14
GPO - Nur lokale Benutzerprofile zulassen
Servus,
ich hätte eine Frage bzgl. der GPO
aktuell läuft es bei uns so ab:
Wenn ein Mitarbeiter an einem PC arbeiten möchte, fügen wir diesen unter Systemsteuerung --> Benutzerkonten hinzu.
Jeder Benutzer bekommt dort die Gruppe: Administratoren.
Nun möchte ich einstellen dass der Benutzer sich an den PC's nur anmelden kann wenn er unter "Benutzerkonten" hinzugefügt wurde.
In den GPO's habe ich dazu folgendes gefunden:
Nachdem ich dies dann getestet hatte, hat dies auch für ein bis zwei Tage funktioniert.
Jetzt funktioniert es leider nicht mehr.
An was könnte dies liegen?
Mit freundlichen Grüßen
Joshua
ich hätte eine Frage bzgl. der GPO
aktuell läuft es bei uns so ab:
Wenn ein Mitarbeiter an einem PC arbeiten möchte, fügen wir diesen unter Systemsteuerung --> Benutzerkonten hinzu.
Nun möchte ich einstellen dass der Benutzer sich an den PC's nur anmelden kann wenn er unter "Benutzerkonten" hinzugefügt wurde.
In den GPO's habe ich dazu folgendes gefunden:
Nachdem ich dies dann getestet hatte, hat dies auch für ein bis zwei Tage funktioniert.
Jetzt funktioniert es leider nicht mehr.
An was könnte dies liegen?
Mit freundlichen Grüßen
Joshua
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 598855
Url: https://administrator.de/contentid/598855
Printed on: April 26, 2024 at 17:04 o'clock
14 Comments
Latest comment
HI,
sind die PC's alle in einer Domäne?
Da gibt es doch besser Möglichkeiten das zu realisieren als an jedem PC einzeln. Stichwort "Anmelden An..." im AD.
Auch das mit den lokalen Administratoren kann man schön über die GPO lösen.
Erklär mal bitte dein Setup etwas genauer.
Gruß
sind die PC's alle in einer Domäne?
Da gibt es doch besser Möglichkeiten das zu realisieren als an jedem PC einzeln. Stichwort "Anmelden An..." im AD.
Auch das mit den lokalen Administratoren kann man schön über die GPO lösen.
Erklär mal bitte dein Setup etwas genauer.
Gruß
Zitat von @killtec:
HI,
sind die PC's alle in einer Domäne?
Da gibt es doch besser Möglichkeiten das zu realisieren als an jedem PC einzeln. Stichwort "Anmelden An..." im AD.
Auch das mit den lokalen Administratoren kann man schön über die GPO lösen.
Erklär mal bitte dein Setup etwas genauer.
Gruß
HI,
sind die PC's alle in einer Domäne?
Da gibt es doch besser Möglichkeiten das zu realisieren als an jedem PC einzeln. Stichwort "Anmelden An..." im AD.
Auch das mit den lokalen Administratoren kann man schön über die GPO lösen.
Erklär mal bitte dein Setup etwas genauer.
Gruß
Servus,
ja alle PC's sind in der Domäne.
Das mit dem "Anmelden An" schaue ich mir gleich an, danke.
Was möchtest denn wissen über unser "Setup"?
HI,
ja, das mit der Domain war schon ganz wichtig. Welche Server / Clients setzt du ein?
Du kannst auch Gruppen für Admins erstellen und diese per GPO verteilen.
Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.
Gruß
ja, das mit der Domain war schon ganz wichtig. Welche Server / Clients setzt du ein?
Du kannst auch Gruppen für Admins erstellen und diese per GPO verteilen.
Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.
Gruß
Zitat von @ItsJokaful:
Servus,
ich hätte eine Frage bzgl. der GPO
aktuell läuft es bei uns so ab:
Wenn ein Mitarbeiter an einem PC arbeiten möchte, fügen wir diesen unter Systemsteuerung --> Benutzerkonten hinzu.
Jeder Benutzer bekommt dort die Gruppe: Administratoren.
