17735
01.11.2007, aktualisiert am 04.11.2007
7922
8
0
Windows Server 2003 AD Benutzeranmeldung auf einen Rechner beschränken
Hallo,
ist es möglich, einen Benutzer im Active Directory so zu beschränken, dass er sich nur an einem einzigen Rechner in der Domäne anmelden kann und die anderen Rechner die Anmeldung verweigern?
Hintergrund ist der: Es soll ein Benutzer mit Mandatory Profile im AD angelegt werden, der die Rechte und Einstellungen so eingerichtet bekommt, dass sich die Benutzer damit auf dem Terminalserver anmelden können und Programme starten können (Benutzername z. B. tsuser oder ähnlich). Der Benutzer soll sich aber nicht an anderen PC's in der Domänen anmelden können, sondern nur am TSServer.
Frage: Ist das machbar? Und wie findet ihr generell diesen Lösungsansatz - habt ihr vielleicht bessere Vorschläge zur Umsetzung (z. B. mit mehreren Useraccounts anstatt einem?). Mir ist nämlich noch nicht so wohl bei der Idee, alles über einen Useraccount laufen zu lassen; andererseits sollen alle Benutzer die gleichen Einstellungen haben, die eben mandatory sind.
Naja, freue mich auf eure Antworten,
Ahnenforscher
ist es möglich, einen Benutzer im Active Directory so zu beschränken, dass er sich nur an einem einzigen Rechner in der Domäne anmelden kann und die anderen Rechner die Anmeldung verweigern?
Hintergrund ist der: Es soll ein Benutzer mit Mandatory Profile im AD angelegt werden, der die Rechte und Einstellungen so eingerichtet bekommt, dass sich die Benutzer damit auf dem Terminalserver anmelden können und Programme starten können (Benutzername z. B. tsuser oder ähnlich). Der Benutzer soll sich aber nicht an anderen PC's in der Domänen anmelden können, sondern nur am TSServer.
Frage: Ist das machbar? Und wie findet ihr generell diesen Lösungsansatz - habt ihr vielleicht bessere Vorschläge zur Umsetzung (z. B. mit mehreren Useraccounts anstatt einem?). Mir ist nämlich noch nicht so wohl bei der Idee, alles über einen Useraccount laufen zu lassen; andererseits sollen alle Benutzer die gleichen Einstellungen haben, die eben mandatory sind.
Naja, freue mich auf eure Antworten,
Ahnenforscher
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 72523
Url: https://administrator.de/forum/windows-server-2003-ad-benutzeranmeldung-auf-einen-rechner-beschraenken-72523.html
Ausgedruckt am: 22.04.2025 um 02:04 Uhr
8 Kommentare
Neuester Kommentar
Hi Ahnenforscher,
das einzrichten ist kein Problem.
Geh im AD in die Eigenschaften des Benutzers und dann auf die Registerkarte Konto. Dort klickst du auf den Butten Anmelden.... Dort schaltest du dann von Allen Computern auf Folgenden Computern:. Dann fügst du der Liste einfach noch den namen des Rechners / Terminal-Servers hinzu, auf dem sich der User anmelden können soll.
Alles mit OK bestätigen und du bist fertig.
mfg
andi
das einzrichten ist kein Problem.
Geh im AD in die Eigenschaften des Benutzers und dann auf die Registerkarte Konto. Dort klickst du auf den Butten Anmelden.... Dort schaltest du dann von Allen Computern auf Folgenden Computern:. Dann fügst du der Liste einfach noch den namen des Rechners / Terminal-Servers hinzu, auf dem sich der User anmelden können soll.
Alles mit OK bestätigen und du bist fertig.
mfg
andi
Danke für deine Antwort, das war das was ich gesucht habe.
Aber was hälst du bzw. haltet ihr von der Idee mit dem einen Benutzer? Oder sollte jeder Benutzer sich mit seinem Account am TS anmelden?
Gruß,
Ahnenforscher
Aber was hälst du bzw. haltet ihr von der Idee mit dem einen Benutzer? Oder sollte jeder Benutzer sich mit seinem Account am TS anmelden?
