pappnasevxvv
Goto Top

Windows 10 - Kombination von lokalen Benutzerkonten und Benutzern aus einer Domäne

Hi, würde gerne folgendes realisieren, von dem ich gern wüsste, ob es geht.

Ich habe einen Raum mit 3 Maschinen A, B und C. Ich kann jede Maschine nur einzeln steuern, nicht gleichzeitig. Jede Maschine läuft mit verschiedenen Programmen. Dazu habe ich auf dem Bedienrechner drei Benutzerprofile A, B und C für die jeweiligen Maschinen angelegt. Jedes Benutzerkonto hat ein Passwort.

Wir haben mehrere Mitarbeiter, die in einer Domäne verwaltet werden. Angenommen, wir haben 10 Mitarbeiter und nicht alle dürfen jedes Benutzerprofil vom o. genannten PC öffnen. Das geht, wenn nur der jeweilige Benutzerkreis das Passwort kennt. Soll sich das aber ändern, dann muss das Passwort für den Benutzer geändert werden und alle anderen darüber informiert werden.

Kann ich den Zugriff auf einem lokalen Benutzerkonto auch über eine Zugriffssteuerung über Domänenbenutzer erreichen, in dem ich z.B. eine Subanmeldung mache - ich wähle z.B. aus - Benutzerprofil A - ohne lokales Passwort - muss mich dann aber nochmal mit dem DomänenLogIn irgendwie authentifizieren?

Über Ideen würde ich mich freuen.

Content-ID: 487180

Url: https://administrator.de/forum/windows-10-kombination-von-lokalen-benutzerkonten-und-benutzern-aus-einer-domaene-487180.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

emeriks
emeriks 21.08.2019 aktualisiert um 22:55:17 Uhr
Goto Top
Hi,
erstmal müsst ich Deine Anliegen nachvollziehen können ...

Ich kann jede Maschine nur einzeln steuern, nicht gleichzeitig.
Was sind das für Maschinen? Und warum kannst Du diese nicht gleichzeitig steuern?
Jede Maschine läuft mit verschiedenen Programmen.
Sind das jetzt "Maschinen", also sowas wie CNC, welche jeweils von einem bestimmten Programm gesteuert werden, oder meinst Du "Computer", auf welchen jeweils verschiedene Programme installiert sind?
Dazu habe ich auf dem Bedienrechner drei Benutzerprofile A, B und C für die jeweiligen Maschinen angelegt.
Du meinst sicherlich Benutzerkonten? Konto und Profil sind verschiedene Sachen.

E.
SeaStorm
SeaStorm 21.08.2019 aktualisiert um 23:06:48 Uhr
Goto Top
hi

Warum gibt es lokale Benutzer, dazu aber verschiedene AD Benutzer? Was macht das für einen Sinn?

Geht es evtl. darum das nur bestimmte Benutzer irgendwelche Programme starten dürfen, aber alle Programme installiert sind oder sowas?

Wenn ja, dann kannst du das ja auf NTFS Ebene abfrühstücken und nur den (AD)Benutzern Lesen\Ausführen Rechte auf die entsprechenden Programme geben, die das eben ausführen sollen.

Du beschreibst uns hier irgendein (äusserst wirres) Problem, aber nicht, was du eigentlich vor hast.
PappnaseVxVV
PappnaseVxVV 21.08.2019 um 23:10:23 Uhr
Goto Top
Was sind das für Maschinen? Und warum kannst Du diese nicht gleichzeitig steuern?
Es sind unterschiedliche Maschinen, teilweise verbraucht eine Maschine so viel Leistung, dass der Trafo draußen nicht genug Saft liefert, um die zweite Maschine auch noch anzusteuern. Daher kann entweder nur die eine oder andere betrieben werden.

Sind das jetzt "Maschinen", also sowas wie CNC, welche jeweils von einem bestimmten Programm gesteuert werden, oder
meinst Du "Computer", auf welchen jeweils verschiedene Programme installiert sind?

Ja, es sind Maschinen - also große Anlagen und nicht unterschiedliche Computer.

