12
GPO Verständnis User bestimmter Pc Logon
Hallo,
Ich habe Problem mit einer GPo, bzw ich verstehe es noch nicht ganz.
Im Active Directory im User, kann ich einstellen, wo der logon gestattet ist, default ist er auf all computer.
Beispiel:
User a darf sich nur auf workstationA anmelden.
Wenn ich dem Use rjetzt nur die Erlaubnis für wokstation A mitgebe, cutte ich ihn anscheinend doch von allen anderen ressourcen, wo er sich authetifizieren muss, andere server, mail usw.
Also ist das logon nicht nur darauf bezogen auf welchen clientpc , sich ein User anmelden darf?
Gibt es eine andere Möglichkeit per gpo zb, nur bestimmte user die Anmeldemöglichkeit auf einem Client zu geben , er aber nicht von allen ressourcen dann abgeschnitten ist , wie im logon attribut im user des ad?
Danke und kommt gut ins Wochenende
Ich habe Problem mit einer GPo, bzw ich verstehe es noch nicht ganz.
Im Active Directory im User, kann ich einstellen, wo der logon gestattet ist, default ist er auf all computer.
Beispiel:
User a darf sich nur auf workstationA anmelden.
Wenn ich dem Use rjetzt nur die Erlaubnis für wokstation A mitgebe, cutte ich ihn anscheinend doch von allen anderen ressourcen, wo er sich authetifizieren muss, andere server, mail usw.
Also ist das logon nicht nur darauf bezogen auf welchen clientpc , sich ein User anmelden darf?
Gibt es eine andere Möglichkeit per gpo zb, nur bestimmte user die Anmeldemöglichkeit auf einem Client zu geben , er aber nicht von allen ressourcen dann abgeschnitten ist , wie im logon attribut im user des ad?
Danke und kommt gut ins Wochenende
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669190
Url: https://administrator.de/contentid/669190
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
so ganz verstehe ich die Frage nicht, wenn er sich nur an einem PC anmelden kann, hat er dennoch alle Rechte die ihm das AD so mitgibt. Er darf nur nicht jeden PC nutzen.
Grüße
so ganz verstehe ich die Frage nicht, wenn er sich nur an einem PC anmelden kann, hat er dennoch alle Rechte die ihm das AD so mitgibt. Er darf nur nicht jeden PC nutzen.
Grüße
Mir ist aufgefallen, das wenn ich Usera zb nur erlaube auf workstationa sich anzumelden,
email login nicht geht, füge ich dann auch den email server mit hinzu , geht es.
Deswegen war die Frage bezogen ob das Attribut wirklich zählt als
A :
Ich darf mich als user nur dort anmelden , was drin steht, aber alle anderen apps/ authentifizierungen zu den server geht weiterhin
oder
B:
ich kann mich anmelden und nur die ressourcen die diese workstation mir gibt benutzten und jegliche andere anmeldung zu servern ist nicht erlaubt.
Wäre B der Fall, wäre die Frage ob es einen anderen weg gibt, eine workstation nur von bestimmten usern benutzen zu lassen ohne zugriff auf andere ressourcen zu kappen.
Danke!
email login nicht geht, füge ich dann auch den email server mit hinzu , geht es.
Deswegen war die Frage bezogen ob das Attribut wirklich zählt als
A :
Ich darf mich als user nur dort anmelden , was drin steht, aber alle anderen apps/ authentifizierungen zu den server geht weiterhin
oder
B:
ich kann mich anmelden und nur die ressourcen die diese workstation mir gibt benutzten und jegliche andere anmeldung zu servern ist nicht erlaubt.
Wäre B der Fall, wäre die Frage ob es einen anderen weg gibt, eine workstation nur von bestimmten usern benutzen zu lassen ohne zugriff auf andere ressourcen zu kappen.
Danke!
Du berechtigst normalerweise Personen und nicht Maschinen.
Was genau meinst Du mit damit, wie berechtigst Du so was, welches Betriebsystem nutzt Du?
Exchange on Premise?
Was genau meinst Du mit damit, wie berechtigst Du so was, welches Betriebsystem nutzt Du?
Exchange on Premise?
