mownstyler
Goto Top

Lokale Anmeldung an Server 2010 R2 verhindern

Hallo.

wir haben hier einen Server 2012 R2.
Dort soll sich über Ihre domainen User nur eine Handvoll User anmelden können.
dies wurde auch bereits eingerichtet. RDP geht nur für diese Leute.

Wenn man jetzt aber über unser UCs Blade und duie KVM Konsole an den Server geht, kann sich jeder User mit seinem domainen Account einfach dort anmelden.

Wie kann man dies verhindern?

Content-ID: 313634

Url: https://administrator.de/contentid/313634

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

chiefteddy
chiefteddy 26.08.2016 um 12:31:09 Uhr
Goto Top
Hallo,

einfach den Server in einen verschlossenen, klimatisierten Serverraum stellen! Wenn kein physischer Zugang zur Konsole besteht, kann man sich auch nicht lokal anmelden.

RDP-Session --> ich hoffe mal, der Server ist als Terminalserver mit entsprechenden Lizenzen eingerichtet.

Ansonsten einfach die lokale Anmeldung verbieten. Normalerweise können sich Domänen-User eh nicht lokal anmelden.

Jürgen
mownstyler
mownstyler 26.08.2016 um 13:05:49 Uhr
Goto Top
Hi, der Server steht im Rechenzentrum. Es gehtn icht darum ob da einer physisch ran gehen kann. Es gibt hier eine handvoll Admins die auf die KVM Konsole über das UCs Blade zugriff haben. Allerdings ist es nicht im Sinne des Erfinders das man sich über dies Konsole, welche ja quasi einen pyhsichen Zugriff am Server emuliert mit einem normalen Domain Account anmelden kann.

Ich dachte anfangs es würde nur für Domain Admins gehen aber auch ein normaler Account kann sich dort lokal anmelden. Das muss komkplett verboten werden. Nur die 5 Leute mit Ihren doman accounts sollen sich per RDP anmelden können.

wie kann ich die lokale anmeldung ausser der des lokalen Administrators verhindern. Wenn es geht den genauen weg schildern
fluluk
fluluk 26.08.2016 um 13:22:03 Uhr
Goto Top
Hi,

normalerweise müsstest Du das doch in den "Local Security Policies" festlegen können.

Security Settings - Local Polices - User Right Assignment - Allow log on locally

dort die entsprechenden User eintragen bzw. Users entfernen und fertig ist der Lack.

gruß fluluk
mownstyler
mownstyler 26.08.2016 um 13:42:41 Uhr
Goto Top
Das weiß ich auch. Aber da stehen nur Backup User, Administrator und noch eiener drin.

Allerdings steht da nicht von domain Users. aber dennoch können sich die normalen domain User da anmelden. Was muss ich wo entfernen damit diese Anmeldung nicht mehr funktioniert.
Pjordorf
Pjordorf 26.08.2016 um 13:45:47 Uhr
Goto Top
Hallo,

Zitat von @mownstyler:
dies wurde auch bereits eingerichtet. RDP geht nur für diese Leute.
Und wirklich nur für diese?

Wie kann man dies verhindern?
Per Standard geht es nicht sich mit nur Domänenbenutzern am Server anzumelden.
Ist das ein TS/RDS?
Ist das ein einfacher Memberserver?
Ist das ein DC?
Ist das ein standalone Server?
Die Lokale Anmeldung ist bei euch wie eingestellt? (Hat nichts mit RDP zu tun).

https://technet.microsoft.com/de-de/library/cc794944(v=ws.10).aspx

Gruß,
Peter
mownstyler
mownstyler 26.08.2016 um 14:05:01 Uhr
Goto Top
Das ist ein normaler Member Server.
Server gehört zu einer großen domäne.

Das soll ich sicherer Server werden. RDP ist generll erlaubt. Normalerweise haben wir hier Admingruppen welche in die ´lokalen Administratoren eingetragen werden. Dort kommen im Regelfall die User des Servers rein welche sich dort per RDp anmelden können sollen.

