Lokale Anmeldung an Server 2010 R2 verhindern
Hallo.
wir haben hier einen Server 2012 R2.
Dort soll sich über Ihre domainen User nur eine Handvoll User anmelden können.
dies wurde auch bereits eingerichtet. RDP geht nur für diese Leute.
Wenn man jetzt aber über unser UCs Blade und duie KVM Konsole an den Server geht, kann sich jeder User mit seinem domainen Account einfach dort anmelden.
Wie kann man dies verhindern?
wir haben hier einen Server 2012 R2.
Dort soll sich über Ihre domainen User nur eine Handvoll User anmelden können.
dies wurde auch bereits eingerichtet. RDP geht nur für diese Leute.
Wenn man jetzt aber über unser UCs Blade und duie KVM Konsole an den Server geht, kann sich jeder User mit seinem domainen Account einfach dort anmelden.
Wie kann man dies verhindern?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 313634
Url: https://administrator.de/contentid/313634
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
einfach den Server in einen verschlossenen, klimatisierten Serverraum stellen! Wenn kein physischer Zugang zur Konsole besteht, kann man sich auch nicht lokal anmelden.
RDP-Session --> ich hoffe mal, der Server ist als Terminalserver mit entsprechenden Lizenzen eingerichtet.
Ansonsten einfach die lokale Anmeldung verbieten. Normalerweise können sich Domänen-User eh nicht lokal anmelden.
Jürgen
einfach den Server in einen verschlossenen, klimatisierten Serverraum stellen! Wenn kein physischer Zugang zur Konsole besteht, kann man sich auch nicht lokal anmelden.
RDP-Session --> ich hoffe mal, der Server ist als Terminalserver mit entsprechenden Lizenzen eingerichtet.
Ansonsten einfach die lokale Anmeldung verbieten. Normalerweise können sich Domänen-User eh nicht lokal anmelden.
Jürgen
Hallo,
Und wirklich nur für diese?
Ist das ein TS/RDS?
Ist das ein einfacher Memberserver?
Ist das ein DC?
Ist das ein standalone Server?
Die Lokale Anmeldung ist bei euch wie eingestellt? (Hat nichts mit RDP zu tun).
https://technet.microsoft.com/de-de/library/cc794944(v=ws.10).aspx
Gruß,
Peter
Und wirklich nur für diese?
Wie kann man dies verhindern?
Per Standard geht es nicht sich mit nur Domänenbenutzern am Server anzumelden.Ist das ein TS/RDS?
Ist das ein einfacher Memberserver?
Ist das ein DC?
Ist das ein standalone Server?
Die Lokale Anmeldung ist bei euch wie eingestellt? (Hat nichts mit RDP zu tun).
https://technet.microsoft.com/de-de/library/cc794944(v=ws.10).aspx
Gruß,
Peter
Hallo,
ich habe jetz spaßenshalber mal einen neuen Domänen-User auf einem W2k8R2-DC angelegt (ist allerdings eine VM auf ESX, was allerdings hierbei keine Rolle spielen sollte). Der User ist nur Mitglied der Gruppe Domänen-Benutzer.
Eine RDP-Anmeldung ist nicht möglich, da dafür keine Rechte erteilt wurden. Eine lokale Konsolenanmeldung über Konsolen-Sitzung von vSphere wird ebenfalls verweigert, weil "die verwendete Anmeldemethode auf diesem Computer nicht zugelassen ist". Diese Meldung erscheint auf dem Windows-Anmeldebildschirm.
Dh., standardmäßig hat ein Domänen-User keine Berechtigung sich lokal an der Konsole anzumelden. Ihr müßt dieses Recht also explizit erteilt haben. Warum auch immer.
Jürgen
ich habe jetz spaßenshalber mal einen neuen Domänen-User auf einem W2k8R2-DC angelegt (ist allerdings eine VM auf ESX, was allerdings hierbei keine Rolle spielen sollte). Der User ist nur Mitglied der Gruppe Domänen-Benutzer.
Eine RDP-Anmeldung ist nicht möglich, da dafür keine Rechte erteilt wurden. Eine lokale Konsolenanmeldung über Konsolen-Sitzung von vSphere wird ebenfalls verweigert, weil "die verwendete Anmeldemethode auf diesem Computer nicht zugelassen ist". Diese Meldung erscheint auf dem Windows-Anmeldebildschirm.
Dh., standardmäßig hat ein Domänen-User keine Berechtigung sich lokal an der Konsole anzumelden. Ihr müßt dieses Recht also explizit erteilt haben. Warum auch immer.
Jürgen
Hallo,
Bedeutet jetzt bei euch genau was? Normall ist es nicht generell erlaubt (was immer du damit meinst).
Irgendetwas ist bei euch verkehrt. Und RDP Whitelisting bei euch ist genau was? Ich kenne das nur für IPs. Aber ein Benutzer ist ja keine IP.
Gruß,
Peter
Bedeutet jetzt bei euch genau was? Normall ist es nicht generell erlaubt (was immer du damit meinst).
Normalerweise haben wir hier Admingruppen welche in die ´lokalen Administratoren eingetragen werden. Dort kommen im Regelfall die User des Servers rein welche sich dort per RDp anmelden können sollen.
What?!? Warum das denn? RDP Anmeldung hat mit lokaler Anmeldung nichts zu tun.Bei diesem Server stehen in der lokalen Administrator Gruppe nur noch der lokale administrator din und die Domänenkonten von 4 Usern.
Warum sind da noch weitere Benutzer drin? Sollen das tatsächlich Admins werden auf deiner Kiste?Diese können sich deemnach noch per RDP anmelden.
Ein Admin kann immer alles.Eine RDP Verbindung wird auch mit einem Whitelisting unterbunden.
Erst Erlauben (Admin machen) und nun verhindern wollen? What?Versucht sich ein User der nicht auf dieser Liste steht dort per RDP anzumelden wird die RDP Session sofrt beendet.
Standard Verhalten eines Servers.dort bekomme ich eine normale 2012er Anmeldung gezeigt
Weil es ja eben die Konsole ist. egal ob da eine KVM sitzt oder nicht.Dort gebe ich meinen domain User ein welcher nicht im whitelisting und auch nciht unter den Admins steht und kann mich trotzdem am Server anmelden. Das soll so nicht sein
Dannhabt ihr eure Rechte verdrösselt. Standard ist es nicht. Prüfe eure Gruppen und wer alles in welcher drin ist. Lokales Anmelden hat nichts mit RDP Anmeldung zu tun. Der Standard auch hier (RDP) ist das es erstmal nur für Admins zur Verwaltung erlaubt ist (2 mal).Irgendetwas ist bei euch verkehrt. Und RDP Whitelisting bei euch ist genau was? Ich kenne das nur für IPs. Aber ein Benutzer ist ja keine IP.
Gruß,
Peter