Du meinst sicherlich Benutzerkonten? Konto und Profil sind verschiedene Sachen

Genau, ich meinte Benutzerkonten, drei Profile habe ich aber auch schon angelegt, wei ich versuchen wollte, bei den Profilen unterschiedliche Benutzer von der Domäne einzutragen und dann mit dem Benutzerkonto zu verheiraten, aber das klappte nicht.
SeaStorm
SeaStorm 21.08.2019 um 23:14:30 Uhr
Goto Top
und was unterscheiden diese profile ?
emeriks
emeriks 21.08.2019 aktualisiert um 23:19:24 Uhr
Goto Top
D.h. Du hast einen Steuercomputer.
Und für jede Maschine ein lokales Benutzerkonto auf diesem Computer.

Ist diese Computer Mitglied einer Domäne? Offensichtlich ja, sonst würdest Du nicht nach Domänen-Benutzer fragen.
Warum - zum Geier - dann überhaupt lokale Benutzerkonten?
Erstelle je Maschine eine Gruppe in der Domäne. Diesen Gruppen gibst Du die erforderlichen Berechtigungen für die Maschinen.
Wenn es also verschiedene Programme sind, dann einfach die NTFS-Berechtigungen für diese Programmpfade bearbeiten, alles außer "System" und "Administratoren" raus. Dann nur die entsprechende Domänen-Gruppe hinzufügen. Lesen oder Ändern - das hängt vom Programm ab.
Oder wenn es die selben Programme sind, dann ist in den Einstellungen der einzelnen Programme sicherlich eingestellt, welcher Benutzer was darf. Da trägst Du dann statt der lokalen Benutzer die Domänen-Benutzer ein (nicht die Gruppe "Domänen-Benutzer" !!) oder besser die betreffende Domänen-Gruppe, welche ich oben erwähnt habe.
PappnaseVxVV
PappnaseVxVV 21.08.2019 um 23:21:41 Uhr
Goto Top
Geht es evtl. darum das nur bestimmte Benutzer irgendwelche Programme starten dürfen, aber alle Programme installiert sind
oder sowas?

Genau darum geht es - ich hatte gedacht, ich installiere die jeweilige Software auf unterschiedlichen Benutzerkonten, dann kam die Problematik mit dem Passwort auf, dass man mit verschiedenen Usern teilen muss.

Das mit den Lese- und Ausführrechten für Programme/Verzeichnisse etc. ist die bessere Idee, darauf war ich nicht gekommen.
PappnaseVxVV
PappnaseVxVV 21.08.2019 um 23:27:08 Uhr
Goto Top
Oder wenn es die selben Programme sind, dann ist in den Einstellungen der einzelnen Programme sicherlich eingestellt, welcher
Benutzer was darf

Kann ich über Systemvariablen z.B. herausfinden, welcher Domänenbenutzer gerade angemeldet ist und zu welchen Gruppen er gehört? Dann könnte ich sowas in die Software auch direkt reinprogrammieren.

Erstelle je Maschine eine Gruppe in der Domäne. Diesen Gruppen gibst Du die erforderlichen Berechtigungen für die Maschinen.
Wenn es also verschiedene Programme sind, dann einfach die NTFS-Berechtigungen für diese Programmpfade bearbeiten, a
lles außer "System" und "Administratoren" raus. Dann nur die entsprechende Domänen-Gruppe hinzufügen. Lesen oder Ändern -
das hängt vom Programm ab.

Das klingt cool und sehr gut. Dazu hab ich noch eine Frage - mache ich die Rechtevergabe mit den Programmpfaden direkt auf dem Rechner, der mit den Maschinen verbunden ist, dass ich dann sage, dass dieser oder jene Pfad nur von den jeweiligen Domänengruppen aufgerufen werden darf oder lege ich die in der Domäne fest und muss dann auf dem Rechner genau diese Verzeichnisse so anlegen und benennen, wie sie dann vorher von der Domäne definiert wurden?
emeriks
emeriks 21.08.2019 aktualisiert um 23:38:33 Uhr
Goto Top
Zitat von @PappnaseVxVV:
Kann ich über Systemvariablen z.B. herausfinden, welcher Domänenbenutzer gerade angemeldet ist und zu welchen Gruppen er gehört? Dann könnte ich sowas in die Software auch direkt reinprogrammieren.
Ach, die Programme schreibt Ihr auch noch selbst? Oder meinst Du etwa sowas wie SPS?

