Meine Gruppenrichtlinie wird nicht angewendet oder ich bin zu dumm

Mitglied: RandonDude

RandonDude (Level 1) - Jetzt verbinden

20.04.2021, aktualisiert 16:55 Uhr, 1112 Aufrufe, 16 Kommentare, 1 Danke

Hallo zusammen,

ich bin Hobby-Admin für einen Versicherungsmakler.
Wir haben ein Active Directory im Einsatz. Ich möchte verhindern, dass sich Benutzer an PCs anmelden, an die sich eigentlich nicht dürfen.

Mein "Test-Computer" an dem ich das ausprobieren möchte heißt "DESKTOP-9LUANK5".
Der Benutzer der NICHT auf den Rechner darf heißt "Konferenzraum".

Ich habe auf dem Domaincontroller eine OU angelegt mit dem Namen "TestComputer" und den Desktop-9LUANK5 via Drag'n'Drop in diese OU verschoben.

Dann bin ich auf dem DC in den GPO Editor gegangen. Dort habe ich in der OU ein neues Gruppenrichtlinienobjekt erstellt.

Dann habe ich die folgende Richtlinie konfiguriert:

Dann habe ich auf Gruppenrichtlinienupdate geklickt und auch die entsprechende Workstation "DESKTOP..." neu gestartet.

Der Nutzer Konferenzraum kann sich aber trotzdem noch anmelden. Ich könnte durchdrehen, ich probiere das seit mehr als 2 Stunden. Ich bekomme es einfach nicht hin.
Wichtiger Hinweis: Die Richtlinie ist jedenfalls auf dem Computer angekommen. Da steht auch drin, dass Konferenzraum sich nicht anmelden darf. Geht aber dennoch... ARRRGH

Ich hoffe ihr könnt mir helfen oder in Stichpunkten schreiben wo mein Fehler ist... :-( face-sad

Vielen Dank!

Gruss
1 - Klicke auf das Bild, um es zu vergrößern2 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Henere
20.04.2021 um 16:45 Uhr
Geh in den Benutzer. Klicke dort auf anmelden an.
Thema erledigt.
Bitte warten ..
Mitglied: 25471
25471 (Level 5)
20.04.2021, aktualisiert um 16:49 Uhr
Und bitte lasse den Unsinn mit externen Bilderlinks ! :-( face-sad
Damit machst du dir hier keine Freunde ! Auch dir dürfte nicht entgangen sein das das Forum eine Bilder Upload Funktion hat die Bilder direkt in Threads einbinden ohne externe Schnüffellinks mit Zwangswerbung. :-( face-sad
bild - Klicke auf das Bild, um es zu vergrößern
Kann man übrigens immer noch nachträglich korrigieren über den "Bearbeiten" Link rechts unter "Mehr" ;-) face-wink
Bitte warten ..
Mitglied: RandonDude
20.04.2021 um 16:56 Uhr
Hi, die Idee hatte ich natürlich auch schon. Geht leider nicht, da auch über VPN zugegriffen wird.
Bitte warten ..
Mitglied: Henere
20.04.2021 um 17:03 Uhr
Was ist an Deinem VPN anders als bei meinem, wo das problemlos funktioniert ?
VPN wir aufgebaut, dann gehts per RDP auf die entsprechenden Rechner.
Dann entscheidet die Gruppe Remotedesktopbenutzer ob er darf oder nicht. Das hat ja mit lokaler Anmeldung nix zu tun.
Bitte warten ..
Mitglied: RandonDude
20.04.2021, aktualisiert um 17:42 Uhr
Die Option müsste eigentlich "Anmelden von..." heißen, denn hier muss man die Hostnames eintragen VON denen man sich einloggen will (was Probleme macht, wenn die Mitarbeiter über VPN arbeiten)

Daher hatte ich diese Option schon verworfen.
Bitte warten ..
Mitglied: lcer00
20.04.2021, aktualisiert um 17:59 Uhr
Hallo,

wie genau meldet sich der Konferezraum denn an? Ist das ein „shared“ Benutzer? Das sollte man besser nicht so machen, schon gar nicht im Konferenzraum, wo der Klempner stundenlang alleine am PC ist.