Bei diesem Server stehen in der lokalen Administrator Gruppe nur noch der lokale administrator din und die Domänenkonten von 4 Usern. Diese können sich deemnach noch per RDP anmelden. Eine RDP Verbindung wird auch mit einem Whitelisting unterbunden. Versucht sich ein User der nicht auf dieser Liste steht dort per RDP anzumelden wird die RDP Session sofrt beendet.

Über die KVM Konsole des UCs Blade gibt es die Möglichkeit wie bei einem HP Server die ILo sich am System zu connecten.
dort bekomme ich eine normale 2012er Anmeldung gezeigt. Dort gebe ich meinen domain User ein welcher nicht im whitelisting und auch nciht unter den Admins steht und kann mich trotzdem am Server anmelden. Das soll so nicht sein
chiefteddy
chiefteddy 26.08.2016 um 14:05:52 Uhr
Goto Top
Hallo,

ich habe jetz spaßenshalber mal einen neuen Domänen-User auf einem W2k8R2-DC angelegt (ist allerdings eine VM auf ESX, was allerdings hierbei keine Rolle spielen sollte). Der User ist nur Mitglied der Gruppe Domänen-Benutzer.

Eine RDP-Anmeldung ist nicht möglich, da dafür keine Rechte erteilt wurden. Eine lokale Konsolenanmeldung über Konsolen-Sitzung von vSphere wird ebenfalls verweigert, weil "die verwendete Anmeldemethode auf diesem Computer nicht zugelassen ist". Diese Meldung erscheint auf dem Windows-Anmeldebildschirm.

Dh., standardmäßig hat ein Domänen-User keine Berechtigung sich lokal an der Konsole anzumelden. Ihr müßt dieses Recht also explizit erteilt haben. Warum auch immer.

Jürgen
Pjordorf
Pjordorf 26.08.2016 um 14:27:03 Uhr
Goto Top
Hallo,

Zitat von @mownstyler:
RDP ist generll erlaubt.
Bedeutet jetzt bei euch genau was? Normall ist es nicht generell erlaubt (was immer du damit meinst).

Normalerweise haben wir hier Admingruppen welche in die ´lokalen Administratoren eingetragen werden. Dort kommen im Regelfall die User des Servers rein welche sich dort per RDp anmelden können sollen.
What?!? Warum das denn? RDP Anmeldung hat mit lokaler Anmeldung nichts zu tun.

Bei diesem Server stehen in der lokalen Administrator Gruppe nur noch der lokale administrator din und die Domänenkonten von 4 Usern.
Warum sind da noch weitere Benutzer drin? Sollen das tatsächlich Admins werden auf deiner Kiste?

Diese können sich deemnach noch per RDP anmelden.
Ein Admin kann immer alles.

Eine RDP Verbindung wird auch mit einem Whitelisting unterbunden.
Erst Erlauben (Admin machen) und nun verhindern wollen? What?

Versucht sich ein User der nicht auf dieser Liste steht dort per RDP anzumelden wird die RDP Session sofrt beendet.
Standard Verhalten eines Servers.

dort bekomme ich eine normale 2012er Anmeldung gezeigt
Weil es ja eben die Konsole ist. egal ob da eine KVM sitzt oder nicht.

Dort gebe ich meinen domain User ein welcher nicht im whitelisting und auch nciht unter den Admins steht und kann mich trotzdem am Server anmelden. Das soll so nicht sein
Dannhabt ihr eure Rechte verdrösselt. Standard ist es nicht. Prüfe eure Gruppen und wer alles in welcher drin ist. Lokales Anmelden hat nichts mit RDP Anmeldung zu tun. Der Standard auch hier (RDP) ist das es erstmal nur für Admins zur Verwaltung erlaubt ist (2 mal).

Irgendetwas ist bei euch verkehrt. Und RDP Whitelisting bei euch ist genau was? Ich kenne das nur für IPs. Aber ein Benutzer ist ja keine IP.

Gruß,
Peter