Windows Anmeldung lokal und auf der Domäne für eine bestimmte Benutzergruppe verweigern
Hallo Leute,
ich benötige mal wieder Hilfe von euch.
Folgendes System:
- Windows Server 2003 SP2
- Domänecontroller
Ich möchte, dass allen Benutzer der Gruppe "noRights" die Windowsanmeldung (lokal und auf der Domäne) an allen Computer der Domäne verweigert wird. Wie kann ich das per Gruppenrichtlinie realisieren. Ich suche bereits seit einer Stunde nach eine vernüpftigen Lösung. Ich möchte auch nicht jedem einzelnen Benutzer im AD mitteilen, dass er sich an keinem Rechner anzumelden hat. Darüber hinaus sollen die Benutzer der Gruppe "noRights" auf die OWA vom Exchange zugreifen können, dies sollte eigentlich kein Problem sein.
Unter der Default Domain Policy der Domäne Test befindet sich unter Computerkonfiguration --> Windows Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Zuweisung von Benutzerrechten der Punkt "Lokal anmelden verweigern". Gibt es sowas auch für die normale Windows Anmeldung bei der Domäne? Anmelden über Terminaldienste verweigern kann es ja nicht sein da diese doch für Terminalsitzungen u.a. benutzt wird.
Hat jemand einen Tipp wie ich den gewünschten Zustand realisiert bekomme?
Ein Ansatz wäre ja nur den Domänen-Benutzern die Windows anmeldung zu erlauben. Wie komme ich bloß zu diesem Zustand?
Vielen Dank für eure Unterstützung.
ich benötige mal wieder Hilfe von euch.
Folgendes System:
- Windows Server 2003 SP2
- Domänecontroller
Ich möchte, dass allen Benutzer der Gruppe "noRights" die Windowsanmeldung (lokal und auf der Domäne) an allen Computer der Domäne verweigert wird. Wie kann ich das per Gruppenrichtlinie realisieren. Ich suche bereits seit einer Stunde nach eine vernüpftigen Lösung. Ich möchte auch nicht jedem einzelnen Benutzer im AD mitteilen, dass er sich an keinem Rechner anzumelden hat. Darüber hinaus sollen die Benutzer der Gruppe "noRights" auf die OWA vom Exchange zugreifen können, dies sollte eigentlich kein Problem sein.
Unter der Default Domain Policy der Domäne Test befindet sich unter Computerkonfiguration --> Windows Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Zuweisung von Benutzerrechten der Punkt "Lokal anmelden verweigern". Gibt es sowas auch für die normale Windows Anmeldung bei der Domäne? Anmelden über Terminaldienste verweigern kann es ja nicht sein da diese doch für Terminalsitzungen u.a. benutzt wird.
Hat jemand einen Tipp wie ich den gewünschten Zustand realisiert bekomme?
Ein Ansatz wäre ja nur den Domänen-Benutzern die Windows anmeldung zu erlauben. Wie komme ich bloß zu diesem Zustand?
Vielen Dank für eure Unterstützung.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 170310
Url: https://administrator.de/forum/windows-anmeldung-lokal-und-auf-der-domaene-fuer-eine-bestimmte-benutzergruppe-verweigern-170310.html
Ausgedruckt am: 29.04.2025 um 10:04 Uhr
2 Kommentare
Neuester Kommentar
Moin
ich sehe dein Problem nicht. Das komplette Anmelden an der Domäne darfst du sicher nicht verhindern, denn dann wird sich auch der Zugriff auf OWA erübrigen.
Die passende Einstellung hast du doch bereits gefunden. Wenn du per GPO definierst, wer sich nicht lokal anmelden kann, dann ist doch alles geregelt. Definiere so etwas aber bitte nicht über die Default Domain Policy. Die betroffenen Rechner sollten sich im Bereich einer OU befinden und dort solltest du auch mit der Richtlinie ansetzen.
Wieso hast du überhaupt lokale Benutzerkonten auf den Rechnern ?
Gruß
Hubert
ich sehe dein Problem nicht. Das komplette Anmelden an der Domäne darfst du sicher nicht verhindern, denn dann wird sich auch der Zugriff auf OWA erübrigen.
Die passende Einstellung hast du doch bereits gefunden. Wenn du per GPO definierst, wer sich nicht lokal anmelden kann, dann ist doch alles geregelt. Definiere so etwas aber bitte nicht über die Default Domain Policy. Die betroffenen Rechner sollten sich im Bereich einer OU befinden und dort solltest du auch mit der Richtlinie ansetzen.
Ein Ansatz wäre ja nur den Domänen-Benutzern die Windows anmeldung zu erlauben.
Wieso hast du überhaupt lokale Benutzerkonten auf den Rechnern ?
Gruß
Hubert
Hallo Hubert,
lokale Benutzerkonten sind wenn dann nur Adminkonten ich meinte mit der Aussage das bezogen auf die gesamte Domäne.
lokale Benutzerkonten sind wenn dann nur Adminkonten ich meinte mit der Aussage das bezogen auf die gesamte Domäne.