Zitat von @Felix123:
Mir ist aufgefallen, das wenn ich Usera zb nur erlaube auf workstationa sich anzumelden,
email login nicht geht, füge ich dann auch den email server mit hinzu , geht es.
Mir ist aufgefallen, das wenn ich Usera zb nur erlaube auf workstationa sich anzumelden,
email login nicht geht, füge ich dann auch den email server mit hinzu , geht es.
1
Moin,
einerseits schreibst du über GPO und in der nächsten Zeile über die "Anmelden an" Option des AD-User Kontos. Was denn nun?
Unabhängig davon, wie du das implementiert hast (hoffentlich nicht beides), ist die Authentifizierung am Exchange Server keine interaktive, so dass, wenn nicht anderswo die Verbindung zum Exchange Server eingeschränkt ist, Outlook (oder andere Email-Clients) sich problemlos verbinden sollte.
einerseits schreibst du über GPO und in der nächsten Zeile über die "Anmelden an" Option des AD-User Kontos. Was denn nun?
Unabhängig davon, wie du das implementiert hast (hoffentlich nicht beides), ist die Authentifizierung am Exchange Server keine interaktive, so dass, wenn nicht anderswo die Verbindung zum Exchange Server eingeschränkt ist, Outlook (oder andere Email-Clients) sich problemlos verbinden sollte.
1
Moin @Felix123,
kannst du mal bitte einen Screenshot posten, damit wir auch sehen über welche GPO du das den regeln möchtest, danke.
Gruss Alex
Also ist das logon nicht nur darauf bezogen auf welchen clientpc , sich ein User anmelden darf?
kannst du mal bitte einen Screenshot posten, damit wir auch sehen über welche GPO du das den regeln möchtest, danke.
Gruss Alex
Moin,
Gruß,
Dani
Also ist das logon nicht nur darauf bezogen auf welchen clientpc , sich ein User anmelden darf?
woher hast du die Info das die Funktion im AD, in einem Benutzerobjekt sich auf ClientPC bezieht? Der Parameter bezieht sich auf alle Computerobjekte, egal ob Client, ob Server, ob Exchange, ob Sharepoint. Sobald eine Authentifizierung stattfindet.Gruß,
Dani
Halo, danke für eure Rückmeldungen :
https://woshub.com/restrict-workstation-logon-ad-users/
Dort wurde die Möglichkeit es direkt per log on to im User Attribut zu vergeben. Dort hatte ichd as Problem, das zb owa nicht mehr ging, da anscheinend es interaktiv war, wie ich aus der einen Rückmeldung rauslesen konnte.
Die zweite Möglichkeit war es per gpo zu regeln.
Am ende war meine Frage, wie macht ihr es , log on oder per gpo?
Mein ziel ist, das ich jedem User nur die Workstation zuordne , statt wie imd efault, das ein suer sich überall anmelden kann.
https://woshub.com/restrict-workstation-logon-ad-users/
Dort wurde die Möglichkeit es direkt per log on to im User Attribut zu vergeben. Dort hatte ichd as Problem, das zb owa nicht mehr ging, da anscheinend es interaktiv war, wie ich aus der einen Rückmeldung rauslesen konnte.
Die zweite Möglichkeit war es per gpo zu regeln.
Am ende war meine Frage, wie macht ihr es , log on oder per gpo?
Mein ziel ist, das ich jedem User nur die Workstation zuordne , statt wie imd efault, das ein suer sich überall anmelden kann.
Moin,
Gruß,
Dani
Am ende war meine Frage, wie macht ihr es , log on oder per gpo?
Ist mit GPP machbar.Dort hatte ichd as Problem, das zb owa nicht mehr ging, da anscheinend es interaktiv war, wie ich aus der einen Rückmeldung rauslesen konnte.
ich wiederhole meine Aussage von oben. Das Verhalten, dass festgestellt hast, ist gewollt.Gruß,
Dani
Hallo Dani,
verstehe, da die Anmeldung bei der owa interaktiv ist, müsste ich den exchange ( ind em Fall) auch als station fürs anmelden hinzufügen ( was aber dann auch wieder komisch wäre, das man den server zum anleden freigibt und nicht direkt owa angeben kann.)
