berraberra
Goto Top

Usern auf WinXP Rechnern die Anmeldung verbieten

Hallo,
wir haben letztens alle Rechner auf Win7 umgestellt bzw. neue gekauft.
Wir haben im AD alle Computeraccounts der Windows XP Rechner gelöscht bzw. deaktiviert.
Heißt also, diejenigen, die sich mit ihrem Windows XP Rechner im Netzwerk anmelden möchten, bekommen die Meldung, dass ihr Computerkonto nicht gefunden werden konnte bzw. deaktiviert wurde.

Unsere User sind allerdings sehr schlau. Sie fahren jetzt ihren alten Rechner ohne Netzwerk hoch und loggen sich mit ihrem Domänen-Benutzernamen und ihrem -Kennwort dort ein (da kein Netzwerk verfügbar ist, wird auch das Computerkonto nicht überprüft).
Und erst wenn der Rechner komplett hochgefahren ist, verbinden sie sich mit dem Netzwerk.
Da nun das Computerkonto nicht mehr abgefragt wird, können sie problemlos im Netzwerk arbeiten.
DAS würde ich gerne verhindern.
Ich habe keine Idee, wie ich das machen soll.

Lieben Gruß
BerraBerra

Content-ID: 242057

Url: https://administrator.de/contentid/242057

Ausgedruckt am: 08.11.2024 um 12:11 Uhr

MksMlr
MksMlr 27.06.2014 um 12:31:04 Uhr
Goto Top
Hallo unter Gruppen einfach die Domänenbenutzer entfernen! Fertig.
MksMlr
MksMlr 27.06.2014 um 12:32:44 Uhr
Goto Top
Rechte Maustaste auf Arbeitesplatz --> Lokale Benutzer und Gruppen --> Gruppen --> Benutzer --> Domänenbenutzer entfernen.
sk-it83
sk-it83 27.06.2014 um 12:49:31 Uhr
Goto Top
Mal doof gefragt, du sagst ihr habt auf Win 7 umgestellt, wieso gibt es den überhaupt noch die alten XP Rechner?

Arbeiten die jetzt mit beiden Systemen oder wie?

Best practice wäre ja wohl die Kisten in den Keller zu verpacken oder zu verschrotten.
Pjordorf
Pjordorf 27.06.2014 um 12:51:15 Uhr
Goto Top
Hallo,

Zitat von @BerraBerra:
Unsere User sind allerdings sehr schlau. Sie fahren jetzt ihren alten Rechner ohne Netzwerk hoch
Nimm ihnen die Patchkabel weg oder nimm den ganzen PC weg. Wieso stehen die da noch und wieso können die Mitarbeiter damit noch was tun wenn ihr doch alle ausgetauscht habt. Eliminiere das Problem an der Wurzel. Oder besser, entferne die Patchkabel am Switch (wo die ja wohl NICHT dran kommen). Oder 802.1X am Switch mit der MAC oder oder oder oder.

http://de.wikipedia.org/wiki/IEEE_802.1X

Such dir eine dir genehme Lösung für eure eigens geschaffenen Probleme aus.

Gruß,
Peter
Lochkartenstanzer
Lochkartenstanzer 27.06.2014 um 12:52:48 Uhr
Goto Top
Zitat von @BerraBerra:

Ich habe keine Idee, wie ich das machen soll.

Lieben Gruß
BerraBerra

Alle XP-Rechner einsammeln oder Platte putzen face-smile

Wenn alle da auf Win7 umgestetl wurden ist die frage, warum es dann doch noch XP-Kisten gibt, die man ans Netz stöpseln darf/kann.

lks
Chibisuke
Chibisuke 27.06.2014 um 12:55:46 Uhr
Goto Top
Hi Berra,

hm, mit den gelöschten Computerkonten könnte es schon schwieriger werden, aber bei den deaktivierten könnte es über eine GPO klappen. Entweder alle XP-Rechner in eine eigene OU sperren, oder halt per WMI-Filter auf XP einschränken. Und darüber kann man dann allen möglichen "Schindluder" treiben um die Leute aus dem Netzwerk zu halten. Netzwerkeinstellungen überschreiben, Userrechte ersetzen oder solche Späße face-smile

Wobei ich es leider noch nie ausprobiert habe ob ein im AD deaktivierter PC überhaupt noch GPOs abrufen kann. Aber nen Versuch wäre es wert.
Chonta
Chonta 27.06.2014 um 12:57:45 Uhr
Goto Top
Hallo,

warum gibt es noch XP-Rechner wenn auf Windows 7 umgestellt wurde?
Sind das deren Eigene Rechner die mal in der Domäne waren?

Wenn im Prinzip ist die Frage, wie lange die eine zwischengespeicherte Anmeldung bei Euch im Netzwerk vor der Umstellung gültig war (mit einer solchen loggen sich die benutzer gerade ein) und wie offt diese für eine Anmeldung verwendet werden darf.
Da die Rechner nicht in der Domäne sind, kann man mit GPO auch nix mehr machen, schade hätte man früher dran denken sollen.

