titux
Goto Top

Nur bestimmte User in der Domäne an einem PC anmelden

Servus,

es gibt einen DC in einem Windows 2003 Server Netzwerk. Dort hängt unter anderem ein PC drin, an dem sich nur 4 Benutzer mit Ihren
Konten anmelden dürfen.

Kann ich das nur über die Lokale Sicherheitsrichtlinie am PC selber definieren oder klappt das auch übers Active Directory,
was natürlich Pflicht sein sollte?!

Habe diesbezüglich nichts gefunden.

Gruß
Rainer

Content-ID: 79837

Url: https://administrator.de/forum/nur-bestimmte-user-in-der-domaene-an-einem-pc-anmelden-79837.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

Supaman
Supaman 04.02.2008 um 10:44:54 Uhr
Goto Top
soweit ich weis, kann man direkt im AD userkonto die pcs raussuchen, an denen sie sich anmelden können, sogar mit zeitbereich z.b. 8-18h.
kolli01
kolli01 04.02.2008 um 11:04:01 Uhr
Goto Top
soweit ich weis, kann man direkt im AD
userkonto die pcs raussuchen, an denen sie
sich anmelden können, sogar mit
zeitbereich z.b. 8-18h.

So werden aber nur die Benutzer mit der entsprechenden Eintragung im Userprofil eingeschränkt und ändert nicht daran, daß sich andere Benutzer trotzdem an der Arbeitsstation anmelden können.
TiTux
TiTux 04.02.2008 um 11:46:24 Uhr
Goto Top
Yep, dass bringt mir leider nichts. Damit kann ich nur sagen, dass sich ein bestimmter Benutzer nur an bestimmten Rechnern anmelden darf.

Ich möchte das nicht auf Benutzer-Konto Ebene definieren, sondern auf Rechner Ebene.
Enki
Enki 04.02.2008 um 12:01:54 Uhr
Goto Top
Die Einstellung ist nur über den User möglich, aber wenn es dir darum gehen sollte möglichst einfach einige user diversen PCs zuzuordnen, kannst du ja mit multiselect arbeiten.
z.B. 10 User markieren, eigenschaften => Konto => Computerbeschränkungen

Komme so eigentlich recht gut klar.

MfG

Enki
Dani
Dani 04.02.2008 um 12:08:04 Uhr
Goto Top
Hallo Rainer,
du wirst doch sicher ein Logonscript (Benutzerebene) haben, dass auf jedem Rechner ausgeführt wird.

Somit könntest du folgendes machen:
@echo off
.....
if /i "%computername%" == "test" (  

if not "%username" == "carsten.mueller" shutdown -a -t 00  
if not "%username" == "sandra.bogendühler" shutdown -a -t 00  
if not "%username" == "christian.schwerter" shutdown -a -t 00  
if not "%username" == "carsten.mueller" shutdown -a -t 00  
)
Er kann sich zwar anmelden, aber er wird sofort wieder abgemeldet.

Eine andere Lösung wären die lok. Sicherheitsrichtlinien. Sprich unter "Lokale Richtlinien" => "Zuweisen von Benutzerrechten" im Schlüssel "Lokal anmelden" kannst du definieren, wer sich an diesem Computer anmelden darf (wie schon von dir gesagt).
Das Problem ist eben, du kannst GPO's nur auf OU's legn, nicht auf Clients!


Grüße
Dani
Enki
Enki 04.02.2008 um 12:19:48 Uhr
Goto Top
das ganze mit einem Script zu lösen, halte ich für eine nicht so elegante Lösung, zudem die User ja immernoch anmelden dürfen.

P.s.: bei Shutdown ist der Parameter -a zum beenden des herunterfahrens, -l ist für den logoff.
TiTux
TiTux 04.02.2008 um 14:08:30 Uhr
Goto Top
So wie es aussieht kommt doch nur die Lokale Sicherheitsrichtlinie für mich in Frage.

In mein Logon-Script müsste ich ja alle User eintragen, die gleich wieder abgemeldet werden
sollen, ausser den vieren, denen es erlaubt ist. Das ist keine Lösung.

Und ich verstehe noch nicht, was mir das Multiselect bringen soll, wenn ich allen Benutzern bis
auf vieren das einloggen auf einem einzelnen PC verweigern möchte.
DORNI
DORNI 04.02.2008 um 14:38:06 Uhr
Goto Top
????

