Windows 10 - Kombination von lokalen Benutzerkonten und Benutzern aus einer Domäne
Hi, würde gerne folgendes realisieren, von dem ich gern wüsste, ob es geht.
Ich habe einen Raum mit 3 Maschinen A, B und C. Ich kann jede Maschine nur einzeln steuern, nicht gleichzeitig. Jede Maschine läuft mit verschiedenen Programmen. Dazu habe ich auf dem Bedienrechner drei Benutzerprofile A, B und C für die jeweiligen Maschinen angelegt. Jedes Benutzerkonto hat ein Passwort.
Wir haben mehrere Mitarbeiter, die in einer Domäne verwaltet werden. Angenommen, wir haben 10 Mitarbeiter und nicht alle dürfen jedes Benutzerprofil vom o. genannten PC öffnen. Das geht, wenn nur der jeweilige Benutzerkreis das Passwort kennt. Soll sich das aber ändern, dann muss das Passwort für den Benutzer geändert werden und alle anderen darüber informiert werden.
Kann ich den Zugriff auf einem lokalen Benutzerkonto auch über eine Zugriffssteuerung über Domänenbenutzer erreichen, in dem ich z.B. eine Subanmeldung mache - ich wähle z.B. aus - Benutzerprofil A - ohne lokales Passwort - muss mich dann aber nochmal mit dem DomänenLogIn irgendwie authentifizieren?
Über Ideen würde ich mich freuen.
Ich habe einen Raum mit 3 Maschinen A, B und C. Ich kann jede Maschine nur einzeln steuern, nicht gleichzeitig. Jede Maschine läuft mit verschiedenen Programmen. Dazu habe ich auf dem Bedienrechner drei Benutzerprofile A, B und C für die jeweiligen Maschinen angelegt. Jedes Benutzerkonto hat ein Passwort.
Wir haben mehrere Mitarbeiter, die in einer Domäne verwaltet werden. Angenommen, wir haben 10 Mitarbeiter und nicht alle dürfen jedes Benutzerprofil vom o. genannten PC öffnen. Das geht, wenn nur der jeweilige Benutzerkreis das Passwort kennt. Soll sich das aber ändern, dann muss das Passwort für den Benutzer geändert werden und alle anderen darüber informiert werden.
Kann ich den Zugriff auf einem lokalen Benutzerkonto auch über eine Zugriffssteuerung über Domänenbenutzer erreichen, in dem ich z.B. eine Subanmeldung mache - ich wähle z.B. aus - Benutzerprofil A - ohne lokales Passwort - muss mich dann aber nochmal mit dem DomänenLogIn irgendwie authentifizieren?
Über Ideen würde ich mich freuen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 487180
Url: https://administrator.de/forum/windows-10-kombination-von-lokalen-benutzerkonten-und-benutzern-aus-einer-domaene-487180.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
21 Kommentare
Neuester Kommentar
Hi,
erstmal müsst ich Deine Anliegen nachvollziehen können ...
E.
erstmal müsst ich Deine Anliegen nachvollziehen können ...
Ich kann jede Maschine nur einzeln steuern, nicht gleichzeitig.
Was sind das für Maschinen? Und warum kannst Du diese nicht gleichzeitig steuern?Jede Maschine läuft mit verschiedenen Programmen.
Sind das jetzt "Maschinen", also sowas wie CNC, welche jeweils von einem bestimmten Programm gesteuert werden, oder meinst Du "Computer", auf welchen jeweils verschiedene Programme installiert sind?Dazu habe ich auf dem Bedienrechner drei Benutzerprofile A, B und C für die jeweiligen Maschinen angelegt.
Du meinst sicherlich Benutzerkonten? Konto und Profil sind verschiedene Sachen.E.
hi
Warum gibt es lokale Benutzer, dazu aber verschiedene AD Benutzer? Was macht das für einen Sinn?
Geht es evtl. darum das nur bestimmte Benutzer irgendwelche Programme starten dürfen, aber alle Programme installiert sind oder sowas?
Wenn ja, dann kannst du das ja auf NTFS Ebene abfrühstücken und nur den (AD)Benutzern Lesen\Ausführen Rechte auf die entsprechenden Programme geben, die das eben ausführen sollen.