Watt? Ihr fügt jedesmal, wenn sich ein Benutzer an einem Rechner anmelden soll, den Benutzer von Hand hinzu? Nur damit er in der Gruppe Adminstratoren ist?Servus,
ich hätte eine Frage bzgl. der GPO
aktuell läuft es bei uns so ab:
Wenn ein Mitarbeiter an einem PC arbeiten möchte, fügen wir diesen unter Systemsteuerung --> Benutzerkonten hinzu.
Oder sollen sich die Benutzer nur anmelden können, wenn sie direkt an dem Rechner hinzufügt wurden und sich nicht als Domänennbenutzer anmelden können?
Da kannst Du die GPO schön ausreizen, kann mann alles einstellen. Die Frage ist, wie sinnig das ist. Es ist IMHO doch völlig unwichtig an welchem Rechner sich jemand anmeldet, solange er keinen Arbeitsplatz blockiert und keinen Zugriff auf Daten hat, die er nicht sehen soll. Selbst wenn er sich an den Rechner vom Chef setzt, auch als lokaler Admin, kommt er nicht an die Daten ran, wenn diese, so wie es sein sollte, auf einem (File-) Server liegen.
🖖
🖖
Hallo Dr. Bit
Da widerspreche ich: Völlig unwichtig ist es nicht. Wir nutzen die "Anmelden an" Funktion ebenfalls. Der Grund dafür liegt bei uns in einer heterogenen Clientumgebung mit Windows 8 und Windows 10 in Kombination mit Roaming Profilen. Wir wollen nicht die unterschiedlichen Profilversionen haben, wo wir grade auf Ordnerumleitungen umstellen
Außerdem gibt es auch noch eine GPO die bei uns USB-Laufwerke sperrt. Diese Sperre wird unter Computerkonfiguration gesetzt. Einige ausgewählte Rechner haben allerdings Rechte die USB-Laufwerke zu nutzen. An den Rechnern sollen sich auch die "normalen" Nutzer nicht anmelden können.
Es gibt also durchaus sinnvolle Anwendungsgebiete für die "Anmelden an" Funktion.
Gruß
Doskias
Zitat von @Dr.Bit:
Die Frage ist, wie sinnig das ist. Es ist IMHO doch völlig unwichtig an welchem Rechner sich jemand anmeldet, solange er keinen Arbeitsplatz blockiert und keinen Zugriff auf Daten hat, die er nicht sehen soll. Selbst wenn er sich an den Rechner vom Chef setzt, auch als lokaler Admin, kommt er nicht an die Daten ran, wenn diese, so wie es sein sollte, auf einem (File-) Server liegen.
Die Frage ist, wie sinnig das ist. Es ist IMHO doch völlig unwichtig an welchem Rechner sich jemand anmeldet, solange er keinen Arbeitsplatz blockiert und keinen Zugriff auf Daten hat, die er nicht sehen soll. Selbst wenn er sich an den Rechner vom Chef setzt, auch als lokaler Admin, kommt er nicht an die Daten ran, wenn diese, so wie es sein sollte, auf einem (File-) Server liegen.
Da widerspreche ich: Völlig unwichtig ist es nicht. Wir nutzen die "Anmelden an" Funktion ebenfalls. Der Grund dafür liegt bei uns in einer heterogenen Clientumgebung mit Windows 8 und Windows 10 in Kombination mit Roaming Profilen. Wir wollen nicht die unterschiedlichen Profilversionen haben, wo wir grade auf Ordnerumleitungen umstellen
Außerdem gibt es auch noch eine GPO die bei uns USB-Laufwerke sperrt. Diese Sperre wird unter Computerkonfiguration gesetzt. Einige ausgewählte Rechner haben allerdings Rechte die USB-Laufwerke zu nutzen. An den Rechnern sollen sich auch die "normalen" Nutzer nicht anmelden können.
Es gibt also durchaus sinnvolle Anwendungsgebiete für die "Anmelden an" Funktion.
