Usern auf WinXP Rechnern die Anmeldung verbieten
Hallo,
wir haben letztens alle Rechner auf Win7 umgestellt bzw. neue gekauft.
Wir haben im AD alle Computeraccounts der Windows XP Rechner gelöscht bzw. deaktiviert.
Heißt also, diejenigen, die sich mit ihrem Windows XP Rechner im Netzwerk anmelden möchten, bekommen die Meldung, dass ihr Computerkonto nicht gefunden werden konnte bzw. deaktiviert wurde.
Unsere User sind allerdings sehr schlau. Sie fahren jetzt ihren alten Rechner ohne Netzwerk hoch und loggen sich mit ihrem Domänen-Benutzernamen und ihrem -Kennwort dort ein (da kein Netzwerk verfügbar ist, wird auch das Computerkonto nicht überprüft).
Und erst wenn der Rechner komplett hochgefahren ist, verbinden sie sich mit dem Netzwerk.
Da nun das Computerkonto nicht mehr abgefragt wird, können sie problemlos im Netzwerk arbeiten.
DAS würde ich gerne verhindern.
Ich habe keine Idee, wie ich das machen soll.
Lieben Gruß
BerraBerra
wir haben letztens alle Rechner auf Win7 umgestellt bzw. neue gekauft.
Wir haben im AD alle Computeraccounts der Windows XP Rechner gelöscht bzw. deaktiviert.
Heißt also, diejenigen, die sich mit ihrem Windows XP Rechner im Netzwerk anmelden möchten, bekommen die Meldung, dass ihr Computerkonto nicht gefunden werden konnte bzw. deaktiviert wurde.
Unsere User sind allerdings sehr schlau. Sie fahren jetzt ihren alten Rechner ohne Netzwerk hoch und loggen sich mit ihrem Domänen-Benutzernamen und ihrem -Kennwort dort ein (da kein Netzwerk verfügbar ist, wird auch das Computerkonto nicht überprüft).
Und erst wenn der Rechner komplett hochgefahren ist, verbinden sie sich mit dem Netzwerk.
Da nun das Computerkonto nicht mehr abgefragt wird, können sie problemlos im Netzwerk arbeiten.
DAS würde ich gerne verhindern.
Ich habe keine Idee, wie ich das machen soll.
Lieben Gruß
BerraBerra
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 242057
Url: https://administrator.de/contentid/242057
Ausgedruckt am: 08.11.2024 um 12:11 Uhr
19 Kommentare
Neuester Kommentar
Hallo,
http://de.wikipedia.org/wiki/IEEE_802.1X
Such dir eine dir genehme Lösung für eure eigens geschaffenen Probleme aus.
Gruß,
Peter
Zitat von @BerraBerra:
Unsere User sind allerdings sehr schlau. Sie fahren jetzt ihren alten Rechner ohne Netzwerk hoch
Nimm ihnen die Patchkabel weg oder nimm den ganzen PC weg. Wieso stehen die da noch und wieso können die Mitarbeiter damit noch was tun wenn ihr doch alle ausgetauscht habt. Eliminiere das Problem an der Wurzel. Oder besser, entferne die Patchkabel am Switch (wo die ja wohl NICHT dran kommen). Oder 802.1X am Switch mit der MAC oder oder oder oder.Unsere User sind allerdings sehr schlau. Sie fahren jetzt ihren alten Rechner ohne Netzwerk hoch
http://de.wikipedia.org/wiki/IEEE_802.1X
Such dir eine dir genehme Lösung für eure eigens geschaffenen Probleme aus.
Gruß,
Peter
Alle XP-Rechner einsammeln oder Platte putzen
Wenn alle da auf Win7 umgestetl wurden ist die frage, warum es dann doch noch XP-Kisten gibt, die man ans Netz stöpseln darf/kann.
lks
Hi Berra,
hm, mit den gelöschten Computerkonten könnte es schon schwieriger werden, aber bei den deaktivierten könnte es über eine GPO klappen. Entweder alle XP-Rechner in eine eigene OU sperren, oder halt per WMI-Filter auf XP einschränken. Und darüber kann man dann allen möglichen "Schindluder" treiben um die Leute aus dem Netzwerk zu halten. Netzwerkeinstellungen überschreiben, Userrechte ersetzen oder solche Späße
Wobei ich es leider noch nie ausprobiert habe ob ein im AD deaktivierter PC überhaupt noch GPOs abrufen kann. Aber nen Versuch wäre es wert.