Du beschreibst uns hier irgendein (äusserst wirres) Problem, aber nicht, was du eigentlich vor hast.
Warum gibt es lokale Benutzer, dazu aber verschiedene AD Benutzer? Was macht das für einen Sinn?
Geht es evtl. darum das nur bestimmte Benutzer irgendwelche Programme starten dürfen, aber alle Programme installiert sind oder sowas?
Wenn ja, dann kannst du das ja auf NTFS Ebene abfrühstücken und nur den (AD)Benutzern Lesen\Ausführen Rechte auf die entsprechenden Programme geben, die das eben ausführen sollen.
Du beschreibst uns hier irgendein (äusserst wirres) Problem, aber nicht, was du eigentlich vor hast.
D.h. Du hast einen Steuercomputer.
Und für jede Maschine ein lokales Benutzerkonto auf diesem Computer.
Ist diese Computer Mitglied einer Domäne? Offensichtlich ja, sonst würdest Du nicht nach Domänen-Benutzer fragen.
Warum - zum Geier - dann überhaupt lokale Benutzerkonten?
Erstelle je Maschine eine Gruppe in der Domäne. Diesen Gruppen gibst Du die erforderlichen Berechtigungen für die Maschinen.
Wenn es also verschiedene Programme sind, dann einfach die NTFS-Berechtigungen für diese Programmpfade bearbeiten, alles außer "System" und "Administratoren" raus. Dann nur die entsprechende Domänen-Gruppe hinzufügen. Lesen oder Ändern - das hängt vom Programm ab.
Oder wenn es die selben Programme sind, dann ist in den Einstellungen der einzelnen Programme sicherlich eingestellt, welcher Benutzer was darf. Da trägst Du dann statt der lokalen Benutzer die Domänen-Benutzer ein (nicht die Gruppe "Domänen-Benutzer" !!) oder besser die betreffende Domänen-Gruppe, welche ich oben erwähnt habe.
Und für jede Maschine ein lokales Benutzerkonto auf diesem Computer.
Ist diese Computer Mitglied einer Domäne? Offensichtlich ja, sonst würdest Du nicht nach Domänen-Benutzer fragen.
Warum - zum Geier - dann überhaupt lokale Benutzerkonten?
Erstelle je Maschine eine Gruppe in der Domäne. Diesen Gruppen gibst Du die erforderlichen Berechtigungen für die Maschinen.
Wenn es also verschiedene Programme sind, dann einfach die NTFS-Berechtigungen für diese Programmpfade bearbeiten, alles außer "System" und "Administratoren" raus. Dann nur die entsprechende Domänen-Gruppe hinzufügen. Lesen oder Ändern - das hängt vom Programm ab.
Oder wenn es die selben Programme sind, dann ist in den Einstellungen der einzelnen Programme sicherlich eingestellt, welcher Benutzer was darf. Da trägst Du dann statt der lokalen Benutzer die Domänen-Benutzer ein (nicht die Gruppe "Domänen-Benutzer" !!) oder besser die betreffende Domänen-Gruppe, welche ich oben erwähnt habe.
Zitat von @PappnaseVxVV:
Kann ich über Systemvariablen z.B. herausfinden, welcher Domänenbenutzer gerade angemeldet ist und zu welchen Gruppen er gehört? Dann könnte ich sowas in die Software auch direkt reinprogrammieren.
Ach, die Programme schreibt Ihr auch noch selbst? Oder meinst Du etwa sowas wie SPS?Kann ich über Systemvariablen z.B. herausfinden, welcher Domänenbenutzer gerade angemeldet ist und zu welchen Gruppen er gehört? Dann könnte ich sowas in die Software auch direkt reinprogrammieren.
Das klingt cool und sehr gut. Dazu hab ich noch eine Frage - mache ich die Rechtevergabe mit den Programmpfaden direkt auf dem Rechner, der mit den Maschinen verbunden ist, dass ich dann sage, dass dieser oder jene Pfad nur von den jeweiligen Domänengruppen aufgerufen werden darf oder lege ich die in der Domäne fest und muss dann auf dem Rechner genau diese Verzeichnisse so anlegen und benennen, wie sie dann vorher von der Domäne definiert wurden?
