Nur bestimmte User in der Domäne an einem PC anmelden
Servus,
es gibt einen DC in einem Windows 2003 Server Netzwerk. Dort hängt unter anderem ein PC drin, an dem sich nur 4 Benutzer mit Ihren
Konten anmelden dürfen.
Kann ich das nur über die Lokale Sicherheitsrichtlinie am PC selber definieren oder klappt das auch übers Active Directory,
was natürlich Pflicht sein sollte?!
Habe diesbezüglich nichts gefunden.
Gruß
Rainer
es gibt einen DC in einem Windows 2003 Server Netzwerk. Dort hängt unter anderem ein PC drin, an dem sich nur 4 Benutzer mit Ihren
Konten anmelden dürfen.
Kann ich das nur über die Lokale Sicherheitsrichtlinie am PC selber definieren oder klappt das auch übers Active Directory,
was natürlich Pflicht sein sollte?!
Habe diesbezüglich nichts gefunden.
Gruß
Rainer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 79837
Url: https://administrator.de/forum/nur-bestimmte-user-in-der-domaene-an-einem-pc-anmelden-79837.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
12 Kommentare
Neuester Kommentar
soweit ich weis, kann man direkt im AD
userkonto die pcs raussuchen, an denen sie
sich anmelden können, sogar mit
zeitbereich z.b. 8-18h.
userkonto die pcs raussuchen, an denen sie
sich anmelden können, sogar mit
zeitbereich z.b. 8-18h.
So werden aber nur die Benutzer mit der entsprechenden Eintragung im Userprofil eingeschränkt und ändert nicht daran, daß sich andere Benutzer trotzdem an der Arbeitsstation anmelden können.
Hallo Rainer,
du wirst doch sicher ein Logonscript (Benutzerebene) haben, dass auf jedem Rechner ausgeführt wird.
Somit könntest du folgendes machen:
Er kann sich zwar anmelden, aber er wird sofort wieder abgemeldet.
Eine andere Lösung wären die lok. Sicherheitsrichtlinien. Sprich unter "Lokale Richtlinien" => "Zuweisen von Benutzerrechten" im Schlüssel "Lokal anmelden" kannst du definieren, wer sich an diesem Computer anmelden darf (wie schon von dir gesagt).
Das Problem ist eben, du kannst GPO's nur auf OU's legn, nicht auf Clients!
Grüße
Dani
du wirst doch sicher ein Logonscript (Benutzerebene) haben, dass auf jedem Rechner ausgeführt wird.
Somit könntest du folgendes machen:
@echo off
.....
if /i "%computername%" == "test" (
if not "%username" == "carsten.mueller" shutdown -a -t 00
if not "%username" == "sandra.bogendühler" shutdown -a -t 00
if not "%username" == "christian.schwerter" shutdown -a -t 00
if not "%username" == "carsten.mueller" shutdown -a -t 00
)
Eine andere Lösung wären die lok. Sicherheitsrichtlinien. Sprich unter "Lokale Richtlinien" => "Zuweisen von Benutzerrechten" im Schlüssel "Lokal anmelden" kannst du definieren, wer sich an diesem Computer anmelden darf (wie schon von dir gesagt).
Das Problem ist eben, du kannst GPO's nur auf OU's legn, nicht auf Clients!
Grüße
Dani
????
Ok wenn ich die Frage richtig verstanden willst du das sich nur user a,b,c anmelden kann an dem Rechner und die restliche nicht.
Das ist mit Domäne das einfachste von der Welt du legst eine Gruppe an in der die User a,b,c sind.
Diesen Gruppe trägst du unter dem PC in die Lokale Gruppe User oder Power User ein und entfernst im gleichen zug da die Domain User
fertig.
P.S: wenn nur einzelne user erlaubt sein sollen kannst du die auch in den Lokalen gruppen hinterlegen was aber nicht die eleganteste Lösung ist.
CU DORNI
Ok wenn ich die Frage richtig verstanden willst du das sich nur user a,b,c anmelden kann an dem Rechner und die restliche nicht.
Das ist mit Domäne das einfachste von der Welt du legst eine Gruppe an in der die User a,b,c sind.