Das klingt cool und sehr gut. Dazu hab ich noch eine Frage - mache ich die Rechtevergabe mit den Programmpfaden direkt auf dem Rechner, der mit den Maschinen verbunden ist, dass ich dann sage, dass dieser oder jene Pfad nur von den jeweiligen Domänengruppen aufgerufen werden darf oder lege ich die in der Domäne fest und muss dann auf dem Rechner genau diese Verzeichnisse so anlegen und benennen, wie sie dann vorher von der Domäne definiert wurden?
Boah eh ...
Nimm es mir bitte nicht übel: Wie teuer sind die Maschinen? Oder deren Stundensatz? Lohnt es sich deswegen möglicherweise, sich mal ein Systemhaus ins Haus zu holen, was sowas bei einer Tasse Kaffee bei Euch erledigt? Gegen Geld natürlich.

NTFS-Berechtigungen werden je Ordner und Dateien vergeben. Ob man das am Computer macht, an welchem das Laufwerk angeschlossen ist, auf welchem diese Ordner und Datein gespeichert sind, oder remote von einem anderen Computer aus, das ist unerheblich. Das macht jeder Admin anders.
Man kann sowas auch per GPO ausrollen. Aber bitte: Nein, frag jetzt nicht danach!
SeaStorm
SeaStorm 21.08.2019 um 23:52:46 Uhr
Goto Top
und warum genau braucht's da jetzt lokale Benutzerkonten ??
Henere
Henere 22.08.2019 um 01:25:50 Uhr
Goto Top
Zitat von @SeaStorm:

und warum genau braucht's da jetzt lokale Benutzerkonten ??

Aus meiner Erfahrung sind das gute Programmierer. Haben aber keine Ahnung von den OSsen darunter. face-smile
NordicMike
NordicMike 22.08.2019 aktualisiert um 04:56:34 Uhr
Goto Top
Die Benutzer würden gar nicht merken, ob sie ein lokales Konto oder ein Domänenkonto verwenden, bis auf eine kleine Anzeige beim Anmelden unter ihrem Passwort (Anmelden an: xxxx)

Domänenbenutzer werden auf dem lokalen Computer ganz genau so behandelt, wie lokale Benutzer, nur, dass sie einfacher per Remote verwaltet werden können und dass sie, wenn gewünscht, die Benutzerprofile im Netzwerk gespeichert haben können.

Du hast Dir mit der lokalen Benutzerverwaltung einfach nur die Verwaltung aufgetrennt. Domänenbenutzereinstellungen und Berechtigungen liegen im Active Directory, lokale Benutzereinstellungen und Berechtigungen liegen lokal auf dem Computer. Mehr hast Du nicht erreicht.

Wenn Du Dir die lokale Benutzerverwaltung anschaust, z.B. eine Sicherheitsgruppe, dann befinden sich darin lokale Benutzer z.B. Müller genau so, wie Domänenbenutzer wie z.B. domäne\Meier. Nur der Name ist länger, sonst nichts. Adminrechte oder andere Rechte kannst Du beiden geben. Es spricht also nichts dagegen alle Benutzer im Active Directory zu verwalten, sonst musst Du immer an zwei verschiedenen Stellen verwalten.

Trotzdem können sich lokale Benutzer und Domänenbenutzer jederzeit an dem Rechner anmelden und die Programme (und Maschinen) der anderen Benutzer laufen weiter, wenn sie sich nicht abgemeldet, sondern nur getrennt haben. Das ließe sich aber ebenfalls einstellen, dass sich ein Benutzer komplett abmelden muss, bevor ein neuer Benutzer sich anmeldet. Damit beenden sich alle Programme.

Es ist zwar möglich im Active Directory auch anonyme Konten einzurichten (ein Benutzerprofil pro Maschine) und mehrere Benutzer kennen dessen Passwort, schöner und sicherer ist es jedoch, wenn jeder Benutzer sein eigenes Konto und Passwort hat. Der Nachteil ist, wie Du schon überlegt hast, Du musst dem Benutzer berechtigungstechnisch eine einzige Maschine zuweisen. Als Systemvariable, als benutzerspezifische Umgebungsvariable, als benutzerdefiniertes Feld in der Benutzerverwaltung, als Startdatei im Home Laufwerk, als Berechtigung nur bestimmte Programme öffnen zu dürfen, oder wie auch immer. Es sollte also keinen Benutzer geben, der mehrere Maschinen steuern darf.