Boah eh ...Nimm es mir bitte nicht übel: Wie teuer sind die Maschinen? Oder deren Stundensatz? Lohnt es sich deswegen möglicherweise, sich mal ein Systemhaus ins Haus zu holen, was sowas bei einer Tasse Kaffee bei Euch erledigt? Gegen Geld natürlich.
NTFS-Berechtigungen werden je Ordner und Dateien vergeben. Ob man das am Computer macht, an welchem das Laufwerk angeschlossen ist, auf welchem diese Ordner und Datein gespeichert sind, oder remote von einem anderen Computer aus, das ist unerheblich. Das macht jeder Admin anders.
Man kann sowas auch per GPO ausrollen. Aber bitte: Nein, frag jetzt nicht danach!
Aus meiner Erfahrung sind das gute Programmierer. Haben aber keine Ahnung von den OSsen darunter.
Die Benutzer würden gar nicht merken, ob sie ein lokales Konto oder ein Domänenkonto verwenden, bis auf eine kleine Anzeige beim Anmelden unter ihrem Passwort (Anmelden an: xxxx)
Domänenbenutzer werden auf dem lokalen Computer ganz genau so behandelt, wie lokale Benutzer, nur, dass sie einfacher per Remote verwaltet werden können und dass sie, wenn gewünscht, die Benutzerprofile im Netzwerk gespeichert haben können.
Du hast Dir mit der lokalen Benutzerverwaltung einfach nur die Verwaltung aufgetrennt. Domänenbenutzereinstellungen und Berechtigungen liegen im Active Directory, lokale Benutzereinstellungen und Berechtigungen liegen lokal auf dem Computer. Mehr hast Du nicht erreicht.
Wenn Du Dir die lokale Benutzerverwaltung anschaust, z.B. eine Sicherheitsgruppe, dann befinden sich darin lokale Benutzer z.B. Müller genau so, wie Domänenbenutzer wie z.B. domäne\Meier. Nur der Name ist länger, sonst nichts. Adminrechte oder andere Rechte kannst Du beiden geben. Es spricht also nichts dagegen alle Benutzer im Active Directory zu verwalten, sonst musst Du immer an zwei verschiedenen Stellen verwalten.
Trotzdem können sich lokale Benutzer und Domänenbenutzer jederzeit an dem Rechner anmelden und die Programme (und Maschinen) der anderen Benutzer laufen weiter, wenn sie sich nicht abgemeldet, sondern nur getrennt haben. Das ließe sich aber ebenfalls einstellen, dass sich ein Benutzer komplett abmelden muss, bevor ein neuer Benutzer sich anmeldet. Damit beenden sich alle Programme.
Es ist zwar möglich im Active Directory auch anonyme Konten einzurichten (ein Benutzerprofil pro Maschine) und mehrere Benutzer kennen dessen Passwort, schöner und sicherer ist es jedoch, wenn jeder Benutzer sein eigenes Konto und Passwort hat. Der Nachteil ist, wie Du schon überlegt hast, Du musst dem Benutzer berechtigungstechnisch eine einzige Maschine zuweisen. Als Systemvariable, als benutzerspezifische Umgebungsvariable, als benutzerdefiniertes Feld in der Benutzerverwaltung, als Startdatei im Home Laufwerk, als Berechtigung nur bestimmte Programme öffnen zu dürfen, oder wie auch immer. Es sollte also keinen Benutzer geben, der mehrere Maschinen steuern darf.
Du könntest natürlich auch jedem Benutzer alle Maschinenrechte lassen und es programmtechnisch steuern, nach dem Motto: Wenn ein Programm gestartet wird, erscheint die Meldung: Maschine 2 läuft bereits. Bitte beenden Sie Diese vorher. (Eine einfache Überprüfung der laufenden Tasks). Das geht auch schon als Batch vor dem eigentlichen Start der .exe - Du musst nur verhindern, dass die Benutzer die .exe direkt starten wollen.
Domänenbenutzer werden auf dem lokalen Computer ganz genau so behandelt, wie lokale Benutzer, nur, dass sie einfacher per Remote verwaltet werden können und dass sie, wenn gewünscht, die Benutzerprofile im Netzwerk gespeichert haben können.
