7
Lokale Anmeldung am Server einschränken
Guten Morgen,
wir schränken u.a. die lokale Anmeldung an unseren Memberservern via GPO ein, so dass sich z.B. die Domänen-Admins nicht lokal an den Systemen anmelden dürfen. Ich möchte dies nun weiter wie folgt einschränken:
1. Lokale Anmeldung erlauben: Lokale Administratoren auf den Servern
2. Lokale Anmeldung verweigern: Domänen-Benutzer
Problematisch ist nun, dass die Verweigern-GPO gegenüber der Erlauben-GPO Vorrang hat, so dass die AD-Gruppen der lokalen Administratorengruppe sich nicht anmelden können.
Gibt es eine Möglichkeit das Problem zu umgehen?
Ziel ist letztendlich, dass die "normalen" Benutzer kein lokales Anmelderecht auf den Server haben, jedoch die AD-Gruppe Server-Admins als Mitglied der lokalen Administratoren sich weiterhin anmelden können.
Viele Grüße
wir schränken u.a. die lokale Anmeldung an unseren Memberservern via GPO ein, so dass sich z.B. die Domänen-Admins nicht lokal an den Systemen anmelden dürfen. Ich möchte dies nun weiter wie folgt einschränken:
1. Lokale Anmeldung erlauben: Lokale Administratoren auf den Servern
2. Lokale Anmeldung verweigern: Domänen-Benutzer
Problematisch ist nun, dass die Verweigern-GPO gegenüber der Erlauben-GPO Vorrang hat, so dass die AD-Gruppen der lokalen Administratorengruppe sich nicht anmelden können.
Gibt es eine Möglichkeit das Problem zu umgehen?
Ziel ist letztendlich, dass die "normalen" Benutzer kein lokales Anmelderecht auf den Server haben, jedoch die AD-Gruppe Server-Admins als Mitglied der lokalen Administratoren sich weiterhin anmelden können.
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1365721913
Url: https://administrator.de/contentid/1365721913
Printed on: April 24, 2024 at 14:04 o'clock
7 Comments
Latest comment
Hi,
Dafür reicht es aus, die lokale Sicherheitsrichtlinie anzupassen. "Lokal anmelden zulassen" anpassen und "Benutzer" entfernen. Da muss man nicht explizit verweigern. Das geht auch über GPO.
E.
dass die AD-Gruppen der lokalen Administratorengruppe sich nicht anmelden können
Das sind ja auch Sicht der der Memberserver auch keine lokalen Admin-Konten sondern AD-Konten.Ziel ist letztendlich, dass die "normalen" Benutzer kein lokales Anmelderecht auf den Server haben, jedoch die AD-Gruppe Server-Admins als Mitglied der lokalen Administratoren sich weiterhin anmelden können.
Dafür reicht es aus, die lokale Sicherheitsrichtlinie anzupassen. "Lokal anmelden zulassen" anpassen und "Benutzer" entfernen. Da muss man nicht explizit verweigern. Das geht auch über GPO.
E.
Zitat von @emeriks:
Das sind ja auch Sicht der der Memberserver auch keine lokalen Admin-Konten sondern AD-Konten.
Das sind ja auch Sicht der der Memberserver auch keine lokalen Admin-Konten sondern AD-Konten.
Schon klar, das ist ja gerade das Problem
Dafür reicht es aus, die lokale Sicherheitsrichtlinie anzupassen. "Lokal anmelden zulassen" anpassen und "Benutzer" entfernen. Da muss man nicht explizit verweigern. Das geht auch über GPO.
Oh man, ja klar... Manchmal muss man nur drüber reden. Ich habe irgendwo übersehen, dass die GPO ja die lokale Sicherheitsrichtlinie mit den enthaltenen Benutzern überschreibt. Habe es direkt getestet und es klappt, vielen Dank dafür!
Zitat von @redhorse:
2. Lokale Anmeldung verweigern: Domänen-Benutzer
2. Lokale Anmeldung verweigern: Domänen-Benutzer
Moin,
Wenn mich mein Alzheimer nicht trügt, haben Domänen-Benutzer nichts auf Servern zu suchen und sind i.d.R. per default sowieso außen vor bei der lokalen Anmeldung. Da müßte man eigentlich nur per GPO die lokalen Admins das Recht zur lokalen Anmeldung zuteilen, was i.d.R. auch default ist.
Von daher würde ich schauen, wie genau Ihr Domänen-Admins rausschießt und das anpassen.
lks
Zitat von @Lochkartenstanzer:
Wenn mich mein Alzheimer nicht trügt, haben Domänen-Benutzer nichts auf Servern zu suchen und sind i.d.R. per default sowieso außen vor bei der lokalen Anmeldung. Da müßte man eigentlich nur per GPO die lokalen Admins das Recht zur lokalen Anmeldung zuteilen, was i.d.R. auch default ist.
Wenn mich mein Alzheimer nicht trügt, haben Domänen-Benutzer nichts auf Servern zu suchen und sind i.d.R. per default sowieso außen vor bei der lokalen Anmeldung. Da müßte man eigentlich nur per GPO die lokalen Admins das Recht zur lokalen Anmeldung zuteilen, was i.d.R. auch default ist.
Dem ist leider nicht so, standardmäßig haben folgende Gruppen lokale Anmeldeberechtigungen auf Workstations und Server:
- Administratoren
- Sicherungsoperatoren
- Users
Zitat von @Lochkartenstanzer:
Wenn mich mein Alzheimer nicht trügt, haben Domänen-Benutzer nichts auf Servern zu suchen und sind i.d.R. per default sowieso außen vor bei der lokalen Anmeldung. Da müßte man eigentlich nur per GPO die lokalen Admins das Recht zur lokalen Anmeldung zuteilen, was i.d.R. auch default ist.
Das war früher mal so. Als Du noch unter dem Kaiser mit NT4 gewerkelt hast.Wenn mich mein Alzheimer nicht trügt, haben Domänen-Benutzer nichts auf Servern zu suchen und sind i.d.R. per default sowieso außen vor bei der lokalen Anmeldung. Da müßte man eigentlich nur per GPO die lokalen Admins das Recht zur lokalen Anmeldung zuteilen, was i.d.R. auch default ist.
Warum arbeitest du nicht einfach mit restricted Groups?
Darüber definierst du die lokalen Gruppen (Remote Desktop Users) und dort listet nur du die Gruppen auf, welche Zugriff haben.
Alle anderen haben es nicht, auch Domain Admins wenn du sie nicht auflistet (afaik, prüf das lieber noch mal)
Darüber definierst du die lokalen Gruppen (Remote Desktop Users) und dort listet nur du die Gruppen auf, welche Zugriff haben.
Alle anderen haben es nicht, auch Domain Admins wenn du sie nicht auflistet (afaik, prüf das lieber noch mal)
Zitat von @Cloudrakete:
Warum arbeitest du nicht einfach mit restricted Groups?
Darüber definierst du die lokalen Gruppen (Remote Desktop Users) und dort listet nur du die Gruppen auf, welche Zugriff haben.
Warum arbeitest du nicht einfach mit restricted Groups?
Darüber definierst du die lokalen Gruppen (Remote Desktop Users) und dort listet nur du die Gruppen auf, welche Zugriff haben.
Es gibt keine lokalen Gruppen für die lokale Anmeldung, daher muss das über die Sicherheitsrichtlinien erfolgen. Das Problem ist darüber auch gelöst worden.
