itsjokaful
Goto Top

GPO - Nur lokale Benutzerprofile zulassen

Servus,

ich hätte eine Frage bzgl. der GPO

aktuell läuft es bei uns so ab:
Wenn ein Mitarbeiter an einem PC arbeiten möchte, fügen wir diesen unter Systemsteuerung --> Benutzerkonten hinzu.
2020-08-24-10-08-19
Jeder Benutzer bekommt dort die Gruppe: Administratoren.

Nun möchte ich einstellen dass der Benutzer sich an den PC's nur anmelden kann wenn er unter "Benutzerkonten" hinzugefügt wurde.

In den GPO's habe ich dazu folgendes gefunden:
2020-08-24-10-10-46

Nachdem ich dies dann getestet hatte, hat dies auch für ein bis zwei Tage funktioniert.
Jetzt funktioniert es leider nicht mehr.

An was könnte dies liegen?

Mit freundlichen Grüßen
Joshua

Content-ID: 598855

Url: https://administrator.de/forum/gpo-nur-lokale-benutzerprofile-zulassen-598855.html

Ausgedruckt am: 26.12.2024 um 17:12 Uhr

killtec
Lösung killtec 24.08.2020 um 10:33:58 Uhr
Goto Top
HI,
sind die PC's alle in einer Domäne?
Da gibt es doch besser Möglichkeiten das zu realisieren als an jedem PC einzeln. Stichwort "Anmelden An..." im AD.
Auch das mit den lokalen Administratoren kann man schön über die GPO lösen.

Erklär mal bitte dein Setup etwas genauer.

Gruß
ItsJokaful
ItsJokaful 24.08.2020 aktualisiert um 10:40:15 Uhr
Goto Top
Zitat von @killtec:

HI,
sind die PC's alle in einer Domäne?
Da gibt es doch besser Möglichkeiten das zu realisieren als an jedem PC einzeln. Stichwort "Anmelden An..." im AD.
Auch das mit den lokalen Administratoren kann man schön über die GPO lösen.

Erklär mal bitte dein Setup etwas genauer.

Gruß

Servus,
ja alle PC's sind in der Domäne.

Das mit dem "Anmelden An" schaue ich mir gleich an, danke.

Was möchtest denn wissen über unser "Setup"?
killtec
killtec 24.08.2020 um 11:39:17 Uhr
Goto Top
HI,
ja, das mit der Domain war schon ganz wichtig. Welche Server / Clients setzt du ein?
Du kannst auch Gruppen für Admins erstellen und diese per GPO verteilen.

Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.

Gruß
Dr.Bit
Dr.Bit 24.08.2020 um 11:46:52 Uhr
Goto Top
Zitat von @ItsJokaful:

Servus,

ich hätte eine Frage bzgl. der GPO

aktuell läuft es bei uns so ab:
Wenn ein Mitarbeiter an einem PC arbeiten möchte, fügen wir diesen unter Systemsteuerung --> Benutzerkonten hinzu.
2020-08-24-10-08-19
Jeder Benutzer bekommt dort die Gruppe: Administratoren.
Watt? Ihr fügt jedesmal, wenn sich ein Benutzer an einem Rechner anmelden soll, den Benutzer von Hand hinzu? Nur damit er in der Gruppe Adminstratoren ist?
Oder sollen sich die Benutzer nur anmelden können, wenn sie direkt an dem Rechner hinzufügt wurden und sich nicht als Domänennbenutzer anmelden können?
Da kannst Du die GPO schön ausreizen, kann mann alles einstellen. Die Frage ist, wie sinnig das ist. Es ist IMHO doch völlig unwichtig an welchem Rechner sich jemand anmeldet, solange er keinen Arbeitsplatz blockiert und keinen Zugriff auf Daten hat, die er nicht sehen soll. Selbst wenn er sich an den Rechner vom Chef setzt, auch als lokaler Admin, kommt er nicht an die Daten ran, wenn diese, so wie es sein sollte, auf einem (File-) Server liegen.

