11
User in AD an Client binden
Hallo zusammen,
eine Fage :
die funktion in der AD Profil/ Anmelden an , sollte doch festlegen, wo sich der User anmelden darf ?
Komme da nicht ganz klar.
Zb User arbeitet an PC-01 , an dem soll und darf aber sonst keinen.
Trage ich im Profil / anmelden an den PC-01 ein, an dem der User arbeitet ist der User gesperrt. <-- ist quatsch , daran soll er arbeiten
Trage ich testweise einen anderen zB PC-02 dort ein und lösche den PC-01 ein, ist er ebenfalls an seinen PC gesperrt <-- wäre soll zustand
Wie trage ich nun die gesperrten PC dort ein, ohne das der User an seinen Gerät eingeschränkt ist .
Eine Gruppen Richtlinie möchte ich wegen dem einen User nicht einrichten.
Der DC ist ein 2016 Standart .
Vielen Dank
eine Fage :
die funktion in der AD Profil/ Anmelden an , sollte doch festlegen, wo sich der User anmelden darf ?
Komme da nicht ganz klar.
Zb User arbeitet an PC-01 , an dem soll und darf aber sonst keinen.
Trage ich im Profil / anmelden an den PC-01 ein, an dem der User arbeitet ist der User gesperrt. <-- ist quatsch , daran soll er arbeiten
Trage ich testweise einen anderen zB PC-02 dort ein und lösche den PC-01 ein, ist er ebenfalls an seinen PC gesperrt <-- wäre soll zustand
Wie trage ich nun die gesperrten PC dort ein, ohne das der User an seinen Gerät eingeschränkt ist .
Eine Gruppen Richtlinie möchte ich wegen dem einen User nicht einrichten.
Der DC ist ein 2016 Standart .
Vielen Dank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 474731
Url: https://administrator.de/contentid/474731
Ausgedruckt am: 25.11.2024 um 17:11 Uhr
11 Kommentare
Neuester Kommentar
Der PC selbst ist aber auch in der Domäne, oder?
Versuch mal den FQDN ...
Versuch mal den FQDN ...
An der Stelle wird der Name des PC nicht überprüft, Du kannst hier also alles mögliche eintragen.
Wie schon der schlaflose @NordicMike sagt, versuchs mal mit dem FQDN
Wie schon der schlaflose @NordicMike sagt, versuchs mal mit dem FQDN
Hi,
Nein, ist er nicht. Mit "Benutzer gesperrt" meint man was anderes.
Da müssen keine FQDN rein, sondern die einfachen, kurzen Namen.
Ich vermute mal, Du hast Da bloß einen Schreibfehler. z.B. dass der Computer tatsächlich anders heißt, als Du denkst.
E.
Nein, ist er nicht. Mit "Benutzer gesperrt" meint man was anderes.
Trage ich im Profil / anmelden an den PC-01 ein, an dem der User arbeitet ist der User gesperrt. <-- ist quatsch , daran soll er arbeiten
Reden wir hier von lokaler Anmeldung am PC oder von Anmeldung am TS via RDP von diesem PC aus?Da müssen keine FQDN rein, sondern die einfachen, kurzen Namen.
Ich vermute mal, Du hast Da bloß einen Schreibfehler. z.B. dass der Computer tatsächlich anders heißt, als Du denkst.
E.
Zitat von @Bingo61:
Wie trage ich nun die gesperrten PC dort ein, ohne das der User an seinen Gerät eingeschränkt ist .
Eine Gruppen Richtlinie möchte ich wegen dem einen User nicht einrichten.
Der Dativ ist dem Genitiv sein Tod.... Aber egal.Wie trage ich nun die gesperrten PC dort ein, ohne das der User an seinen Gerät eingeschränkt ist .
Eine Gruppen Richtlinie möchte ich wegen dem einen User nicht einrichten.
Man kann auch umgekehrt gehen. Statt festzulegen, wo sich ein Benutzer anmelden darf, kann man auch festlegen, wer sich an einem Computer anmelden darf. Am einfachsten geht das über das Bearbeiten der lokalen Gruppe "Benutzer". Oder durch Bearbeiten des lokalen Privilegs "Anmelden an diesem Computer". Beides geht lokal am Computer oder zentral via GPO.
1
Hi,
wir reden nicht von lokaler Anmeldung, sondern über User sitzt vor PC und gibt Domaine/Benutername-- Passwort ein .
Lokal ist eh alles gesperrt, ausser Admin und aktuellen User.
Schreibfehler? nein
Habe einen Test User angelegt, gehe ich als Test User auf den eingetragenen PC , Meldung ( Kurz Form)
Admin hat die Benutzung eingeschränkt.
Egal welche PC ich Eintrage, Zugriff ist immer verweigert .
Test User ist Domain User und Mitglied in der Remotegruppe
Siehe Bild.
Habe das schon mal mit 2012 R2 so ausgeführt, Problemlos .
Das ist nun 2019 Standart, da klappt es nicht.
FQDN lässt die Eingabe gar nicht zu 12 Zeichen , dann ist Schluss.
wir reden nicht von lokaler Anmeldung, sondern über User sitzt vor PC und gibt Domaine/Benutername-- Passwort ein .
Lokal ist eh alles gesperrt, ausser Admin und aktuellen User.
Schreibfehler? nein
Habe einen Test User angelegt, gehe ich als Test User auf den eingetragenen PC , Meldung ( Kurz Form)
Admin hat die Benutzung eingeschränkt.
Egal welche PC ich Eintrage, Zugriff ist immer verweigert .