Du könntest natürlich auch jedem Benutzer alle Maschinenrechte lassen und es programmtechnisch steuern, nach dem Motto: Wenn ein Programm gestartet wird, erscheint die Meldung: Maschine 2 läuft bereits. Bitte beenden Sie Diese vorher. (Eine einfache Überprüfung der laufenden Tasks). Das geht auch schon als Batch vor dem eigentlichen Start der .exe - Du musst nur verhindern, dass die Benutzer die .exe direkt starten wollen.
cykes
cykes 22.08.2019 um 06:49:24 Uhr
Goto Top
Hi,

ich würde noch den Sicherheitsaspekt in die Diskussion werfen. Braucht der Steuer-PC wirklich Domänen- und Internetzugriff? Es hängen schon genug Steuerungsanlagen im (in)direkten Internet, auch für kritische Infrastruktur. Gerade bei kleinen und mittleren Produktionsbetrieben wird häufig nicht so auf die Sicherheit geachtet und erst geschrien, wenn es zu spät ist. Weder die Maschinen noch deren Steuerung sollten m.E. im gleichen Netz sein, wie die Arbeits-PCs.
Die Netzwerkkonfiguration wird dann zwar einmalig etwas komplizierter, aber man kann deutlich ruhiger schlafen.
Vielleicht wäre auch mal ein Gespräch mit eurem örtlichen Stromversoger hilfreich face-wink

Gruß

cykes
erikro
erikro 22.08.2019 um 08:19:42 Uhr
Goto Top
Moin,

Zitat von @PappnaseVxVV:
Kann ich über Systemvariablen z.B. herausfinden, welcher Domänenbenutzer gerade angemeldet ist und zu welchen Gruppen er gehört? Dann könnte ich sowas in die Software auch direkt reinprogrammieren.

Hüstel, die Variable heißt "username". Auf der CMD-Zeile %username%, auf der PS $env:username. Hüstel ...

hth

Erik
emeriks
emeriks 22.08.2019 um 08:22:53 Uhr
Goto Top
Hi,
Zitat von @erikro:
Hüstel, die Variable heißt "username". Auf der CMD-Zeile %username%, auf der PS $env:username. Hüstel ...
Dieser Name sagt Dir aber nicht, aus welcher Domäne der Benutzer kommt, und auch nicht, in welchen Gruppen er ist.
Wenn schon, dann das komplette Paket hier posten. face-wink
Penny.Cilin
Penny.Cilin 22.08.2019 um 08:32:37 Uhr
Goto Top
Zitat von @PappnaseVxVV:

Was sind das für Maschinen? Und warum kannst Du diese nicht gleichzeitig steuern?
Es sind unterschiedliche Maschinen, teilweise verbraucht eine Maschine so viel Leistung, dass der Trafo draußen nicht genug Saft liefert, um die zweite Maschine auch noch anzusteuern. Daher kann entweder nur die eine oder andere betrieben werden.
Dann habt Ihr ein zusätzliches Problem.

Sind das jetzt "Maschinen", also sowas wie CNC, welche jeweils von einem bestimmten Programm gesteuert werden, oder
meinst Du "Computer", auf welchen jeweils verschiedene Programme installiert sind?

Ja, es sind Maschinen - also große Anlagen und nicht unterschiedliche Computer.
OK. Und wo ist das Problem diese (zumindest den Typ) zu benennen?

Wie Du in Deinem Beitrag schreibst, entwickelst Du Software für dies Große Maschinen / Anlagen. Wie und was auch immer. Anscheinend sind das mehrere Steuercomputer, wovon immer nur einer betrieben werden kann, weil Ihr anscheinend Probleme mit der Stromversorgung habt.

Bezüglich der Berechtigungen, warum stellst Du diese Frage nicht den zuständigen Administratoren? Ich kann mir nicht vorstellen, daß es sich um eine kleine popelige 3-Mannfirma handelt,
Maschinen - also große Anlagen
betreibt und keine Administratoren im Unternehmen hat. Die erste Anlaufstelle sind also die Administratoren des Unternehmens / Standort.

Also frage dort nach.

