joedevlin
Goto Top

Lokale Anmeldung am Server einschränken

Guten Morgen,

wir schränken u.a. die lokale Anmeldung an unseren Memberservern via GPO ein, so dass sich z.B. die Domänen-Admins nicht lokal an den Systemen anmelden dürfen. Ich möchte dies nun weiter wie folgt einschränken:

1. Lokale Anmeldung erlauben: Lokale Administratoren auf den Servern
2. Lokale Anmeldung verweigern: Domänen-Benutzer

Problematisch ist nun, dass die Verweigern-GPO gegenüber der Erlauben-GPO Vorrang hat, so dass die AD-Gruppen der lokalen Administratorengruppe sich nicht anmelden können.

Gibt es eine Möglichkeit das Problem zu umgehen?

Ziel ist letztendlich, dass die "normalen" Benutzer kein lokales Anmelderecht auf den Server haben, jedoch die AD-Gruppe Server-Admins als Mitglied der lokalen Administratoren sich weiterhin anmelden können.

Viele Grüße

Content-ID: 1365721913

Url: https://administrator.de/forum/lokale-anmeldung-am-server-einschraenken-1365721913.html

Ausgedruckt am: 25.12.2024 um 16:12 Uhr

emeriks
Lösung emeriks 08.10.2021 aktualisiert um 10:01:46 Uhr
Goto Top
Hi,
dass die AD-Gruppen der lokalen Administratorengruppe sich nicht anmelden können
Das sind ja auch Sicht der der Memberserver auch keine lokalen Admin-Konten sondern AD-Konten.

Ziel ist letztendlich, dass die "normalen" Benutzer kein lokales Anmelderecht auf den Server haben, jedoch die AD-Gruppe Server-Admins als Mitglied der lokalen Administratoren sich weiterhin anmelden können.

Dafür reicht es aus, die lokale Sicherheitsrichtlinie anzupassen. "Lokal anmelden zulassen" anpassen und "Benutzer" entfernen. Da muss man nicht explizit verweigern. Das geht auch über GPO.

E.
JoeDevlin
JoeDevlin 08.10.2021 aktualisiert um 09:07:11 Uhr
Goto Top
Zitat von @emeriks:
Das sind ja auch Sicht der der Memberserver auch keine lokalen Admin-Konten sondern AD-Konten.

Schon klar, das ist ja gerade das Problem face-smile

Dafür reicht es aus, die lokale Sicherheitsrichtlinie anzupassen. "Lokal anmelden zulassen" anpassen und "Benutzer" entfernen. Da muss man nicht explizit verweigern. Das geht auch über GPO.

Oh man, ja klar... Manchmal muss man nur drüber reden. Ich habe irgendwo übersehen, dass die GPO ja die lokale Sicherheitsrichtlinie mit den enthaltenen Benutzern überschreibt. Habe es direkt getestet und es klappt, vielen Dank dafür!
Lochkartenstanzer
Lochkartenstanzer 08.10.2021 um 09:43:35 Uhr
Goto Top
Zitat von @redhorse:

2. Lokale Anmeldung verweigern: Domänen-Benutzer

Moin,

Wenn mich mein Alzheimer nicht trügt, haben Domänen-Benutzer nichts auf Servern zu suchen und sind i.d.R. per default sowieso außen vor bei der lokalen Anmeldung. Da müßte man eigentlich nur per GPO die lokalen Admins das Recht zur lokalen Anmeldung zuteilen, was i.d.R. auch default ist.

Von daher würde ich schauen, wie genau Ihr Domänen-Admins rausschießt und das anpassen.

lks
JoeDevlin
JoeDevlin 08.10.2021 um 10:01:11 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Wenn mich mein Alzheimer nicht trügt, haben Domänen-Benutzer nichts auf Servern zu suchen und sind i.d.R. per default sowieso außen vor bei der lokalen Anmeldung. Da müßte man eigentlich nur per GPO die lokalen Admins das Recht zur lokalen Anmeldung zuteilen, was i.d.R. auch default ist.

Dem ist leider nicht so, standardmäßig haben folgende Gruppen lokale Anmeldeberechtigungen auf Workstations und Server:
- Administratoren
- Sicherungsoperatoren
- Users
emeriks
emeriks 08.10.2021 um 10:03:21 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Wenn mich mein Alzheimer nicht trügt, haben Domänen-Benutzer nichts auf Servern zu suchen und sind i.d.R. per default sowieso außen vor bei der lokalen Anmeldung. Da müßte man eigentlich nur per GPO die lokalen Admins das Recht zur lokalen Anmeldung zuteilen, was i.d.R. auch default ist.
Das war früher mal so. Als Du noch unter dem Kaiser mit NT4 gewerkelt hast.
Cloudrakete
Cloudrakete 08.10.2021 um 15:09:54 Uhr
Goto Top
Warum arbeitest du nicht einfach mit restricted Groups?
Darüber definierst du die lokalen Gruppen (Remote Desktop Users) und dort listet nur du die Gruppen auf, welche Zugriff haben.
Alle anderen haben es nicht, auch Domain Admins wenn du sie nicht auflistet (afaik, prüf das lieber noch mal)
JoeDevlin
JoeDevlin 08.10.2021 um 15:16:03 Uhr
Goto Top
Zitat von @Cloudrakete:
Warum arbeitest du nicht einfach mit restricted Groups?
Darüber definierst du die lokalen Gruppen (Remote Desktop Users) und dort listet nur du die Gruppen auf, welche Zugriff haben.

Es gibt keine lokalen Gruppen für die lokale Anmeldung, daher muss das über die Sicherheitsrichtlinien erfolgen. Das Problem ist darüber auch gelöst worden.