie ebenfalls von @maretz vorgeschlagen, MAC-basierte Portsicherheit einführen. Die würden schön blöd aussehen ohne Netzwerkverbindung. Und beim Helpdesk-Anruf kannst Du dann süffisant fragen, ob der Rechner von einem anderen Platz stammt und WARUM. Da werden dann schon Behauptungen kommen wie "ja, weil der schneller geht". Aber das kannst Du ja anhand der technischen Daten entkräften, bei gleicher Hardware sollten keine Performanceunterschiede spürbar, sondern allenfalls eingebildet sein.

Hinzu kommt der DAU-Jones-Faktor, daß (ab und zu mal) schlechtere Internetperformance nicht selten dem Rechner angelastet wird ("der geht aber langsam heute"- wenn sich Internetseiten mal nicht so schnell wie gewohnt aufbauen, so behaupten das zumindest unsere Leute hin und wieder, daß das dann am Rechner läge). Ebenso legendär: "Macht Ihr grad' was?"

So oder so, bleib' Herr des Verfahrens, Du bist die IT!


Viele Grüße

von

departure69
maretz
maretz 14.12.2022 um 07:47:10 Uhr
Goto Top
Aber das kannst Du ja anhand der technischen Daten entkräften, bei gleicher Hardware sollten keine Performanceunterschiede spürbar, sondern allenfalls eingebildet sein.


Naja - natürlich ist es möglich das da unterschiede sind... Denn wenn da generell die "Bewegung" relativ frei ist dann kann man natürlich annehmen das div. Einstellungen auch "frei" sind. Und dann gibts natürlich grosse Unterschiede - die nicht nur gefühlt sind. Man kann ja zB. einfach mal die Mausgeschwindigkeit auf "minimal" und auf "maximal" setzen und vergleichen wie lang man für eine Aktion benötigt... Und da ja gerne jeder seinen Rechner so anpasst wie zuhause die Wohnzimmertapete sind da durchaus Unterschiede zu erwarten...
Doskias
Doskias 14.12.2022 um 09:10:08 Uhr
Goto Top
Moin

Zitat von @Lem0nf0x:
Da wir aktuell alles über die GPOs abgebildet haben, möchten wir jetzt keine Scripte zur Verwendung bringen oder mehr als 400 User direkt im AD pflegen, heißt wir benötigen die Richtlinien Lokales anmelden erlauben und Lokales anmelden verbieten.
Warum steuert ihr das ganze nicht (wirklich) einfach über den DC. Bei jedem User gibt es eine Anmeldeoption, bei der du den DNS-Namen des Gerätes eintragen musst an dem er sich anmelden kann. Das musst du einmalig bei deinen Usern hinterlegen. Es ist jetzt zwar einmalig für 400 User etwas Arbeit, aber bei neuen Usern sind das ein paar Klicks mehr. Wir machen das so und es gibt für die User keinen Weg drum herum. Dafür brauchst du kein Skript. Wenn du das für 400 User nicht machen willst, weil es dir zuviel Arbeit ist...

Wir haben entsprechende Sicherheitsgruppen angelegt für die User, sowie für die Clients. Zudem haben wir Richtlinien erstellt und die entsprechenden Sicherheitsgruppen hinterlegt.
Du hast doch schon eine Zuordnung zwischen User und Geräten. Lese die Sicherheitsgruppen via PowerShell aus und lass Powershell die Zuordnung im AD vornehmen.

So hast du eine Kontrolle übers AD, kein Skript bei den Usern, keine Eingriff am PC, deine Service-Accounts sind davon ausgenommen (weil du dort einfach weiterhin jeden Computer erlaubst) und die User können nicht ausbrechen.

Darüber hinaus würde ich dir bei dir dringend zu Mac-basierter Portüberwachung raten. Bei uns ist es so, dass wir die Geräte einmalig freigeben, die User aber den Rechner durchaus mal selbst umbaue und verstellen dürfen. Das sollen sie aber nur nach Rücksprache mit mir machen und es klappt. So oder so: Wenn ein Rechner woanders eingesteckt wird, gibt es eine Mail. Weiß ich davon nichts, dauerts keine 2 Minuten bis ich den Anwender am Telefon habe und mich erkundige wieso der Rechner ohne Info umgestellt wurde.

Gruß
Doskias
Lem0nf0x
Lem0nf0x 14.12.2022 um 13:25:47 Uhr
Goto Top
Wir haben ein generalisiertes Image erstellt, somit sind tatsächlich sämtliche Geräte identisch.

Inventarisierung ist ebenfalls ein Problem, wir erhalten Helpdeskanfragen, wo man hin und wieder vor Ort ans System muss und dann wundert man sich, wenn man in einem leeren Raum steht, bzw vor einem System was keine Mängel ausweist. Man findet ja recht zügig heraus, dass es sich nicht um den richtigen Rechner handelt, aber bis man den korrekten gefunden hat ….
Lem0nf0x
Lem0nf0x 14.12.2022 um 13:27:08 Uhr
Goto Top
Idee war, neue User einfach in die entsprechende Sicherheitsgruppen zu packen und fertig. Will ja nicht jeden User händisch nachpflegen oder Skripte laufen lassen. Langfristig muss es meine Lösung gut zu handhaben sein.
Doskias
Doskias 14.12.2022 um 13:46:21 Uhr
Goto Top
Zitat von @Lem0nf0x:
Idee war, neue User einfach in die entsprechende Sicherheitsgruppen zu packen und fertig. Will ja nicht jeden User händisch nachpflegen oder Skripte laufen lassen. Langfristig muss es meine Lösung gut zu handhaben sein.