hm, mit den gelöschten Computerkonten könnte es schon schwieriger werden, aber bei den deaktivierten könnte es über eine GPO klappen. Entweder alle XP-Rechner in eine eigene OU sperren, oder halt per WMI-Filter auf XP einschränken. Und darüber kann man dann allen möglichen "Schindluder" treiben um die Leute aus dem Netzwerk zu halten. Netzwerkeinstellungen überschreiben, Userrechte ersetzen oder solche Späße
Wobei ich es leider noch nie ausprobiert habe ob ein im AD deaktivierter PC überhaupt noch GPOs abrufen kann. Aber nen Versuch wäre es wert.
Hallo,
warum gibt es noch XP-Rechner wenn auf Windows 7 umgestellt wurde?
Sind das deren Eigene Rechner die mal in der Domäne waren?
Wenn im Prinzip ist die Frage, wie lange die eine zwischengespeicherte Anmeldung bei Euch im Netzwerk vor der Umstellung gültig war (mit einer solchen loggen sich die benutzer gerade ein) und wie offt diese für eine Anmeldung verwendet werden darf.
Da die Rechner nicht in der Domäne sind, kann man mit GPO auch nix mehr machen, schade hätte man früher dran denken sollen.
Was natürlich geht sind Domänenweite Sicherheitsrichtlinien dass ein Zugriff auf die Server und Kommunikation nur noch verschlüsselt kommunizieren.
(Sehr aufwendig)
Du könntest natürlich auch die MAC-Adressen aller XP Rechner ausfindig machen und diese im DHCP blocken.
Oder alle MAC der Windows 7 ermitteln, im DHCP feste IP zuweisen und nur diese IP plus Server IP durch die Firewall lassen....
Oder einfach die XP Kiste wegnehmen bzw hingehen und wie schon gesagt Domänenbenutzter löschen und Daten entfernen.
Gruß
Chonta
warum gibt es noch XP-Rechner wenn auf Windows 7 umgestellt wurde?
Sind das deren Eigene Rechner die mal in der Domäne waren?
Wenn im Prinzip ist die Frage, wie lange die eine zwischengespeicherte Anmeldung bei Euch im Netzwerk vor der Umstellung gültig war (mit einer solchen loggen sich die benutzer gerade ein) und wie offt diese für eine Anmeldung verwendet werden darf.
Da die Rechner nicht in der Domäne sind, kann man mit GPO auch nix mehr machen, schade hätte man früher dran denken sollen.
Was natürlich geht sind Domänenweite Sicherheitsrichtlinien dass ein Zugriff auf die Server und Kommunikation nur noch verschlüsselt kommunizieren.
(Sehr aufwendig)
Du könntest natürlich auch die MAC-Adressen aller XP Rechner ausfindig machen und diese im DHCP blocken.
Oder alle MAC der Windows 7 ermitteln, im DHCP feste IP zuweisen und nur diese IP plus Server IP durch die Firewall lassen....
Oder einfach die XP Kiste wegnehmen bzw hingehen und wie schon gesagt Domänenbenutzter löschen und Daten entfernen.
Gruß
Chonta
idee:
Nimm doch alle wieder in die domain auf so daß Du wieder GPOs drauf verteilen kannst. Dann kannst Du die Anmekldunge der user auf den Xp-Kisten per GPO deaktivieren und Ruhe ist im Karton.
lks
PS: ich wundere mich sowieso, wieso Ihr die einfach so aus der Domain geworfen hat, ohne vorher die benutzeranmeldung drauf zu deaktiveren.
PPS: Du könntest natürlich auch mit einem passenden LART wie z.B. Cat 9 oder einem Meinungsverstärker wie Kloppe von Ikea bei den Usern auftauchen.
Nimm doch alle wieder in die domain auf so daß Du wieder GPOs drauf verteilen kannst. Dann kannst Du die Anmekldunge der user auf den Xp-Kisten per GPO deaktivieren und Ruhe ist im Karton.
lks
PS: ich wundere mich sowieso, wieso Ihr die einfach so aus der Domain geworfen hat, ohne vorher die benutzeranmeldung drauf zu deaktiveren.
PPS: Du könntest natürlich auch mit einem passenden LART wie z.B. Cat 9 oder einem Meinungsverstärker wie Kloppe von Ikea bei den Usern auftauchen.