Einfacher ist es in der Tat, über das Benutzerprofil zu lösen. Bei den GPOs Benutzerrechte kann man schnell richtig Mist bauen.

Grüße

lcer

Edit:
Die Option müsste eigentlich "Anmelden von..." heißen, denn hier muss man die Hostnames eintragen
jetzt sag nicht, ihr habt für alle PC nur Gemeinsam genutzte Benutzer. Das wäre Sicherheitstechnische ein Alptraum.
Bitte warten ..
Mitglied: mayho33
20.04.2021, aktualisiert um 20:49 Uhr
Du könntest es machen so wie es in diesem Link beschrieben ist:

https://www.windowspro.de/wolfgang-sommergut/anmelden-bestimmten-pcs-fue ...


Suche hat 10 Sekunden gedauert, ich habe es aber nicht getestet.

Grüße!
Bitte warten ..
Mitglied: nEmEsIs
20.04.2021 um 22:03 Uhr
Hi

Ist dein Benutzer Konferenzraum auf dem Rechner in der lokalen Administratorgruppe ?
Wenn ja dann liegt da der Fehler.

Mit freundlichen Grüßen Nemesis
Bitte warten ..
Mitglied: RandonDude
21.04.2021, aktualisiert um 08:23 Uhr
@mayho33 Das sind doch genau die 2 Punkte die wir hier diskutieren!? Das mit "Anmelden An" funktioniert nicht, da die Benutzer auch über ihren Homeoffice PC sich via VPN einloggen. Und mit Gruppenrichtlinien probiere ich es ja aktuell, bekomme es aber nicht hin. Ich hab die ersten 3 Seiten der Google Suchergebnisse durchgearbeitet.

@nEmsEsls Nein, natürlich nicht. :D

@Icer00 Nein, natürlich hat jeder seinen eigenen Benutzer. Konferenzraum war nur ein Beispiel. Wir können den User auch HMeier nennen.
Wie soll ich es denn über das Benutzerprofil lösen, wenn ich zusätzlich die Namen von den Homeoffice PCs brauche... :-( face-sad
Bitte warten ..
Mitglied: lcer00
21.04.2021 um 09:14 Uhr
Hallo,
Zitat von @RandonDude:
Wie soll ich es denn über das Benutzerprofil lösen, wenn ich zusätzlich die Namen von den Homeoffice PCs brauche... :-( face-sad
Schritt zurück: Was willst Du erreichen?

Wenn Du möchtest, dass sich Benutzer1 nur an PC5 anmelden darf, schreibst Du einfach im Benutzerprofil unter Konto/AnmeldenAn den PC rein.

Wenn Du das für einen RDP-Server machen willst, setzt Du den Benutzer in die Gruppe Remotedesktopbenutzer.

Für komplexere Szenarien gibt es auch Authentifizierungsrichtlinien und -silos: https://docs.microsoft.com/en-us/windows-server/security/credentials-pro ... Das dürfte dich aber zunächst überfordern und macht meines Erachtens nur Sinn bei größeren Strukturen.

Die GPOs->Benutzerrechte würde ich ich auch erstmal nicht verwenden, hat für den Anfang zu viele Fehlerquellen. Authentifizierungsrichtlinien und GPOs->Benutzerrechte würde ich empfehlen zuerst mal an einer Testdomäne zu testen.

Grüße

lcer
Bitte warten ..
Mitglied: RandonDude
21.04.2021 um 09:32 Uhr
@Icer00

Hi Icer,

ja das würde ich auch so machen wollen, aber überlege dir jetzt mal folgendes Szenario:
Ich trage im Kontoprofil von Benutzer1 unter "Anmelden an..." ein, dass er sich nur an "PC5" anmelden darf.

Jetzt ist Benutzer1 zuhause und aktiviert unsere Lancom VPN Software auf seinem Laptop Zuhause. Benutzer1 sitzt jetzt nämlich im Homeoffice und möchte mit seinem privaten Rechner auf seinen Bürorechner zugreifen via Remotedesktop.

