Lokale Anmeldung am Server einschränken
Guten Morgen,
wir schränken u.a. die lokale Anmeldung an unseren Memberservern via GPO ein, so dass sich z.B. die Domänen-Admins nicht lokal an den Systemen anmelden dürfen. Ich möchte dies nun weiter wie folgt einschränken:
1. Lokale Anmeldung erlauben: Lokale Administratoren auf den Servern
2. Lokale Anmeldung verweigern: Domänen-Benutzer
Problematisch ist nun, dass die Verweigern-GPO gegenüber der Erlauben-GPO Vorrang hat, so dass die AD-Gruppen der lokalen Administratorengruppe sich nicht anmelden können.
Gibt es eine Möglichkeit das Problem zu umgehen?
Ziel ist letztendlich, dass die "normalen" Benutzer kein lokales Anmelderecht auf den Server haben, jedoch die AD-Gruppe Server-Admins als Mitglied der lokalen Administratoren sich weiterhin anmelden können.
Viele Grüße
wir schränken u.a. die lokale Anmeldung an unseren Memberservern via GPO ein, so dass sich z.B. die Domänen-Admins nicht lokal an den Systemen anmelden dürfen. Ich möchte dies nun weiter wie folgt einschränken:
1. Lokale Anmeldung erlauben: Lokale Administratoren auf den Servern
2. Lokale Anmeldung verweigern: Domänen-Benutzer
Problematisch ist nun, dass die Verweigern-GPO gegenüber der Erlauben-GPO Vorrang hat, so dass die AD-Gruppen der lokalen Administratorengruppe sich nicht anmelden können.
Gibt es eine Möglichkeit das Problem zu umgehen?
Ziel ist letztendlich, dass die "normalen" Benutzer kein lokales Anmelderecht auf den Server haben, jedoch die AD-Gruppe Server-Admins als Mitglied der lokalen Administratoren sich weiterhin anmelden können.
Viele Grüße
Please also mark the comments that contributed to the solution of the article
Content-Key: 1365721913
Url: https://administrator.de/contentid/1365721913
Printed on: April 24, 2024 at 14:04 o'clock
7 Comments
Latest comment
Hi,
Dafür reicht es aus, die lokale Sicherheitsrichtlinie anzupassen. "Lokal anmelden zulassen" anpassen und "Benutzer" entfernen. Da muss man nicht explizit verweigern. Das geht auch über GPO.
E.
dass die AD-Gruppen der lokalen Administratorengruppe sich nicht anmelden können
Das sind ja auch Sicht der der Memberserver auch keine lokalen Admin-Konten sondern AD-Konten.Ziel ist letztendlich, dass die "normalen" Benutzer kein lokales Anmelderecht auf den Server haben, jedoch die AD-Gruppe Server-Admins als Mitglied der lokalen Administratoren sich weiterhin anmelden können.
Dafür reicht es aus, die lokale Sicherheitsrichtlinie anzupassen. "Lokal anmelden zulassen" anpassen und "Benutzer" entfernen. Da muss man nicht explizit verweigern. Das geht auch über GPO.
E.
Zitat von @redhorse:
2. Lokale Anmeldung verweigern: Domänen-Benutzer
2. Lokale Anmeldung verweigern: Domänen-Benutzer
Moin,
Wenn mich mein Alzheimer nicht trügt, haben Domänen-Benutzer nichts auf Servern zu suchen und sind i.d.R. per default sowieso außen vor bei der lokalen Anmeldung. Da müßte man eigentlich nur per GPO die lokalen Admins das Recht zur lokalen Anmeldung zuteilen, was i.d.R. auch default ist.
Von daher würde ich schauen, wie genau Ihr Domänen-Admins rausschießt und das anpassen.
lks
Zitat von @Lochkartenstanzer:
Wenn mich mein Alzheimer nicht trügt, haben Domänen-Benutzer nichts auf Servern zu suchen und sind i.d.R. per default sowieso außen vor bei der lokalen Anmeldung. Da müßte man eigentlich nur per GPO die lokalen Admins das Recht zur lokalen Anmeldung zuteilen, was i.d.R. auch default ist.
Das war früher mal so. Als Du noch unter dem Kaiser mit NT4 gewerkelt hast.Wenn mich mein Alzheimer nicht trügt, haben Domänen-Benutzer nichts auf Servern zu suchen und sind i.d.R. per default sowieso außen vor bei der lokalen Anmeldung. Da müßte man eigentlich nur per GPO die lokalen Admins das Recht zur lokalen Anmeldung zuteilen, was i.d.R. auch default ist.