Ok wenn ich die Frage richtig verstanden willst du das sich nur user a,b,c anmelden kann an dem Rechner und die restliche nicht.

Das ist mit Domäne das einfachste von der Welt du legst eine Gruppe an in der die User a,b,c sind.

Diesen Gruppe trägst du unter dem PC in die Lokale Gruppe User oder Power User ein und entfernst im gleichen zug da die Domain User

fertig.

P.S: wenn nur einzelne user erlaubt sein sollen kannst du die auch in den Lokalen gruppen hinterlegen was aber nicht die eleganteste Lösung ist.

CU DORNI
kolli01
kolli01 04.02.2008 um 14:47:44 Uhr
Goto Top
So wie es aussieht kommt doch nur die Lokale
Sicherheitsrichtlinie für mich in
Frage.

In mein Logon-Script müsste ich ja alle
User eintragen, die gleich wieder abgemeldet
werden
sollen, ausser den vieren, denen es erlaubt
ist. Das ist keine Lösung.

Und ich verstehe noch nicht, was mir das
Multiselect bringen soll, wenn ich allen
Benutzern bis
auf vieren das einloggen auf einem einzelnen
PC verweigern möchte.



Ich hab mal ein bissle rumprobiert: Das Recht "lokale Anmeldung" ist die Lösung, allerdings kannst Du diese auch per GPO verteilen. Dazu legst Du ein Richtlinienobjekt an, in dem nur das Benutzerrecht für lokale Anmeldung hinterlegt wird. Diese Einstellung enthält dann die Benutzer, welche sich an diesem PC anmelden können. Der lokale Administrator muß aber auf jeden Fall hier auch eingetragen sein. Bei der Sicherheitsfilterung stellst du ein, daß diese Richtlinie nur von dem Rechner, den Du einschränken willst, gezogen wird (alle Voreinstellungen rauswerfen). Alle anderen überlesen diese Richtlinie. Damit sind dann alle Konten, die nicht in der GPO eingetragen sind aussen vor. Einfach mal mit einem Testrechner ausprobieren. ggf. die entsprechende GPO an die erste Stelle der Vererbung setzen.


Gruß Rüdiger
DORNI
DORNI 04.02.2008 um 15:10:48 Uhr
Goto Top
  • Also noch mal zum mitschreiben gehe auf den ADS

  • Lege eine Gruppe an "Abteilung xy"

  • füge dieser Gruppe die 4 User zu

  • entferne auf dem Rechner unter den Gruppen "Users" und "Power Users" alle Gruppen und User

  • füge den Lokalen Gruppen "Users" und/oder "Power Users" die Domaingruppe "Abteilung xy" zu

Fertig somit können sich nur Administratoren (An der Gruppe änderst du ja nichts) und die in die Gruppe eingetragenene User anmelden.

Warum Umständlich wenns auch einfach geht.

CU DORNI
kolli01
kolli01 05.02.2008 um 09:05:01 Uhr
Goto Top
* Also noch mal zum mitschreiben gehe auf den
ADS

  • Lege eine Gruppe an "Abteilung
xy"

  • füge dieser Gruppe die 4 User zu

  • entferne auf dem Rechner unter den Gruppen
"Users" und "Power
Users" alle Gruppen und User

  • füge den Lokalen Gruppen
"Users" und/oder "Power
Users" die Domaingruppe "Abteilung
xy" zu

Fertig somit können sich nur
Administratoren (An der Gruppe änderst
du ja nichts) und die in die Gruppe
eingetragenene User anmelden.

Warum Umständlich wenns auch einfach
geht.

CU DORNI

Hi Dorni,

klar, geht so auch. Heißt aber auch, daß ich so einen Teil direkt am Rechner machen muß. Was ist aber, wenn es z.B. die Rechner einer ganzen Abteilung sind (z.b. Buchhaltung, Personalwesen etc) oder irgendwas geändert werden soll? Dann bietet sich imho die Verteilung per GPO geradezu an.

Gruß Rüdiger
TiTux
TiTux 28.04.2008 um 16:27:00 Uhr
Goto Top
Sorry,

dass ich mich erst jetzt gemeldet habe.

Danke für die Tipps und Lösungsvorschläge. Super!

Gruß
Rainer