VPN Verbindung steht, Benutzer1 öffnet RDS und gibt die IP seines Büro Rechners "PC5" ein. Er versucht sich anzumelden --> fehlgeschlagen.
Grund: Da der NetBiosName seines privaten Homeoffice PCs ist in seinem Kontoprofil unter "Anmelden an..." nicht eingetragen.

Daher: Unter Anmelden an... muss IMMER der Rechnername eingetragen sein VON UND AN dem du dich einloggen willst. Wenn du im Büro bist, stimmt das ja auch, da VON und AN derselbe PC ist. Bist du aber via VPN drin, stimmt das nicht mehr. Denn VON ist der Homeoffice PC und AN ist der PC5 im Büro. Ich müsste also zusätzlich den Hostname des Homeoffice PC eintragen.

Liebe Grüsse
Bitte warten ..
Mitglied: Doskias
LÖSUNG 21.04.2021 um 09:38 Uhr
Moin

Wenn Du möchtest, dass sich Benutzer1 nur an PC5 anmelden darf, schreibst Du einfach im Benutzerprofil unter Konto/AnmeldenAn den PC rein.

So einfach ist das leider nicht. Wenn du Anmelden-An im Benutzerprofil des Domänen-Benutzers nutzen möchtest und eine RDP-Verbindung aufbaust, dann muss auch der aufbauene Rechner dort eingetragen werden.

Wenn also Benutzer1 sich von seinem Home-PC an PC5 anmeldet, dann muss unter Anmelden an bei Benutzer1 sowohl PC5 als auch Home-PC eingetragen werden (VPN Verbindung spielt keine Rolle). Warum ist das so? Weil du die Anmeldedaten am Home-PC eingibst. Dieser nimmt die Anmeldung dann vor und reicht sie an PC5 weiter. Dabei spielt es keine Rolle ob Home-PC in der Domäne ist oder nicht.

@RandonDude: Siehe oben. Wenn du den Namen des Home-Office PCs unter anmelden an einträgst, dann sollte es gehen. Wir haben das exakt so gelöst und funktioniert. Der HomeOffice-PC ist ein Unternehmensgerät ohne Domänenzugang. Wenn der User den privaten PC dafür nutzen darf, dann muss er dir seinen PC-Namen geben.

Gruß
Doskias
Bitte warten ..
Mitglied: RandonDude
21.04.2021 um 09:41 Uhr
@Doskias

Aha, einer der es verstanden hat. :D

Okay, klingt aber doch nicht mehr so komplex. Ich denke dann werde ich es auch so lösen.

Vielen lieben Dank an alle!

Liebe Grüße
Bitte warten ..
Mitglied: Doskias
21.04.2021 um 09:51 Uhr
Zitat von @RandonDude:
@Doskias
Aha, einer der es verstanden hat. :D

Aber auch erst Anfang Februar :) face-smile
https://administrator.de/forum/anmeldung-an-windows-10-via-rdp-nicht-moe ...
Bitte warten ..
Mitglied: lcer00
21.04.2021 um 10:29 Uhr
Hallo,
Zitat von @RandonDude:

@Doskias

Aha, einer der es verstanden hat. :D

Okay, klingt aber doch nicht mehr so komplex. Ich denke dann werde ich es auch so lösen.

Du hattest meine Frage nicht vollständig beantwortet :) face-smile - was willst Du erreichen? Wo siehst Du Gefahren?

  • Du willst verhindern, dass sich Benutzer1 an PCs von Benutzer4 anmeldet?
  • Du willst nur bestimmte Benutzer für den Remotedesktopbetieb zulassen.

Ersteres bedarf der von @Doskias beschriebenen Lösung. Das zweite benötigt lediglich einen passenden Eintrag in der Gruppe Remotedesktopbenutzer.

Den Zugriff auf kritische Daten sperrst Du am besten auch auf Datenebene (z.B. NTFS-Berechtigungen, Freigaben) und nicht durch Sperren der Anmeldung auf dem PC.