Gruß
Doskias
1Zitat von @Doskias:
Hallo Dr. Bit
Da widerspreche ich: Völlig unwichtig ist es nicht. Wir nutzen die "Anmelden an" Funktion ebenfalls. Der Grund dafür liegt bei uns in einer heterogenen Clientumgebung mit Windows 8 und Windows 10 in Kombination mit Roaming Profilen. Wir wollen nicht die unterschiedlichen Profilversionen haben, wo wir grade auf Ordnerumleitungen umstellen
Außerdem gibt es auch noch eine GPO die bei uns USB-Laufwerke sperrt. Diese Sperre wird unter Computerkonfiguration gesetzt. Einige ausgewählte Rechner haben allerdings Rechte die USB-Laufwerke zu nutzen. An den Rechnern sollen sich auch die "normalen" Nutzer nicht anmelden können.
Es gibt also durchaus sinnvolle Anwendungsgebiete für die "Anmelden an" Funktion.
Gruß
Doskias
Hallo Dr. Bit
Zitat von @Dr.Bit:
Die Frage ist, wie sinnig das ist. Es ist IMHO doch völlig unwichtig an welchem Rechner sich jemand anmeldet, solange er keinen Arbeitsplatz blockiert und keinen Zugriff auf Daten hat, die er nicht sehen soll. Selbst wenn er sich an den Rechner vom Chef setzt, auch als lokaler Admin, kommt er nicht an die Daten ran, wenn diese, so wie es sein sollte, auf einem (File-) Server liegen.
Die Frage ist, wie sinnig das ist. Es ist IMHO doch völlig unwichtig an welchem Rechner sich jemand anmeldet, solange er keinen Arbeitsplatz blockiert und keinen Zugriff auf Daten hat, die er nicht sehen soll. Selbst wenn er sich an den Rechner vom Chef setzt, auch als lokaler Admin, kommt er nicht an die Daten ran, wenn diese, so wie es sein sollte, auf einem (File-) Server liegen.
Da widerspreche ich: Völlig unwichtig ist es nicht. Wir nutzen die "Anmelden an" Funktion ebenfalls. Der Grund dafür liegt bei uns in einer heterogenen Clientumgebung mit Windows 8 und Windows 10 in Kombination mit Roaming Profilen. Wir wollen nicht die unterschiedlichen Profilversionen haben, wo wir grade auf Ordnerumleitungen umstellen
Außerdem gibt es auch noch eine GPO die bei uns USB-Laufwerke sperrt. Diese Sperre wird unter Computerkonfiguration gesetzt. Einige ausgewählte Rechner haben allerdings Rechte die USB-Laufwerke zu nutzen. An den Rechnern sollen sich auch die "normalen" Nutzer nicht anmelden können.
Es gibt also durchaus sinnvolle Anwendungsgebiete für die "Anmelden an" Funktion.
Gruß
Doskias
Überzeugt.
Gute Punkte, hatte ich überhaupt nicht auf der Pfanne.🖖
1Zitat von @killtec:
HI,
ja, das mit der Domain war schon ganz wichtig. Welche Server / Clients setzt du ein?
Du kannst auch Gruppen für Admins erstellen und diese per GPO verteilen.
Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.
Gruß
HI,
ja, das mit der Domain war schon ganz wichtig. Welche Server / Clients setzt du ein?
Du kannst auch Gruppen für Admins erstellen und diese per GPO verteilen.
Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.
Gruß
Servus,
Ein paar Windows Server von 2012 - 2019
Clients nur W10
Das mit dem Anmelden An ist ein guter Ansatz für uns.
Zitat von @killtec:
Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.
Können dann Benutzer trotzdem noch Sachen auf dem Desktop speichern? Oder verschwinden die nach dem Abmelden?Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.
Zitat von @ItsJokaful:
Servus,
Ein paar Windows Server von 2012 - 2019
Clients nur W10
Das mit dem Anmelden An ist ein guter Ansatz für uns.
Wenn es servergespeicherte Profile sind, werden die Dateien im Userverzeichnis auf dem Server abgelegt.Zitat von @killtec:
HI,
ja, das mit der Domain war schon ganz wichtig. Welche Server / Clients setzt du ein?