🖖

🖖
Doskias
Doskias 24.08.2020 um 12:39:52 Uhr
Goto Top
Hallo Dr. Bit

Zitat von @Dr.Bit:
Die Frage ist, wie sinnig das ist. Es ist IMHO doch völlig unwichtig an welchem Rechner sich jemand anmeldet, solange er keinen Arbeitsplatz blockiert und keinen Zugriff auf Daten hat, die er nicht sehen soll. Selbst wenn er sich an den Rechner vom Chef setzt, auch als lokaler Admin, kommt er nicht an die Daten ran, wenn diese, so wie es sein sollte, auf einem (File-) Server liegen.

Da widerspreche ich: Völlig unwichtig ist es nicht. Wir nutzen die "Anmelden an" Funktion ebenfalls. Der Grund dafür liegt bei uns in einer heterogenen Clientumgebung mit Windows 8 und Windows 10 in Kombination mit Roaming Profilen. Wir wollen nicht die unterschiedlichen Profilversionen haben, wo wir grade auf Ordnerumleitungen umstellen face-smile

Außerdem gibt es auch noch eine GPO die bei uns USB-Laufwerke sperrt. Diese Sperre wird unter Computerkonfiguration gesetzt. Einige ausgewählte Rechner haben allerdings Rechte die USB-Laufwerke zu nutzen. An den Rechnern sollen sich auch die "normalen" Nutzer nicht anmelden können.

Es gibt also durchaus sinnvolle Anwendungsgebiete für die "Anmelden an" Funktion.

Gruß
Doskias
Dr.Bit
Dr.Bit 24.08.2020 um 12:58:18 Uhr
Goto Top
Zitat von @Doskias:

Hallo Dr. Bit

Zitat von @Dr.Bit:
Die Frage ist, wie sinnig das ist. Es ist IMHO doch völlig unwichtig an welchem Rechner sich jemand anmeldet, solange er keinen Arbeitsplatz blockiert und keinen Zugriff auf Daten hat, die er nicht sehen soll. Selbst wenn er sich an den Rechner vom Chef setzt, auch als lokaler Admin, kommt er nicht an die Daten ran, wenn diese, so wie es sein sollte, auf einem (File-) Server liegen.

Da widerspreche ich: Völlig unwichtig ist es nicht. Wir nutzen die "Anmelden an" Funktion ebenfalls. Der Grund dafür liegt bei uns in einer heterogenen Clientumgebung mit Windows 8 und Windows 10 in Kombination mit Roaming Profilen. Wir wollen nicht die unterschiedlichen Profilversionen haben, wo wir grade auf Ordnerumleitungen umstellen face-smile

Außerdem gibt es auch noch eine GPO die bei uns USB-Laufwerke sperrt. Diese Sperre wird unter Computerkonfiguration gesetzt. Einige ausgewählte Rechner haben allerdings Rechte die USB-Laufwerke zu nutzen. An den Rechnern sollen sich auch die "normalen" Nutzer nicht anmelden können.

Es gibt also durchaus sinnvolle Anwendungsgebiete für die "Anmelden an" Funktion.

Gruß
Doskias

Überzeugt. face-smile Gute Punkte, hatte ich überhaupt nicht auf der Pfanne.

🖖
ItsJokaful
ItsJokaful 24.08.2020 um 13:26:15 Uhr
Goto Top
Zitat von @killtec:

HI,
ja, das mit der Domain war schon ganz wichtig. Welche Server / Clients setzt du ein?
Du kannst auch Gruppen für Admins erstellen und diese per GPO verteilen.

Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.

Gruß

Servus,

Ein paar Windows Server von 2012 - 2019
Clients nur W10

Das mit dem Anmelden An ist ein guter Ansatz für uns.