Gruß,
Ahnenforscher
Hi,
Ich persönlich würde jeden Benutzer einen eigenen User im AD anlegne, mit dem er sich dann auch am TS anmelden kann (hat den vorteil, das man nachfolziehen kann, wer eine Datei erstellt hat usw.).
mfg
andi
Ich persönlich würde jeden Benutzer einen eigenen User im AD anlegne, mit dem er sich dann auch am TS anmelden kann (hat den vorteil, das man nachfolziehen kann, wer eine Datei erstellt hat usw.).
mfg
andi
Hi andi,
ja - folgendes Problem: Es gibt ja bereits für jeden user einen Account im AD, der benutzt wird, um sich an den PC's anzumelden. Aber für den TS möchte ich für die User die Rechte deutlich beschneiden: Keinen Taskmanager, die lokalen Laufwerke des TS nicht sehen, keine Einstellungen ändern etc. Für die lokale Anmeldung an den PCs benötigen die User aber teilweise die Rechte - oder meinst du, ich sollte für jeden User noch einen Account für die Termianlnutzung einrichten?
Gruß,
Ahnenforscher
ja - folgendes Problem: Es gibt ja bereits für jeden user einen Account im AD, der benutzt wird, um sich an den PC's anzumelden. Aber für den TS möchte ich für die User die Rechte deutlich beschneiden: Keinen Taskmanager, die lokalen Laufwerke des TS nicht sehen, keine Einstellungen ändern etc. Für die lokale Anmeldung an den PCs benötigen die User aber teilweise die Rechte - oder meinst du, ich sollte für jeden User noch einen Account für die Termianlnutzung einrichten?
Gruß,
Ahnenforscher
ne,
einen zweiten User für jeden einzurichten ist ja irgendwie blödsin.
Das mit dem Taskmanger und den Lokalen Laufwerken müsste auch machbar sein, wenn sich jeder mit seinem User anmeldet (nur am TS nicht am ArbeitsplatzPC). Das sollte entweder über die Lokalen Sicherheitseinstellungen des TS oder über die Lokalen Gruppenrichtlinien des TS gehen.
mfg
andi
PS: Soll am TS nur eine Spezielle Anwendung laufen (z.B. Datenbank)?
einen zweiten User für jeden einzurichten ist ja irgendwie blödsin.
Das mit dem Taskmanger und den Lokalen Laufwerken müsste auch machbar sein, wenn sich jeder mit seinem User anmeldet (nur am TS nicht am ArbeitsplatzPC). Das sollte entweder über die Lokalen Sicherheitseinstellungen des TS oder über die Lokalen Gruppenrichtlinien des TS gehen.
mfg
andi
PS: Soll am TS nur eine Spezielle Anwendung laufen (z.B. Datenbank)?
ne,
einen zweiten User für jeden
einzurichten ist ja irgendwie blödsin.
sehe ich genauso.einen zweiten User für jeden
einzurichten ist ja irgendwie blödsin.
Das mit dem Taskmanger und den Lokalen
Laufwerken müsste auch machbar sein,
wenn sich jeder mit seinem User anmeldet (nur
am TS nicht am ArbeitsplatzPC). Das sollte
entweder über die Lokalen
Sicherheitseinstellungen des TS oder
über die Lokalen Gruppenrichtlinien des
TS gehen.
Ich weiß, ich stimme dir zu.Laufwerken müsste auch machbar sein,
wenn sich jeder mit seinem User anmeldet (nur
am TS nicht am ArbeitsplatzPC). Das sollte
entweder über die Lokalen
Sicherheitseinstellungen des TS oder
über die Lokalen Gruppenrichtlinien des
TS gehen.
mfg
andi
PS: Soll am TS nur eine Spezielle Anwendung
laufen (z.B. Datenbank)?
Jein, also ich habe ein "TS-Startcenter" geschrieben, das am besten als Shellersatz dienen soll und über das die Benutzer die Programme starten können. Den Explorer sollen sie nur als Dateinmanager verwenden können, nicht aber als Shell.andi
PS: Soll am TS nur eine Spezielle Anwendung
laufen (z.B. Datenbank)?
Gruß,
Ahnenforscher
ach, so ähnlich wie Citrix?
mfg
andi
mfg
andi
Ja genau, im Prinzip so wie Citrix - Citrix direkt soll aber bei uns nicht eingesetzt werden.
Allerdings ist bei "meiner Lösung" dann das Problem da, dass man den Explorer nicht nur als Dateimanager nutzen kann, denn wenn man ihn aus meinem Startcenter startet, lädt sich die Explorer-Shell was ja nicht beabsichtigt ist - eine Idee?
Gruß,
Ahnenforscher
Allerdings ist bei "meiner Lösung" dann das Problem da, dass man den Explorer nicht nur als Dateimanager nutzen kann, denn wenn man ihn aus meinem Startcenter startet, lädt sich die Explorer-Shell was ja nicht beabsichtigt ist - eine Idee?
Gruß,
Ahnenforscher