Du hast Dir mit der lokalen Benutzerverwaltung einfach nur die Verwaltung aufgetrennt. Domänenbenutzereinstellungen und Berechtigungen liegen im Active Directory, lokale Benutzereinstellungen und Berechtigungen liegen lokal auf dem Computer. Mehr hast Du nicht erreicht.
Wenn Du Dir die lokale Benutzerverwaltung anschaust, z.B. eine Sicherheitsgruppe, dann befinden sich darin lokale Benutzer z.B. Müller genau so, wie Domänenbenutzer wie z.B. domäne\Meier. Nur der Name ist länger, sonst nichts. Adminrechte oder andere Rechte kannst Du beiden geben. Es spricht also nichts dagegen alle Benutzer im Active Directory zu verwalten, sonst musst Du immer an zwei verschiedenen Stellen verwalten.
Trotzdem können sich lokale Benutzer und Domänenbenutzer jederzeit an dem Rechner anmelden und die Programme (und Maschinen) der anderen Benutzer laufen weiter, wenn sie sich nicht abgemeldet, sondern nur getrennt haben. Das ließe sich aber ebenfalls einstellen, dass sich ein Benutzer komplett abmelden muss, bevor ein neuer Benutzer sich anmeldet. Damit beenden sich alle Programme.
Es ist zwar möglich im Active Directory auch anonyme Konten einzurichten (ein Benutzerprofil pro Maschine) und mehrere Benutzer kennen dessen Passwort, schöner und sicherer ist es jedoch, wenn jeder Benutzer sein eigenes Konto und Passwort hat. Der Nachteil ist, wie Du schon überlegt hast, Du musst dem Benutzer berechtigungstechnisch eine einzige Maschine zuweisen. Als Systemvariable, als benutzerspezifische Umgebungsvariable, als benutzerdefiniertes Feld in der Benutzerverwaltung, als Startdatei im Home Laufwerk, als Berechtigung nur bestimmte Programme öffnen zu dürfen, oder wie auch immer. Es sollte also keinen Benutzer geben, der mehrere Maschinen steuern darf.
Du könntest natürlich auch jedem Benutzer alle Maschinenrechte lassen und es programmtechnisch steuern, nach dem Motto: Wenn ein Programm gestartet wird, erscheint die Meldung: Maschine 2 läuft bereits. Bitte beenden Sie Diese vorher. (Eine einfache Überprüfung der laufenden Tasks). Das geht auch schon als Batch vor dem eigentlichen Start der .exe - Du musst nur verhindern, dass die Benutzer die .exe direkt starten wollen.
Hi,
ich würde noch den Sicherheitsaspekt in die Diskussion werfen. Braucht der Steuer-PC wirklich Domänen- und Internetzugriff? Es hängen schon genug Steuerungsanlagen im (in)direkten Internet, auch für kritische Infrastruktur. Gerade bei kleinen und mittleren Produktionsbetrieben wird häufig nicht so auf die Sicherheit geachtet und erst geschrien, wenn es zu spät ist. Weder die Maschinen noch deren Steuerung sollten m.E. im gleichen Netz sein, wie die Arbeits-PCs.
Die Netzwerkkonfiguration wird dann zwar einmalig etwas komplizierter, aber man kann deutlich ruhiger schlafen.
Vielleicht wäre auch mal ein Gespräch mit eurem örtlichen Stromversoger hilfreich
Gruß
cykes
ich würde noch den Sicherheitsaspekt in die Diskussion werfen. Braucht der Steuer-PC wirklich Domänen- und Internetzugriff? Es hängen schon genug Steuerungsanlagen im (in)direkten Internet, auch für kritische Infrastruktur. Gerade bei kleinen und mittleren Produktionsbetrieben wird häufig nicht so auf die Sicherheit geachtet und erst geschrien, wenn es zu spät ist. Weder die Maschinen noch deren Steuerung sollten m.E. im gleichen Netz sein, wie die Arbeits-PCs.
Die Netzwerkkonfiguration wird dann zwar einmalig etwas komplizierter, aber man kann deutlich ruhiger schlafen.