Das Sperren der PC-Anmeldung für bestimmte Benutzer ist ein zusätzliches Sicherheitsfeature, dass verhindern soll, dass z.B. schädliche Eingriffe am System erfolgen und der PC als "Angriffsvektor" mißbraucht werden kann. Das kommt aber nach der Absicherung der Daten durch Zugriffsbeschränkungen.

Wir nutzen die "Anmelden-An" Funktion nur für einzelne Legacy-PCs auf denen Gerätesteuerungssoftware läuft, die mit einem Benutzerwechsel nicht klar kommt und für die ein "gemeinsamer Gerätebenutzer" eingerichtet ist (der auch noch Lokale Adminrechte braucht :( face-sad ). Dieser darf sich dann nur an des Speziellen PCs anmelden, nirgendwo sonst.

Grüße

lcer
Bitte warten ..
Mitglied: RandonDude
21.04.2021 um 14:02 Uhr
@Icer00

Hi,

ich würde das nicht mal Sicherheitsbedenken nennen. Ich hab einfach Nutzer die sich denken "lalala mein Bildschirm geht nicht, dann melde ich mich einfach woanders an, hihi"

Das will ich einfach nicht.

Die Lösung die ich jetzt verwende ist tatsächlich, das "Anmelden an..." und ich trage dort den "Stamm-Büro-PC" des Nutzers und sein "Home-Office-PC bzw. Laptop" ein.

Dann passt es. :) face-smile

Liebe Grüße
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Aqui - Wir möchten den Hasen zurück
NixVerstehenVor 23 StundenAllgemeinOff Topic35 Kommentare

Lieber aqui, ich finde es sehr sehr schade, das du dich hier so überraschend abgemeldet hast. Ich habe auch von dir sehr viel gelernt ...

Netzwerke
Erfahrungen mit HPE Aruba Switches (Aruba OS)
sixofeightVor 1 TagAllgemeinNetzwerke13 Kommentare

Holla zusammen, Wer von euch setzt Aruba Switches (Aruba OS, ehemals HP ProCurve) ein und wie sind eure Erfahrungen bzw. wie zufrieden seid ihr ...

Webentwicklung
Webdesigner ist verschwunden
Janno100Vor 1 TagFrageWebentwicklung4 Kommentare

Hallo zusammen Kunde hat einen Webdesigner der die Domain des Kunden vor einigen Jahren einfach unter seinen eigenen Name weiter geführt hat. Diese haben ...

Windows 10
Was ist zu wenig
ukulele-7Vor 9 StundenFrageWindows 1013 Kommentare

Hallo, ich suche nach einer Quelle um Windows 10 Pro OEM Lizenzen zu beziehen, gerne auch erstmal ein paar als Testkauf. Nun ist das ...

Exchange Server
Exchange weist Mails ohne Log Eintrag ab
Mr.RobotVor 13 StundenFrageExchange Server16 Kommentare

Guten Morgen, wir haben seit letzter Woche ein ganz spannendes "Problem" oder sollte ich eher Phänomen sagen? Wir haben eine Tochtergesellschaft die allerdings IT-Technisch ...

Windows Server
Server clonen
oGutITVor 1 TagFrageWindows Server5 Kommentare

Hallo ich habe einen alten HP Server Gen8 und möchte diese auf einen HP Microserver Gen8 klonen. Auf dem HP Server ist 2W12KR2 am ...

Netzwerke
2 fritzen mit unterschiedlichen subnetzen einrichten
gelöst alpi972Vor 1 TagFrageNetzwerke7 Kommentare

Hallo, hoffe ich habs unters richtige thema gesetzt, ich habe 2 fritzboxen (eine 7490 als DSL Modem und eine 7430 als Brige), und will ...

Router & Routing
Windows Netzwerklaufwerke durch kaskadiertes Netzwerk nicht ansprechbar
TomAustriaVor 1 TagFrageRouter & Routing5 Kommentare

Hallo, wir hatten bisher nur ein "einfaches" Netzwerk und möchten dieses nun in getrennte Netzwerksegmente aufteilen: Das Netz 192.168.2.x haben wir beim AX1500 an ...