Da heißt alles was normal authentifiziert wird durch das ad:
freigaben(share), exchange (outlook) geht , wenn man die workstation im Use mit gibt, aber alles was interaktiv zu einem Server wäre, müsste man den Server mit angeben.
Wäre es per gpp genauso Dani oder , würde da wirklich noch der login auf dem Clientpc einzugrenzen?
Danke und einen angenehmen wochenstart!
verstehe, da die Anmeldung bei der owa interaktiv ist, müsste ich den exchange ( ind em Fall) auch als station fürs anmelden hinzufügen ( was aber dann auch wieder komisch wäre, das man den server zum anleden freigibt und nicht direkt owa angeben kann.)
Da heißt alles was normal authentifiziert wird durch das ad:
freigaben(share), exchange (outlook) geht , wenn man die workstation im Use mit gibt, aber alles was interaktiv zu einem Server wäre, müsste man den Server mit angeben.
Wäre es per gpp genauso Dani oder , würde da wirklich noch der login auf dem Clientpc einzugrenzen?
Danke und einen angenehmen wochenstart!
Moin @Felix123,
bisher haben wir noch keinen Kunden bei dem das so geregelt ist.
Lustigerweise haben wir die letzte Woche eine Anfrage eines GF's bekommen, der das genau so auch umgesetzt haben möchte, sprich, dass jeder User sich nur an seinem Rechner anmelden kann. 🙃
Und was soll das, ausser einer Erhöhung des Verwaltungsaufwandes, denn genau bringen?
Denn solange der User auf einem Rechner auch nur ein User ist, sehe ich nicht wirklich irgendwelche Probleme.
Gruss Alex
Am ende war meine Frage, wie macht ihr es , log on oder per gpo?
bisher haben wir noch keinen Kunden bei dem das so geregelt ist.
Lustigerweise haben wir die letzte Woche eine Anfrage eines GF's bekommen, der das genau so auch umgesetzt haben möchte, sprich, dass jeder User sich nur an seinem Rechner anmelden kann. 🙃
Mein ziel ist, das ich jedem User nur die Workstation zuordne , statt wie imd efault, das ein suer sich überall anmelden kann.
Und was soll das, ausser einer Erhöhung des Verwaltungsaufwandes, denn genau bringen?
Denn solange der User auf einem Rechner auch nur ein User ist, sehe ich nicht wirklich irgendwelche Probleme.
Gruss Alex
Hallo Alex,
default wäre ja aus meiner sicht auch auf einem server möglich sich anzumelden, auch wenn der user dort nicht heran kommt.
zweitens würde es das wechsel bäumchen bei uns unterbrechen, wir haben Leute die sichd ann doch woanders einfach dran setzten und anmelden.
Irgendwie , dachte ich auch , als ich die Option gesehen habe, ja klar sinnvoll, restriktiv einschränken, warum default alles offen lassen.
default wäre ja aus meiner sicht auch auf einem server möglich sich anzumelden, auch wenn der user dort nicht heran kommt.
zweitens würde es das wechsel bäumchen bei uns unterbrechen, wir haben Leute die sichd ann doch woanders einfach dran setzten und anmelden.
Irgendwie , dachte ich auch , als ich die Option gesehen habe, ja klar sinnvoll, restriktiv einschränken, warum default alles offen lassen.
Moin,
Gruß,
Dani
default wäre ja aus meiner sicht auch auf einem server möglich sich anzumelden, auch wenn der user dort nicht heran kommt.
aber doch nur, wenn er die notwendigen Rechte hat. Ansonsten dürfte das standardmäßig nicht möglich sein.zweitens würde es das wechsel bäumchen bei uns unterbrechen, wir haben Leute die sichd ann doch woanders einfach dran setzten und anmelden.
Das kann Fluch und Segen zu gleich sein.Irgendwie , dachte ich auch , als ich die Option gesehen habe, ja klar sinnvoll, restriktiv einschränken, warum default alles offen lassen.
Ist es grundsätzlich auch. Dir muss der Mehraufwand klar sein. Du kannst es über die GPO "Lokal anmelden zulassen" steuern - pro Rechner.Gruß,
Dani