Test User ist Domain User und Mitglied in der Remotegruppe
Siehe Bild.
Habe das schon mal mit 2012 R2 so ausgeführt, Problemlos .
Das ist nun 2019 Standart, da klappt es nicht.
FQDN lässt die Eingabe gar nicht zu 12 Zeichen , dann ist Schluss.
FQDN? = größer wie 12 Zeichen, kannst nicht eintragen.
Zitat von @emeriks:
Deutsch Lehrer?Zitat von @Bingo61:
Wie trage ich nun die gesperrten PC dort ein, ohne das der User an seinen Gerät eingeschränkt ist .
Eine Gruppen Richtlinie möchte ich wegen dem einen User nicht einrichten.
Der Dativ ist dem Genitiv sein Tod.... Aber egal.Wie trage ich nun die gesperrten PC dort ein, ohne das der User an seinen Gerät eingeschränkt ist .
Eine Gruppen Richtlinie möchte ich wegen dem einen User nicht einrichten.
Man kann auch umgekehrt gehen. Statt festzulegen, wo sich ein Benutzer anmelden darf, kann man auch festlegen, wer sich an einem Computer anmelden darf. Am einfachsten geht das über das Bearbeiten der lokalen Gruppe "Benutzer". Oder durch Bearbeiten des lokalen Privilegs "Anmelden an diesem Computer". Beides geht lokal am Computer oder zentral via GPO.
Wenn ich Domaine Anmeldung verhindern möchte, was will ich dann in der lokalen Anmeldung?OK, es war spät in der Nacht bzw sehr früh Morgen als ich das geschrieben hatte, da ist es sicher nicht so klar angekommen .
Zitat von @Bingo61:
Hi,
wir reden nicht von lokaler Anmeldung, sondern über User sitzt vor PC und gibt Domaine/Benutername-- Passwort ein .
Lokal ist eh alles gesperrt, ausser Admin und aktuellen User.
Schreibfehler? nein
Verständnisfehler? Ja.Hi,
wir reden nicht von lokaler Anmeldung, sondern über User sitzt vor PC und gibt Domaine/Benutername-- Passwort ein .
Lokal ist eh alles gesperrt, ausser Admin und aktuellen User.
Schreibfehler? nein
Erstmal ist die interaktive Anmeldung eines Domänenbenutzers an einem PC für diesen eine "lokale Anmeldung".
Zweitens habe ich mit keiner Silbe von lokalen Benutzerkonten geschrieben, was Du aber offensichtlich so verstanden hast.
Auch Domänenbenutzer können Mitglieder in lokalen Gruppen von Domain Membercomputer sein. Und ja, genau diese Gruppen steuern auch die Rechte von Domänenbenutzern auf diesen Computern.
Test User ist Domain User und Mitglied in der Remotegruppe
Remotegruppe? Also doch RDP? Warum schreibst Du das dann nicht?Du willst einschränken, von welchem PC aus ein Benutzer eine Verbindung via RDP herstellen kann. Richtig?
Das ist nun 2019 Standart
Wie steht man da so?
Ohne mir alles durchgelesen zu haben:
ich habe das bei mir so eingestellt, dass verschiedene GPOs für Server, Clients, DC greifen. Z.B. möchte ich dass auf meinem FileServer nur bestimmte User zugreifen können. Den FileServer habe ich in einer Gruppe und die dazugehörigen berechtigten User in einer anderen.
Dies
und hier die Variante, dass nur bestimmte User sich am PC anmelden können:
"Ich möchte nicht wegen einem User eine GPO anlegen" - Dann weise doch einer GPO dem User zu, sollte doch gehen und letztendlich ist es nur eine weitere Verknüpfung welche du dann filtern und nur an diesen einen User binden kannst.
ich habe das bei mir so eingestellt, dass verschiedene GPOs für Server, Clients, DC greifen. Z.B. möchte ich dass auf meinem FileServer nur bestimmte User zugreifen können. Den FileServer habe ich in einer Gruppe und die dazugehörigen berechtigten User in einer anderen.
Dies
und hier die Variante, dass nur bestimmte User sich am PC anmelden können:
"Ich möchte nicht wegen einem User eine GPO anlegen" - Dann weise doch einer GPO dem User zu, sollte doch gehen und letztendlich ist es nur eine weitere Verknüpfung welche du dann filtern und nur an diesen einen User binden kannst.
Aha: Nicht festgelegt.
"Ich möchte nicht wegen einem User eine GPO anlegen" - Dann weise doch einer GPO dem User zu, sollte doch gehen und letztendlich ist es nur eine weitere Verknüpfung welche du dann filtern und nur an diesen einen User binden kannst.
Dann bitte richtig: Wenn man GPO nur für bestimmte Gruppen filtern will, dann muss man im Gegenzug die "Authentifizierten Benutzer" dafür entfernen.1Zitat von @emeriks:
Aha: Nicht festgelegt.
Aha: Nicht festgelegt.
"Ich möchte nicht wegen einem User eine GPO anlegen" - Dann weise doch einer GPO dem User zu, sollte doch gehen und letztendlich ist es nur eine weitere Verknüpfung welche du dann filtern und nur an diesen einen User binden kannst.
Dann bitte richtig: Wenn man GPO nur für bestimmte Gruppen filtern will, dann muss man im Gegenzug die "Authentifizierten Benutzer" dafür entfernen.Ich hab das so verstanden, dass "auth Benutzer" als Grundlage dienen und sie mit z.B. "FileServer" eingegrenzt werden, liege ich da falsch?
Edit: Macht irgendwie keinen Sinn also danke für deine erklärung!
