none
AD-Benutzer an Computerkonto binden RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich suche eine Möglichkeit, um AD-Benutzer an ein bestimmtes Computerkonto zu binden. Benutzern soll es daher nicht mehr möglich sein, sich an ALLEN Computern im AD anmelden zu dürfen.

    Ich kenne das "Log on to"-Feld im Benutzerkonto, aber wir haben hier in der Vergangenheit teilweise ein merkwürdiges Verhalten festgestellt, z.B. wenn sich Benutzer von zu Hause per OWA anmelden wollten hat dies nicht funktioniert. Es kann ja aber nicht Sinn der Sache sein, dass bei "Log on to" auch die Exchange-Server hinterlegt werden müssen?!

    "Log on to" erscheint mir nicht mehr zeitgemäß und eher ein Relikt aus früheren Zeiten zu sein.

    Hat jemand ne Idee wie man das ein wenig moderner umsetzen könnte? Ich habe mir überlegt:

    • für jeden Client-Computer eine AD-Gruppe zu erstellen, die dann in der lokalen Gruppe "Users" hinterlegt wird
    • Der Benutzer wird für seinen persönlichen PC freigeschaltet in dem er in die entsprechende Gruppe aufgenommen wird
    • benötigt er Logon-Rechte für weitere Rechner (z.B. Bereitschafts-Laptop o.ä.) kann er sich dies selbständig über einen Self-Service bestellen

    Meinungen? Vorschläge?

    Viele Grüße
    Miranda

    Montag, 11. September 2017 10:13
    |

Alle Antworten

  • Discussion
    Anmelden
    1
    Anmelden

    Hallo Miranda,

    Eine GPO bauen und dort unter Zuweisen von Benutzerrechten den User in Option "Lokal anmelden verweigern". Die GPO auf alle Computer anwenden aber bei der Sicherheitsfilterung den gewünschten Computer eintragen mit dem Recht "Richtlinie Übernehmen" auf verweigern.

    So kann sich dieser Nutzer nur an genau diesem System anmelden.

    Wenn es mehr Nutzer sind würde ich auf die Version gehen dann pro OU jeweils eine Gruppe pflegen und diese dann "Lokal anmelden zulassen" berechtigen.

    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    Montag, 11. September 2017 11:05
    |
  • Discussion
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 11.09.2017 um 12:13 schrieb MirandaVeracruz:
    > ich suche eine Möglichkeit, um AD-Benutzer an ein bestimmtes
    > Computerkonto zu binden. Benutzern soll es daher nicht mehr möglich
    > sein, sich an ALLEN Computern im AD anmelden zu dürfen.
     
     
    Grob umrissen: Du baust eine lokale Gruppe auf jedem PC mit dem
    gewünschten Recht, zB "Lokal Anmelden" = "LogonLocally" (SiGruppe), die
    als einzige inkl. der Administratoren das Recht hat, sich lokal
    anzumelden. Das machst du über "Zuweisen von Benutzerrechten"
     
    In diese Gruppe steckst du über GPP Lokale Benutzer und Gruppen eine
    Domänen Sicherheitsgruppe die immer so heisst wie der Computer, also zB
    PC12345-LogonLocally und in der GPO definierst du:
    Hinzufügen von "%computername%-LogonLocally" zu LogonLocally. Jeder
    Computer löst die Variable für sich auf. In die Domänengruppe kommen
    dann due Anwender, die sich anmelden dürfen.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Montag, 11. September 2017 11:40
    |
  • Discussion
    Anmelden
    0
    Anmelden

    > Ich kenne das "Log on to"-Feld im Benutzerkonto, aber wir haben hier in der Vergangenheit teilweise ein merkwürdiges Verhalten festgestellt, z.B. wenn sich Benutzer von zu Hause per OWA anmelden wollten hat dies nicht funktioniert. Es kann ja aber nicht Sinn der Sache sein, dass bei "Log on to" auch die Exchange-Server hinterlegt werden müssen?!

    Doch :-)

    Beschäftige Dich mal intensiver mit den schon vorhandenen Tips sowie mit den Sicherheitseinstellungen "Lokal anmelden zulassen/verweigern" und "Auf diesen Computer vom Netzwerk zugreifen" (das ist das, was Du wegen Exchange bräuchtest...)

    Montag, 11. September 2017 12:50
    |