6
GPO: Win AD Anmeldung nur mit der non-routable Domain zulassen?
Hallo Gemeinde,
bisher nur stiller Mitleser und Profiteur des Wissens hier, nun habe ich eine eigene Frage:
Ich habe eine 2016 AD mit contoso.local. Im Zuge der Migration des lokalen Exchanges zu M365 wurde noch die contoso.com als UPN Suffix hinzugefügt.
Die PCs haben unterschiedliche Anforderungen und daher unterschiedliche Versionen von MS Office installiert, mit lokalem MAK.
Problem:
Wenn ich dort mal als Admin dran war, müssen die User ja nicht nur ihr Kennwort, sondern auch ihren Benutzernamen eingeben.
Und dabei geben einige immer wieder unbedacht statt user@contoso.local contoso.com ein.
Und dann „freut“ sich Windows auf den neuen User, richtet das Profil ein, und das lokal installierte Office 2021 LTSC ist nicht mehr lizensiert und müsste noch ein mal aktiviert werden über den MAK.
Es ist dann immer ein Aufwand, den Usern zu erklären, was sie falsch gemacht haben, wie sie zu ihrem ursprünglichen Profil kommen, und das Office muss ich ggf. auch wieder neu aktivieren - bis irgendwann der MAK "leer" ist.
Deshalb die Frage, ob man per GPO o.ä. verhindern kann, dass man sich am PC mit der contoso.com anmelden kann? Die User sollen sich nur mit der contoso.local anmelden können.
Es ist bestimmt ganz leicht, aber ich sehe den Wald vor lauter Bäumen ggf. nicht.
Vielen Dank für ein paar Tipps schon im Voraus!
bisher nur stiller Mitleser und Profiteur des Wissens hier, nun habe ich eine eigene Frage:
Ich habe eine 2016 AD mit contoso.local. Im Zuge der Migration des lokalen Exchanges zu M365 wurde noch die contoso.com als UPN Suffix hinzugefügt.
Die PCs haben unterschiedliche Anforderungen und daher unterschiedliche Versionen von MS Office installiert, mit lokalem MAK.
Problem:
Wenn ich dort mal als Admin dran war, müssen die User ja nicht nur ihr Kennwort, sondern auch ihren Benutzernamen eingeben.
Und dabei geben einige immer wieder unbedacht statt user@contoso.local contoso.com ein.
Und dann „freut“ sich Windows auf den neuen User, richtet das Profil ein, und das lokal installierte Office 2021 LTSC ist nicht mehr lizensiert und müsste noch ein mal aktiviert werden über den MAK.
Es ist dann immer ein Aufwand, den Usern zu erklären, was sie falsch gemacht haben, wie sie zu ihrem ursprünglichen Profil kommen, und das Office muss ich ggf. auch wieder neu aktivieren - bis irgendwann der MAK "leer" ist.
Deshalb die Frage, ob man per GPO o.ä. verhindern kann, dass man sich am PC mit der contoso.com anmelden kann? Die User sollen sich nur mit der contoso.local anmelden können.
Es ist bestimmt ganz leicht, aber ich sehe den Wald vor lauter Bäumen ggf. nicht.
Vielen Dank für ein paar Tipps schon im Voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22539299116
Url: https://administrator.de/contentid/22539299116
Ausgedruckt am: 17.11.2024 um 09:11 Uhr
6 Kommentare
Neuester Kommentar
Contoso? Aus dem Microsoft Lernmaterial übernommen?
Ist das ein Test?
Heißt die Domäne wirklich so?
Ist das ein Test?
Heißt die Domäne wirklich so?
Büffelt da jemand für eine Prüfung?
Quelle Wikipedia :D
Contoso Ltd., auch bekannt als Contoso und Contoso University, ist eine fiktive Firma und Universität, die von Microsoft in Dokumentationen, Prüfungen, Hilfeseiten und Anleitungen als Beispiel verwendet wird. Sie hat die zugehörige Domain contoso.com.
Quelle Wikipedia :D
Contoso Ltd., auch bekannt als Contoso und Contoso University, ist eine fiktive Firma und Universität, die von Microsoft in Dokumentationen, Prüfungen, Hilfeseiten und Anleitungen als Beispiel verwendet wird. Sie hat die zugehörige Domain contoso.com.
Nein natürlich nicht, der tatsächliche Domainname ist doch unerheblich.
Ich hoffte, dass das nachvollziehbar wäre, dass Contoso einfach nur der Platzhalter ist.
Hätte ich pretendco.com nehmen sollen?
Ich hoffte, dass das nachvollziehbar wäre, dass Contoso einfach nur der Platzhalter ist.
Hätte ich pretendco.com nehmen sollen?
Moin,
auf die Schnelle denke ich an ein Anmeldeskript im Kontext des Benutzers. Wenn entsprechend .local gefunden wird, wird ein Hinweis angezeigt und nach 10-20 Sekunden erfolgt die Abmeldung.
Gruß,
Dani
auf die Schnelle denke ich an ein Anmeldeskript im Kontext des Benutzers. Wenn entsprechend .local gefunden wird, wird ein Hinweis angezeigt und nach 10-20 Sekunden erfolgt die Abmeldung.
Gruß,
Dani
Also im Grunde:
Check ob Teil des Benutzernamens contoso.com ist
wenn ja, dann 10 Sekunden Hinweis einblenden "bitte mit contoso.local, nicht contoso.com anmelden!"
abmelden
Ja, wäre eine Notlösung. Ich recherchiere mal, wie ich das mache. Ich drücke mich eigentlich vor Skripten und versuche, alles über GPO zu machen, daher bin ich hier dummer Anfänger und suche es mir mal zusammen. Vielen Dank!
Check ob Teil des Benutzernamens contoso.com ist
wenn ja, dann 10 Sekunden Hinweis einblenden "bitte mit contoso.local, nicht contoso.com anmelden!"
abmelden
Ja, wäre eine Notlösung. Ich recherchiere mal, wie ich das mache. Ich drücke mich eigentlich vor Skripten und versuche, alles über GPO zu machen, daher bin ich hier dummer Anfänger und suche es mir mal zusammen. Vielen Dank!
Moin,
Gruß,
Dani
Check ob Teil des Benutzernamens contoso.com ist
im Benutzernamen wird nur der der Benutzernamen drin stehen - meine ich. Aber schau es dir doch praktisch einmal an. Benutzer anmelden, Console öffnen und set eingeben. Dann hast du alle Informationen, die dir zur Verfügung stehen.Gruß,
Dani
1
