Lokale Anmeldung am Server einschränken
Guten Morgen,
wir schränken u.a. die lokale Anmeldung an unseren Memberservern via GPO ein, so dass sich z.B. die Domänen-Admins nicht lokal an den Systemen anmelden dürfen. Ich möchte dies nun weiter wie folgt einschränken:
1. Lokale Anmeldung erlauben: Lokale Administratoren auf den Servern
2. Lokale Anmeldung verweigern: Domänen-Benutzer
Problematisch ist nun, dass die Verweigern-GPO gegenüber der Erlauben-GPO Vorrang hat, so dass die AD-Gruppen der lokalen Administratorengruppe sich nicht anmelden können.
Gibt es eine Möglichkeit das Problem zu umgehen?
Ziel ist letztendlich, dass die "normalen" Benutzer kein lokales Anmelderecht auf den Server haben, jedoch die AD-Gruppe Server-Admins als Mitglied der lokalen Administratoren sich weiterhin anmelden können.
Viele Grüße
wir schränken u.a. die lokale Anmeldung an unseren Memberservern via GPO ein, so dass sich z.B. die Domänen-Admins nicht lokal an den Systemen anmelden dürfen. Ich möchte dies nun weiter wie folgt einschränken:
1. Lokale Anmeldung erlauben: Lokale Administratoren auf den Servern
2. Lokale Anmeldung verweigern: Domänen-Benutzer
Problematisch ist nun, dass die Verweigern-GPO gegenüber der Erlauben-GPO Vorrang hat, so dass die AD-Gruppen der lokalen Administratorengruppe sich nicht anmelden können.
Gibt es eine Möglichkeit das Problem zu umgehen?
Ziel ist letztendlich, dass die "normalen" Benutzer kein lokales Anmelderecht auf den Server haben, jedoch die AD-Gruppe Server-Admins als Mitglied der lokalen Administratoren sich weiterhin anmelden können.
Viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1365721913
Url: https://administrator.de/forum/lokale-anmeldung-am-server-einschraenken-1365721913.html
Ausgedruckt am: 25.12.2024 um 16:12 Uhr
7 Kommentare
Neuester Kommentar
Hi,
Dafür reicht es aus, die lokale Sicherheitsrichtlinie anzupassen. "Lokal anmelden zulassen" anpassen und "Benutzer" entfernen. Da muss man nicht explizit verweigern. Das geht auch über GPO.
E.
dass die AD-Gruppen der lokalen Administratorengruppe sich nicht anmelden können
Das sind ja auch Sicht der der Memberserver auch keine lokalen Admin-Konten sondern AD-Konten.Ziel ist letztendlich, dass die "normalen" Benutzer kein lokales Anmelderecht auf den Server haben, jedoch die AD-Gruppe Server-Admins als Mitglied der lokalen Administratoren sich weiterhin anmelden können.
Dafür reicht es aus, die lokale Sicherheitsrichtlinie anzupassen. "Lokal anmelden zulassen" anpassen und "Benutzer" entfernen. Da muss man nicht explizit verweigern. Das geht auch über GPO.
E.
Zitat von @redhorse:
2. Lokale Anmeldung verweigern: Domänen-Benutzer
2. Lokale Anmeldung verweigern: Domänen-Benutzer
Moin,
Wenn mich mein Alzheimer nicht trügt, haben Domänen-Benutzer nichts auf Servern zu suchen und sind i.d.R. per default sowieso außen vor bei der lokalen Anmeldung. Da müßte man eigentlich nur per GPO die lokalen Admins das Recht zur lokalen Anmeldung zuteilen, was i.d.R. auch default ist.
Von daher würde ich schauen, wie genau Ihr Domänen-Admins rausschießt und das anpassen.
lks
Zitat von @Lochkartenstanzer:
Wenn mich mein Alzheimer nicht trügt, haben Domänen-Benutzer nichts auf Servern zu suchen und sind i.d.R. per default sowieso außen vor bei der lokalen Anmeldung. Da müßte man eigentlich nur per GPO die lokalen Admins das Recht zur lokalen Anmeldung zuteilen, was i.d.R. auch default ist.
Das war früher mal so. Als Du noch unter dem Kaiser mit NT4 gewerkelt hast.Wenn mich mein Alzheimer nicht trügt, haben Domänen-Benutzer nichts auf Servern zu suchen und sind i.d.R. per default sowieso außen vor bei der lokalen Anmeldung. Da müßte man eigentlich nur per GPO die lokalen Admins das Recht zur lokalen Anmeldung zuteilen, was i.d.R. auch default ist.