Vielleicht wäre auch mal ein Gespräch mit eurem örtlichen Stromversoger hilfreich
Gruß
cykes
Moin,
Hüstel, die Variable heißt "username". Auf der CMD-Zeile %username%, auf der PS $env:username. Hüstel ...
hth
Erik
Zitat von @PappnaseVxVV:
Kann ich über Systemvariablen z.B. herausfinden, welcher Domänenbenutzer gerade angemeldet ist und zu welchen Gruppen er gehört? Dann könnte ich sowas in die Software auch direkt reinprogrammieren.
Kann ich über Systemvariablen z.B. herausfinden, welcher Domänenbenutzer gerade angemeldet ist und zu welchen Gruppen er gehört? Dann könnte ich sowas in die Software auch direkt reinprogrammieren.
Hüstel, die Variable heißt "username". Auf der CMD-Zeile %username%, auf der PS $env:username. Hüstel ...
hth
Erik
Hi,
Wenn schon, dann das komplette Paket hier posten.
Zitat von @erikro:
Hüstel, die Variable heißt "username". Auf der CMD-Zeile %username%, auf der PS $env:username. Hüstel ...
Dieser Name sagt Dir aber nicht, aus welcher Domäne der Benutzer kommt, und auch nicht, in welchen Gruppen er ist.Hüstel, die Variable heißt "username". Auf der CMD-Zeile %username%, auf der PS $env:username. Hüstel ...
Wenn schon, dann das komplette Paket hier posten.
Zitat von @PappnaseVxVV:
Dann habt Ihr ein zusätzliches Problem. Was sind das für Maschinen? Und warum kannst Du diese nicht gleichzeitig steuern?
Es sind unterschiedliche Maschinen, teilweise verbraucht eine Maschine so viel Leistung, dass der Trafo draußen nicht genug Saft liefert, um die zweite Maschine auch noch anzusteuern. Daher kann entweder nur die eine oder andere betrieben werden.Sind das jetzt "Maschinen", also sowas wie CNC, welche jeweils von einem bestimmten Programm gesteuert werden, oder
meinst Du "Computer", auf welchen jeweils verschiedene Programme installiert sind?
meinst Du "Computer", auf welchen jeweils verschiedene Programme installiert sind?
Ja, es sind Maschinen - also große Anlagen und nicht unterschiedliche Computer.
Wie Du in Deinem Beitrag schreibst, entwickelst Du Software für dies Große Maschinen / Anlagen. Wie und was auch immer. Anscheinend sind das mehrere Steuercomputer, wovon immer nur einer betrieben werden kann, weil Ihr anscheinend Probleme mit der Stromversorgung habt.
Bezüglich der Berechtigungen, warum stellst Du diese Frage nicht den zuständigen Administratoren? Ich kann mir nicht vorstellen, daß es sich um eine kleine popelige 3-Mannfirma handelt,
Maschinen - also große Anlagen
betreibt und keine Administratoren im Unternehmen hat. Die erste Anlaufstelle sind also die Administratoren des Unternehmens / Standort.Also frage dort nach.
Gruss Penny.
Zitat von @emeriks:
Hi,
Wenn schon, dann das komplette Paket hier posten.
Hi,
Zitat von @erikro:
Hüstel, die Variable heißt "username". Auf der CMD-Zeile %username%, auf der PS $env:username. Hüstel ...
Dieser Name sagt Dir aber nicht, aus welcher Domäne der Benutzer kommt, und auch nicht, in welchen Gruppen er ist.Hüstel, die Variable heißt "username". Auf der CMD-Zeile %username%, auf der PS $env:username. Hüstel ...
Wenn schon, dann das komplette Paket hier posten.
Nagut:
$(get-aduser $env:username).distinguishedname
So leicht kommst Du mir nicht weg!
Was ist, wenn es mehrere Domänen im Forest gibt? Also, bitte: Anstrengen!
Was ist, wenn es mehrere Domänen im Forest gibt? Also, bitte: Anstrengen!
Schon besser. Aber WMI ... Igit!
Ich nehme für sowas direkt DotNet
Ich nehme für sowas direkt DotNet
[System.Security.Principal.WindowsIdentity]::GetCurrent().Name