Kannst du ja auch weiterhin machen. Du kannst ja das PS-Skript einfach alle 5 Minuten ausführen. Dann pflegst du weiterhin deine Sicherheitsgruppen und das Skript prüft ob jemand in der entsprechende Gruppe ist und fügt den Rechner, dann beim entsprechenden User hinzu, bzw. prüft ob der beim User eingetragene Rechner mit dem User in der Sicherheitsgruppe liegt.

Aber zurück zu deinem Thema: Wenn du lokal anmelden und verweigern in den Sicherheitseinstellungen richtig verwendet hast, dann sollte da ja irgendwas gehen. face-wink

Ich weiß jetzt nicht wie viele GPOs du dafür gebaut hast, aber du musst ja für jeden Rechner dann definieren, wer sich anmelden darf und wer nicht. Das heißt du brauchst ja mehr als eine GPO und für jeden Rechner auch eine eigene Sicherheitsgruppe.

Zitat von @Lem0nf0x:
Beispiel: Wir haben User A, B, C, D und E sowie die Systeme 1, 2, 3, 4 und 5. jetzt möchte ich, dass User A mit System 1 und 4 arbeiten kann, mit allen anderen nicht. User B soll mit System 5 arbeiten, mit allen anderen nicht. User C, D und E sollen nur an System 2 und 3 arbeiten.

In dem Fall reichen 3 Gruppen aus. Aber was ist mit User F, der sich nur an 2 anmelden soll und User G, der sich nur an 3 anmelden soll. Also wenn du das Design so aufbaust, dann denk an die Zukunft. Nicht, dass du dann nur noch am Gruppen neu anlegen bist.

So dann weiter: In deinem Fall brauchst du ja 3 GPOs. Eine die die Sicherheitseinstellung für System 1&4, eine für 5, eine für 2&3 setzt, da da ja verschiedenen Sicherheitsgruppen hinterlegt werden müssen. Also 3 GPOs, wo jeweils die Rechner per Geräte-Gruppe zugeordnet werden und in der GPO-Konfiguration in der Zuweisung die eine Gruppe bei lokal Anmelden erlauben hinzugefügt wird und alle anderen Gruppen bei lokal Anmelden verweigern abgelehnt wird. In keiner der Gruppen darf jeder oder authentifizierter Benutzer, etc. stehen. Vergiss beim Anmelden den Administrator nicht face-wink
Wie du die GPO nun auf dem entsprechenden Rechner ausführst, gibt es 2 Optionen. Sicherheitsfilter mit authentifiziertem User und einen WMI-Filter für die entsprechenden Geräte oder die authentifizierten User im Sicherheitsfilter rauswerfen, die Computer-Gerätegruppe hier hinzufügen und (nicht vergessen) in der Delegierung die "authentifizierten Benutzer" mit leserechten wieder hinzufügen.

Dann hast du kein Skript, aber ich denke wirklich übersichtlicher wird es dadurch nicht.

Gruß
Doskias
maretz
maretz 16.12.2022 um 07:32:42 Uhr
Goto Top
Zitat von @Lem0nf0x:

Wir haben ein generalisiertes Image erstellt, somit sind tatsächlich sämtliche Geräte identisch.

Inventarisierung ist ebenfalls ein Problem, wir erhalten Helpdeskanfragen, wo man hin und wieder vor Ort ans System muss und dann wundert man sich, wenn man in einem leeren Raum steht, bzw vor einem System was keine Mängel ausweist. Man findet ja recht zügig heraus, dass es sich nicht um den richtigen Rechner handelt, aber bis man den korrekten gefunden hat ….

Nun - in dem Fall würde ich wirklich bei gehen und einfach alle Netzwerk-Ports die ungenutzt sind auf "SHUT" stellen (falls jemand fragt natürlich zur Sicherheit damit nich jemand einfach seinen privaten Rechner da anklemmt). Dazu nen Mac-Filter und das Thema ist durch - und jede Anfrage die kommt freundlich beantworten das bitte eben ein entsprechendes Ticket geöffnet wird und man dieses bitte mit 1-2 Tagen Vorlauf braucht... Das ist nichts was völlig unverständlich ist (1 Tag Vorlauf ist jetzt glaub ich keine grosse Sache) und sorgt dafür das sich die Probleme von allein erledigen... Wenn die ersten Tage die PCs eben wieder zurückgetragen werden müssen spricht sich das schon schnell rum. Solang die IT da geschlossen zusammenarbeitet (und nich Kollege X sagt "ach, den kenn ich, das mach ich schnell weil der is ja wichtig...") passt das :D