Zitat von @killtec:
Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.
Können dann Benutzer trotzdem noch Sachen auf dem Desktop speichern? Oder verschwinden die nach dem Abmelden?
Dr.Bit
Dr.Bit 24.08.2020 um 13:30:34 Uhr
Goto Top
Zitat von @ItsJokaful:

Zitat von @killtec:

HI,
ja, das mit der Domain war schon ganz wichtig. Welche Server / Clients setzt du ein?
Du kannst auch Gruppen für Admins erstellen und diese per GPO verteilen.

Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.

Gruß

Servus,

Ein paar Windows Server von 2012 - 2019
Clients nur W10

Das mit dem Anmelden An ist ein guter Ansatz für uns.

Zitat von @killtec:
Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.
Können dann Benutzer trotzdem noch Sachen auf dem Desktop speichern? Oder verschwinden die nach dem Abmelden?
Wenn es servergespeicherte Profile sind, werden die Dateien im Userverzeichnis auf dem Server abgelegt.

🖖
ItsJokaful
ItsJokaful 24.08.2020 aktualisiert um 13:36:48 Uhr
Goto Top
Zitat von @Dr.Bit:

Wenn es servergespeicherte Profile sind, werden die Dateien im Userverzeichnis auf dem Server abgelegt.

🖖

Haben wir nicht, wäre denke ich auch nicht sinnvoll bei 250+ Mitarbeitern? 🤔
Die Mitarbeiter bei uns rotieren zwischen einigen plätzen.

Wir haben einen Fileserver für die Benutzer, wo sie ihre Daten speichern können. Ein paar Daten werden aber auch auf dem Desktop gespeichert. (Nicht so wichtige Daten)
Dr.Bit
Dr.Bit 24.08.2020 um 13:41:48 Uhr
Goto Top
Na, gerade bei rotierenden Mitarbeitern ergibt das Sinn. Dann ist es egal, an welchem Arbeitsplatz die sich anmelden, die haben immer ihren Desktop, mit den darauf liegenden Verknüpfungen und Dateien und ihre eigenen Dateien sind dann auch immer verfügbar.

🖖
ItsJokaful
ItsJokaful 24.08.2020 um 13:43:23 Uhr
Goto Top
Auch bei einer Größe von 250 Mitarbeitern?
Dr.Bit
Dr.Bit 24.08.2020 um 13:47:44 Uhr
Goto Top
Kommt drauf an, wieviel die speichern und wie groß die Festplatten auf dem Fileserver sind. Das wird nur durch den verfügbaren Speicherplatz auf dem Server begrenzt.

🖖
ItsJokaful
ItsJokaful 24.08.2020 um 13:52:40 Uhr
Goto Top
Ok muss ich mal in der Abteilung ansprechen.
Danke an alle.

Ich verfolge jtz erstmal diese Lösung:


Zitat von @killtec:

HI,
sind die PC's alle in einer Domäne?
Da gibt es doch besser Möglichkeiten das zu realisieren als an jedem PC einzeln. Stichwort "Anmelden An..." im AD.
Auch das mit den lokalen Administratoren kann man schön über die GPO lösen.

Erklär mal bitte dein Setup etwas genauer.

Gruß
bitnarrator
bitnarrator 25.08.2020 um 07:57:21 Uhr
Goto Top
Ich hoffe, da sitzen Leute, die eine IT-Ausbildung haben, denn sorry, aber sowas gehört zum Standardwissen.

Grade bei Umgebungen mit 250+ User sollte man über ein vernünftiges Berechtigungskonzept übers AD nachdenken, denn wenn ein User lokale Adminrechte bekommt und sich einen Virus einfängt, kann das ganz schnell euer ganzes System lahmlegen (Siehe Kammergericht Berlin).

Und das AD ist ja grade dazu da, solche Sachen zu vereinfachen.... Das was ihr macht ist Turnschuhadministration.

Mfg
DWF2