Was natürlich geht sind Domänenweite Sicherheitsrichtlinien dass ein Zugriff auf die Server und Kommunikation nur noch verschlüsselt kommunizieren.
(Sehr aufwendig)

Du könntest natürlich auch die MAC-Adressen aller XP Rechner ausfindig machen und diese im DHCP blocken.
Oder alle MAC der Windows 7 ermitteln, im DHCP feste IP zuweisen und nur diese IP plus Server IP durch die Firewall lassen....

Oder einfach die XP Kiste wegnehmen bzw hingehen und wie schon gesagt Domänenbenutzter löschen und Daten entfernen.

Gruß

Chonta
Lochkartenstanzer
Lochkartenstanzer 27.06.2014 aktualisiert um 13:05:02 Uhr
Goto Top
idee:

Nimm doch alle wieder in die domain auf so daß Du wieder GPOs drauf verteilen kannst. Dann kannst Du die Anmekldunge der user auf den Xp-Kisten per GPO deaktivieren und Ruhe ist im Karton.

lks

PS: ich wundere mich sowieso, wieso Ihr die einfach so aus der Domain geworfen hat, ohne vorher die benutzeranmeldung drauf zu deaktiveren.

PPS: Du könntest natürlich auch mit einem passenden LART wie z.B. Cat 9 oder einem Meinungsverstärker wie Kloppe von Ikea bei den Usern auftauchen.
colinardo
colinardo 27.06.2014 um 13:23:13 Uhr
Goto Top
Moin,
mit NPS lässt sich das auch regeln:
Windows Server: VPN-Anmeldung von XP-Rechnern im RAS verbieten

Grüße Uwe
BerraBerra
BerraBerra 27.06.2014 um 14:21:59 Uhr
Goto Top
Hallo,
erst einmal vielen Dank für die Antworten.
Leider ist nichts Brauchbares dabei.
Zur Erklärung: Wenn die User alte Hardware hatten, ist ein neuer Rechner für sie bestellt worden. Der neue Rechner ist auf den User eingerichtet worden und beim Abholen des Rechners wurde darum gebeten, den alten Rechner zeitnah abzugeben.
Dies ist bei einigen nicht passiert.
Sie hatten noch Daten auf dem alten Rechner, die sie kopieren mussten oder ähnlich.
Die Computerkonten haben wir dann nach einiger Zeit deaktiviert bzw. gelöscht.
Die Userkonten natürlich nicht. Die User gibt es ja noch und sie müssen ja auch weiter arbeiten und sich im Netzwerk anmelden können.
Nur halt nicht von einem Windows XP-Rechner aus.

Ich habe die XP-Rechner nicht im Zugriff. Also fällt Platte putzen oder Domänen-Benutzer entfernen weg.
Ich muß eine Möglichkeit finden, das über das AD zu lösen. Oder über Userpolicies vielleicht.

Lieben Gruß
BerraBerra
BerraBerra
BerraBerra 27.06.2014 um 14:26:46 Uhr
Goto Top
Hallo,

das Problem ist, dass ich das auf Benutzerebene regeln muß.
Wie gesagt, das Computerkonto ist gesperrt. Der User meldet sich aber offline an und geht dann erst online, wenn der Rechner komplett hochgefahren ist.
Da wird das Computerkonto nicht mehr mit dem AD abgeglichen.
GPOs werden wahrscheinlich auch nur userbezogen übertragen.
Gut, vielleicht kann man hier einen WMI-Filter einstellen und tja, ...was kann ich machen? Der User soll und muss weiter mit seinem Windows 7 Rechner arbeiten können....
Wie gesagt, habe keine brauchbare Idee.

Lieben Gruß
BerraBerra
Chonta
Chonta 27.06.2014 um 14:39:21 Uhr
Goto Top
Regelmäßige Netzwerkscanns und wer mit XP erwischt wird bekommt ne Abmahnung.

Wenn die Computerkonten noch da sind ist das ganze ja einfach!
Konto aktivieren und dann GPO (erzwingen) und das anmelden aller Nuzer an diesen Computern verhindern.
Sobald der Rechner im Netzwerk ist zieht der sich nach 15 Minuten GPO, nach einem neustart geht dann auch eine gespeicherte Anmeldung nicht mehr weil GPO es verbietet. Und der Benutzer weint.

Und Du kannst die Benutzer noch zusätzlich die lokale Anmeldung verbieten auf den XP Clients.

Wenn die Computerkonten nicht present sind gilt das gleiche wie wenn der Zugriff von Mac oder Linux mit Samba/SMB verhindert werden soll.
RADIUS und diverse Netzwerkrichtlinien um nur bestimten Gruppen den Zugriff zu ermöglichen, IPSEC in der Domäne erzwingen ... gibt viel aber ist Aufwendig.