Moin,
mit NPS lässt sich das auch regeln:
Windows Server: VPN-Anmeldung von XP-Rechnern im RAS verbieten
Grüße Uwe
mit NPS lässt sich das auch regeln:
Windows Server: VPN-Anmeldung von XP-Rechnern im RAS verbieten
Grüße Uwe
Regelmäßige Netzwerkscanns und wer mit XP erwischt wird bekommt ne Abmahnung.
Wenn die Computerkonten noch da sind ist das ganze ja einfach!
Konto aktivieren und dann GPO (erzwingen) und das anmelden aller Nuzer an diesen Computern verhindern.
Sobald der Rechner im Netzwerk ist zieht der sich nach 15 Minuten GPO, nach einem neustart geht dann auch eine gespeicherte Anmeldung nicht mehr weil GPO es verbietet. Und der Benutzer weint.
Und Du kannst die Benutzer noch zusätzlich die lokale Anmeldung verbieten auf den XP Clients.
Wenn die Computerkonten nicht present sind gilt das gleiche wie wenn der Zugriff von Mac oder Linux mit Samba/SMB verhindert werden soll.
RADIUS und diverse Netzwerkrichtlinien um nur bestimten Gruppen den Zugriff zu ermöglichen, IPSEC in der Domäne erzwingen ... gibt viel aber ist Aufwendig.
Gruß
Chonta
Wenn die Computerkonten noch da sind ist das ganze ja einfach!
Konto aktivieren und dann GPO (erzwingen) und das anmelden aller Nuzer an diesen Computern verhindern.
Sobald der Rechner im Netzwerk ist zieht der sich nach 15 Minuten GPO, nach einem neustart geht dann auch eine gespeicherte Anmeldung nicht mehr weil GPO es verbietet. Und der Benutzer weint.
Und Du kannst die Benutzer noch zusätzlich die lokale Anmeldung verbieten auf den XP Clients.
Wenn die Computerkonten nicht present sind gilt das gleiche wie wenn der Zugriff von Mac oder Linux mit Samba/SMB verhindert werden soll.
RADIUS und diverse Netzwerkrichtlinien um nur bestimten Gruppen den Zugriff zu ermöglichen, IPSEC in der Domäne erzwingen ... gibt viel aber ist Aufwendig.
Gruß
Chonta
Zitat von @BerraBerra:
Hallo,
erst einmal vielen Dank für die Antworten.
Leider ist nichts Brauchbares dabei.
Okay Hallo,
erst einmal vielen Dank für die Antworten.
Leider ist nichts Brauchbares dabei.
Zur Erklärung: Wenn die User alte Hardware hatten, ist ein neuer Rechner für sie bestellt worden. Der neue Rechner ist
auf den User eingerichtet worden und beim Abholen des Rechners wurde darum gebeten, den alten Rechner zeitnah abzugeben.
Warum kümmert sich hier nicht die EDV darum?auf den User eingerichtet worden und beim Abholen des Rechners wurde darum gebeten, den alten Rechner zeitnah abzugeben.
Dies ist bei einigen nicht passiert.
Sie hatten noch Daten auf dem alten Rechner, die sie kopieren mussten oder ähnlich.
--> warum die UserSie hatten noch Daten auf dem alten Rechner, die sie kopieren mussten oder ähnlich.
Anders: Habt ihr keine Netzlaufwerk, wird bei euch lokal gespeichert?
Die Computerkonten haben wir dann nach einiger Zeit deaktiviert bzw. gelöscht.
Die Userkonten natürlich nicht. Die User gibt es ja noch und sie müssen ja auch weiter arbeiten und sich im Netzwerk
anmelden können.
Wenn die User (Domänenbenutzer) gelöscht sind, können Sie sich auch nicht mehr anmelden.Die Userkonten natürlich nicht. Die User gibt es ja noch und sie müssen ja auch weiter arbeiten und sich im Netzwerk
anmelden können.
Denkbare Lösung: Du kannst in den Userobjekten einschränken, wo diese sich anmelden können. Default ist: jeder überall. Wenn Du das änderst auf die Rechnernamen der neuen Maschinen, klappt der Trick mit Netzwerkkabel nachträglich anstecken an den alten nämlich nicht mehr.
Das kann man skripten, hat dann natürlich anderweitig Mehraufwand.