Du kannst auch Gruppen für Admins erstellen und diese per GPO verteilen.
Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.
Gruß
HI,
ja, das mit der Domain war schon ganz wichtig. Welche Server / Clients setzt du ein?
Du kannst auch Gruppen für Admins erstellen und diese per GPO verteilen.
Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.
Gruß
Servus,
Ein paar Windows Server von 2012 - 2019
Clients nur W10
Das mit dem Anmelden An ist ein guter Ansatz für uns.
Zitat von @killtec:
Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.
Können dann Benutzer trotzdem noch Sachen auf dem Desktop speichern? Oder verschwinden die nach dem Abmelden?Somit solltest du dich komplett von lokalen Konten verabschieden und alles auf Domänenkonten setzen.
🖖
Zitat von @Dr.Bit:
Wenn es servergespeicherte Profile sind, werden die Dateien im Userverzeichnis auf dem Server abgelegt.
🖖
Wenn es servergespeicherte Profile sind, werden die Dateien im Userverzeichnis auf dem Server abgelegt.
🖖
Haben wir nicht, wäre denke ich auch nicht sinnvoll bei 250+ Mitarbeitern? 🤔
Die Mitarbeiter bei uns rotieren zwischen einigen plätzen.
Wir haben einen Fileserver für die Benutzer, wo sie ihre Daten speichern können. Ein paar Daten werden aber auch auf dem Desktop gespeichert. (Nicht so wichtige Daten)
Na, gerade bei rotierenden Mitarbeitern ergibt das Sinn. Dann ist es egal, an welchem Arbeitsplatz die sich anmelden, die haben immer ihren Desktop, mit den darauf liegenden Verknüpfungen und Dateien und ihre eigenen Dateien sind dann auch immer verfügbar.
🖖
🖖
Auch bei einer Größe von 250 Mitarbeitern?
Kommt drauf an, wieviel die speichern und wie groß die Festplatten auf dem Fileserver sind. Das wird nur durch den verfügbaren Speicherplatz auf dem Server begrenzt.
🖖
🖖
Ok muss ich mal in der Abteilung ansprechen.
Danke an alle.
Ich verfolge jtz erstmal diese Lösung:
Danke an alle.
Ich verfolge jtz erstmal diese Lösung:
Zitat von @killtec:
HI,
sind die PC's alle in einer Domäne?
Da gibt es doch besser Möglichkeiten das zu realisieren als an jedem PC einzeln. Stichwort "Anmelden An..." im AD.
Auch das mit den lokalen Administratoren kann man schön über die GPO lösen.
Erklär mal bitte dein Setup etwas genauer.
Gruß
HI,
sind die PC's alle in einer Domäne?
Da gibt es doch besser Möglichkeiten das zu realisieren als an jedem PC einzeln. Stichwort "Anmelden An..." im AD.
Auch das mit den lokalen Administratoren kann man schön über die GPO lösen.
Erklär mal bitte dein Setup etwas genauer.
Gruß
Ich hoffe, da sitzen Leute, die eine IT-Ausbildung haben, denn sorry, aber sowas gehört zum Standardwissen.
Grade bei Umgebungen mit 250+ User sollte man über ein vernünftiges Berechtigungskonzept übers AD nachdenken, denn wenn ein User lokale Adminrechte bekommt und sich einen Virus einfängt, kann das ganz schnell euer ganzes System lahmlegen (Siehe Kammergericht Berlin).
Und das AD ist ja grade dazu da, solche Sachen zu vereinfachen.... Das was ihr macht ist Turnschuhadministration.
Mfg
DWF2
Grade bei Umgebungen mit 250+ User sollte man über ein vernünftiges Berechtigungskonzept übers AD nachdenken, denn wenn ein User lokale Adminrechte bekommt und sich einen Virus einfängt, kann das ganz schnell euer ganzes System lahmlegen (Siehe Kammergericht Berlin).
Und das AD ist ja grade dazu da, solche Sachen zu vereinfachen.... Das was ihr macht ist Turnschuhadministration.
Mfg
DWF2