Gruß

Chonta
MksMlr
MksMlr 27.06.2014 um 14:41:05 Uhr
Goto Top
Zitat von @BerraBerra:

Hallo,
erst einmal vielen Dank für die Antworten.
Leider ist nichts Brauchbares dabei.
Okay face-confused

Zur Erklärung: Wenn die User alte Hardware hatten, ist ein neuer Rechner für sie bestellt worden. Der neue Rechner ist
auf den User eingerichtet worden und beim Abholen des Rechners wurde darum gebeten, den alten Rechner zeitnah abzugeben.
Warum kümmert sich hier nicht die EDV darum?

Dies ist bei einigen nicht passiert.
Sie hatten noch Daten auf dem alten Rechner, die sie kopieren mussten oder ähnlich.
--> warum die User
Anders: Habt ihr keine Netzlaufwerk, wird bei euch lokal gespeichert?

Die Computerkonten haben wir dann nach einiger Zeit deaktiviert bzw. gelöscht.
Die Userkonten natürlich nicht. Die User gibt es ja noch und sie müssen ja auch weiter arbeiten und sich im Netzwerk
anmelden können.
Wenn die User (Domänenbenutzer) gelöscht sind, können Sie sich auch nicht mehr anmelden.
DerWoWusste
DerWoWusste 27.06.2014 um 18:28:59 Uhr
Goto Top
Denkbare Lösung: Du kannst in den Userobjekten einschränken, wo diese sich anmelden können. Default ist: jeder überall. Wenn Du das änderst auf die Rechnernamen der neuen Maschinen, klappt der Trick mit Netzwerkkabel nachträglich anstecken an den alten nämlich nicht mehr.
Das kann man skripten, hat dann natürlich anderweitig Mehraufwand.
MS6800
MS6800 27.06.2014 um 18:53:28 Uhr
Goto Top
Hi,

also ich würde die Leute noch einmal per E-Mail Anschreiben , dass Sie gefälligst in einer Frist die XP Kisten bei dir abgeben müssen, Chef oder Personalchef in CC. Sollte sich dann keiner bei dir melden, hingehen und alle Kisten mitnehmen. Kann ja nicht sein das die dir auf der Nase Rum tanzen wie sie wollen.
Lochkartenstanzer
Lochkartenstanzer 27.06.2014 um 19:03:50 Uhr
Goto Top
Zitat von @BerraBerra:

Ich habe die XP-Rechner nicht im Zugriff. Also fällt Platte putzen oder Domänen-Benutzer entfernen weg.
Ich muß eine Möglichkeit finden, das über das AD zu lösen. Oder über Userpolicies vielleicht.

Spätestens wenn die Am Netz sind, kannst Du dich aufschalten und den Kisten den Saft abdrehen oder zumidenst soweit einschränken, daß die User angedackelt kommen müssen.

Ich würde einfach eine warnmail rausschicken, daß jeder winXp-Rechner der nochmal ans LAn angeschlossen wird, die Platte geputzt bekommt udn wenn die Nutze rIhre daten übertragen wollen, sollen sie zu Dir kommen.

Wenn du nicht den "pöhsen" Admin raushängt, wird das sonst nie was.

lks
emeriks
emeriks 28.06.2014 aktualisiert um 15:48:25 Uhr
Goto Top
Hi,
ähnlich wie Lochkartenstanzer schreibt:
Du hast doch sicherlich die Passwörter eines lokalen Administrators dieser Kisten? Falls ja, dann lass einfach auf einem Computer im Netz ne Weile ein Endlos-Skript laufen, welches z.B. mit psshutdown.exe von den Sysinternals diese Kisten sofort runterfährt wenn sie erreichbar sind. Deine Pappenheimer werden ganz schnell die Lust verlieren, diese Kisten weiter zu benutzen.

psshutdown.exe -r -f -t 0 -u COMPUTERNAME\Administrator -p PASSWORT \\COMPUTER1,COMPUTER2,COMPUTER3,....

Dann hast Du zwar ein Skript, wo das Passwort drinsteht, aber das könntest Du per NTFS-Rechte soweit schützen, dass nur Du es lesen kannst.
Oder Du baust ein Script, dass vorher nach dem Passwort fragt und dann in die Endlosschleife geht.

E.
Lochkartenstanzer
Lochkartenstanzer 28.06.2014 um 15:53:41 Uhr
Goto Top
Zitat von @emeriks:

psshutdown.exe -r -f -t 0 -u COMPUTERNAME\Administrator -p PASSWORT \\COMPUTER1,COMPUTER2,COMPUTER3,....

Ich würde da noch etwas wie -t 10 -m "Die Selbstzerstörungssequenz wurde gestartet" mitschicken. face-smile

lks
MS6800
MS6800 28.06.2014 um 17:05:48 Uhr
Goto Top
oder " DU WURDEST GEHACKT ALTA !" face-smile