Das kann man skripten, hat dann natürlich anderweitig Mehraufwand.
Hi,
also ich würde die Leute noch einmal per E-Mail Anschreiben , dass Sie gefälligst in einer Frist die XP Kisten bei dir abgeben müssen, Chef oder Personalchef in CC. Sollte sich dann keiner bei dir melden, hingehen und alle Kisten mitnehmen. Kann ja nicht sein das die dir auf der Nase Rum tanzen wie sie wollen.
also ich würde die Leute noch einmal per E-Mail Anschreiben , dass Sie gefälligst in einer Frist die XP Kisten bei dir abgeben müssen, Chef oder Personalchef in CC. Sollte sich dann keiner bei dir melden, hingehen und alle Kisten mitnehmen. Kann ja nicht sein das die dir auf der Nase Rum tanzen wie sie wollen.
Zitat von @BerraBerra:
Ich habe die XP-Rechner nicht im Zugriff. Also fällt Platte putzen oder Domänen-Benutzer entfernen weg.
Ich muß eine Möglichkeit finden, das über das AD zu lösen. Oder über Userpolicies vielleicht.
Ich habe die XP-Rechner nicht im Zugriff. Also fällt Platte putzen oder Domänen-Benutzer entfernen weg.
Ich muß eine Möglichkeit finden, das über das AD zu lösen. Oder über Userpolicies vielleicht.
Spätestens wenn die Am Netz sind, kannst Du dich aufschalten und den Kisten den Saft abdrehen oder zumidenst soweit einschränken, daß die User angedackelt kommen müssen.
Ich würde einfach eine warnmail rausschicken, daß jeder winXp-Rechner der nochmal ans LAn angeschlossen wird, die Platte geputzt bekommt udn wenn die Nutze rIhre daten übertragen wollen, sollen sie zu Dir kommen.
Wenn du nicht den "pöhsen" Admin raushängt, wird das sonst nie was.
lks
Hi,
ähnlich wie Lochkartenstanzer schreibt:
Du hast doch sicherlich die Passwörter eines lokalen Administrators dieser Kisten? Falls ja, dann lass einfach auf einem Computer im Netz ne Weile ein Endlos-Skript laufen, welches z.B. mit psshutdown.exe von den Sysinternals diese Kisten sofort runterfährt wenn sie erreichbar sind. Deine Pappenheimer werden ganz schnell die Lust verlieren, diese Kisten weiter zu benutzen.
psshutdown.exe -r -f -t 0 -u COMPUTERNAME\Administrator -p PASSWORT \\COMPUTER1,COMPUTER2,COMPUTER3,....
Dann hast Du zwar ein Skript, wo das Passwort drinsteht, aber das könntest Du per NTFS-Rechte soweit schützen, dass nur Du es lesen kannst.
Oder Du baust ein Script, dass vorher nach dem Passwort fragt und dann in die Endlosschleife geht.
E.
ähnlich wie Lochkartenstanzer schreibt:
Du hast doch sicherlich die Passwörter eines lokalen Administrators dieser Kisten? Falls ja, dann lass einfach auf einem Computer im Netz ne Weile ein Endlos-Skript laufen, welches z.B. mit psshutdown.exe von den Sysinternals diese Kisten sofort runterfährt wenn sie erreichbar sind. Deine Pappenheimer werden ganz schnell die Lust verlieren, diese Kisten weiter zu benutzen.
psshutdown.exe -r -f -t 0 -u COMPUTERNAME\Administrator -p PASSWORT \\COMPUTER1,COMPUTER2,COMPUTER3,....
Dann hast Du zwar ein Skript, wo das Passwort drinsteht, aber das könntest Du per NTFS-Rechte soweit schützen, dass nur Du es lesen kannst.
Oder Du baust ein Script, dass vorher nach dem Passwort fragt und dann in die Endlosschleife geht.
E.
Zitat von @emeriks:
psshutdown.exe -r -f -t 0 -u COMPUTERNAME\Administrator -p PASSWORT \\COMPUTER1,COMPUTER2,COMPUTER3,....
psshutdown.exe -r -f -t 0 -u COMPUTERNAME\Administrator -p PASSWORT \\COMPUTER1,COMPUTER2,COMPUTER3,....
Ich würde da noch etwas wie -t 10 -m "Die Selbstzerstörungssequenz wurde gestartet" mitschicken.
lks