Gruss Penny.
erikro
erikro 22.08.2019 um 11:34:03 Uhr
Goto Top
Zitat von @emeriks:

Hi,
Zitat von @erikro:
Hüstel, die Variable heißt "username". Auf der CMD-Zeile %username%, auf der PS $env:username. Hüstel ...
Dieser Name sagt Dir aber nicht, aus welcher Domäne der Benutzer kommt, und auch nicht, in welchen Gruppen er ist.
Wenn schon, dann das komplette Paket hier posten. face-wink

Nagut:

$(get-aduser $env:username).distinguishedname

face-wink
emeriks
emeriks 22.08.2019 um 11:54:41 Uhr
Goto Top
Zitat von @erikro:
So leicht kommst Du mir nicht weg! face-wink
Was ist, wenn es mehrere Domänen im Forest gibt? Also, bitte: Anstrengen! face-smile
erikro
erikro 22.08.2019 um 14:34:24 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @erikro:
So leicht kommst Du mir nicht weg! face-wink
Was ist, wenn es mehrere Domänen im Forest gibt? Also, bitte: Anstrengen! face-smile

Och Menno:

$(get-wmiobject win32_computersystem).username

So, nun aber. face-wink
emeriks
emeriks 22.08.2019 aktualisiert um 14:43:02 Uhr
Goto Top
Zitat von @erikro:
Schon besser. Aber WMI ... Igit!
Ich nehme für sowas direkt DotNet
[System.Security.Principal.WindowsIdentity]::GetCurrent().Name
PappnaseVxVV
PappnaseVxVV 22.08.2019 aktualisiert um 14:59:59 Uhr
Goto Top
OK. Und wo ist das Problem diese (zumindest den Typ) zu benennen?

Es sind zwei Backstraßen, wovon jede mehr als 2500kW Anschlussleistung hat, daher kann jede nur einzeln betrieben werden. Es kann aber auch nur eine immer eingeschaltet werden, wird die andere eingeschaltet, reagiert die andere nicht.

Anscheinend sind das mehrere Steuercomputer, wovon immer nur einer betrieben werden kann

Nein, es ist ein Computer, an dem die unterschiedlichen Anlagen angeschlossen sind. Natürlich haben die Anlagen noch eigene Steuercomputer, die mit dem Bedienrechner verbunden sind. Es werden aber zwei verschidene Programme für die unterschiedlichen Geräte zum Ansteuern benutzt.

Dann habt Ihr ein zusätzliches Problem

Nein, haben wir nicht.

ich würde noch den Sicherheitsaspekt in die Diskussion werfen. Braucht der Steuer-PC wirklich Domänen- und Internetzugriff

Domänenzugriff braucht der, mit dem Internet ist der aber nicht verbunden. Wir haben ein Managed Switch, in dem genau eingestellt werden kann, welche Rechner wie kommunizieren können. Zur Telefondose geht nur ein Kabel aus dem Switch raus und ich kann in dem Menü vom Switch gemau sagen, welche anderen Leitungen mit dieser Leitung kommunizieren können - es kann also sogar nicht einfach jemand seinen eigenen PC an die Netzwerkdose anstöpseln und dann ins Internet kommen.

Vielleicht wäre auch mal ein Gespräch mit eurem örtlichen Stromversoger hilfreich

Das Problem ist, dass ein größerer Trafo auch eine entsprechende Zuleitung braucht. Es kommt nur eine 10kV-Leitung hier noch an. Und ein neuer Trafo kostet nicht mal 10-20 Tausend Euro, sondern wir würden uns da eher im Bereich von 300-400 Tausend Euro bewegen - also nicht so einfach, mal an der Stromversorgung etwas dran zu drehen...

und warum genau braucht's da jetzt lokale Benutzerkonten ??

Nachdem, was ich jetzt gelernt habe, brauche ich keine lokalen Benutzerkonten. Das einfachste ist das mit dem Zugriff über zugelassene Verzeichnisse, in denen die jeweiligen Programme abgelegt werden.

Vielen Dank für Eure Unterstüztungen.
erikro
erikro 22.08.2019 um 16:39:51 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @erikro:
Schon besser. Aber WMI ... Igit!
Ich nehme für sowas direkt DotNet
> [System.Security.Principal.WindowsIdentity]::GetCurrent().Name
> 

Is ja gut. Heute war keine Zeit, tiefer darüber nachzudenken. face-wink