Diesen Gruppe trägst du unter dem PC in die Lokale Gruppe User oder Power User ein und entfernst im gleichen zug da die Domain User
fertig.
P.S: wenn nur einzelne user erlaubt sein sollen kannst du die auch in den Lokalen gruppen hinterlegen was aber nicht die eleganteste Lösung ist.
CU DORNI
So wie es aussieht kommt doch nur die Lokale
Sicherheitsrichtlinie für mich in
Frage.
In mein Logon-Script müsste ich ja alle
User eintragen, die gleich wieder abgemeldet
werden
sollen, ausser den vieren, denen es erlaubt
ist. Das ist keine Lösung.
Und ich verstehe noch nicht, was mir das
Multiselect bringen soll, wenn ich allen
Benutzern bis
auf vieren das einloggen auf einem einzelnen
PC verweigern möchte.
Sicherheitsrichtlinie für mich in
Frage.
In mein Logon-Script müsste ich ja alle
User eintragen, die gleich wieder abgemeldet
werden
sollen, ausser den vieren, denen es erlaubt
ist. Das ist keine Lösung.
Und ich verstehe noch nicht, was mir das
Multiselect bringen soll, wenn ich allen
Benutzern bis
auf vieren das einloggen auf einem einzelnen
PC verweigern möchte.
Ich hab mal ein bissle rumprobiert: Das Recht "lokale Anmeldung" ist die Lösung, allerdings kannst Du diese auch per GPO verteilen. Dazu legst Du ein Richtlinienobjekt an, in dem nur das Benutzerrecht für lokale Anmeldung hinterlegt wird. Diese Einstellung enthält dann die Benutzer, welche sich an diesem PC anmelden können. Der lokale Administrator muß aber auf jeden Fall hier auch eingetragen sein. Bei der Sicherheitsfilterung stellst du ein, daß diese Richtlinie nur von dem Rechner, den Du einschränken willst, gezogen wird (alle Voreinstellungen rauswerfen). Alle anderen überlesen diese Richtlinie. Damit sind dann alle Konten, die nicht in der GPO eingetragen sind aussen vor. Einfach mal mit einem Testrechner ausprobieren. ggf. die entsprechende GPO an die erste Stelle der Vererbung setzen.
Gruß Rüdiger
- Also noch mal zum mitschreiben gehe auf den ADS
- Lege eine Gruppe an "Abteilung xy"
- füge dieser Gruppe die 4 User zu
- entferne auf dem Rechner unter den Gruppen "Users" und "Power Users" alle Gruppen und User
- füge den Lokalen Gruppen "Users" und/oder "Power Users" die Domaingruppe "Abteilung xy" zu
Fertig somit können sich nur Administratoren (An der Gruppe änderst du ja nichts) und die in die Gruppe eingetragenene User anmelden.
Warum Umständlich wenns auch einfach geht.
CU DORNI
* Also noch mal zum mitschreiben gehe auf den
ADS
Users" alle Gruppen und User
Users" die Domaingruppe "Abteilung
xy" zu
Fertig somit können sich nur
Administratoren (An der Gruppe änderst
du ja nichts) und die in die Gruppe
eingetragenene User anmelden.
Warum Umständlich wenns auch einfach
geht.
CU DORNI
ADS
- Lege eine Gruppe an "Abteilung
- füge dieser Gruppe die 4 User zu
- entferne auf dem Rechner unter den Gruppen
Users" alle Gruppen und User
- füge den Lokalen Gruppen
Users" die Domaingruppe "Abteilung
xy" zu
Fertig somit können sich nur
Administratoren (An der Gruppe änderst
du ja nichts) und die in die Gruppe
eingetragenene User anmelden.
Warum Umständlich wenns auch einfach
geht.
CU DORNI
Hi Dorni,
klar, geht so auch. Heißt aber auch, daß ich so einen Teil direkt am Rechner machen muß. Was ist aber, wenn es z.B. die Rechner einer ganzen Abteilung sind (z.b. Buchhaltung, Personalwesen etc) oder irgendwas geändert werden soll? Dann bietet sich imho die Verteilung per GPO geradezu an.
Gruß Rüdiger