none
Windows Benutzeraccount nur für die Authentifizierung RRS feed

  • Frage

  • Hallo,

    ich suche eine Möglichkeit, einen Benutzeraccount zu erstellen, der nur gegen das AD authentifiziert wird aber sich nirgendwo einloggen oder auf Daten zugreifen kann.

    Danke

    Mittwoch, 2. Mai 2012 17:06

Antworten

  • Hello Thomas,
     
    die Richtline "Verweigern der lokalen Anmeldung" http://technet.microsoft.com/de-de/library/cc728210(v=ws.10).aspx
    sollte Dir helfen und eine sehr gute und dokumentierte Vorgabe für den Umgang
    mit freigegebenen Ordnern mit NTFS Rechten und Freigaberechten.
     
    Bei den Rechten solltest Du auf "Verweigern" VERZICHTEN um Dir nicht eine
    immense Suche zu ersparen falls Probleme auftreten. Besser ist es eine klare
    "Erlauben" Struktur zu benutzen und diesen speziellen Benutzer in keiner
    Gruppe zu haben.
     
    Best regards
     
    Meinolf Weber
    Disclaimer: This posting is provided "AS IS" with no warranties, and confers
    no rights.
    ** Please do NOT email, only reply to the Forum
    ** Send from Omea Reader 2.2
     
     

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    • Als Antwort vorgeschlagen Tim Buntrock Donnerstag, 3. Mai 2012 07:23
    • Als Antwort markiert Thomas Al Donnerstag, 3. Mai 2012 10:21
    Donnerstag, 3. Mai 2012 05:54
  • Hello Thomas,
     
    Die Benutzer melden sich doch nicht an dem RADIUS Server an oder etwa doch?
    Das sollte meines Erachtens funktionieren.
     
    Da Du ja sowieso vorher testen solltest, erstelle eine Test OU mit der entsprechenden
    Gruppenrichtlinie und ebenfalls einen Test Benutzer und probiere es aus.
     
    Best regards
     
    Meinolf Weber
    Disclaimer: This posting is provided "AS IS" with no warranties, and confers
    no rights.
    ** Please do NOT email, only reply to the Forum
    ** Send from Omea Reader 2.2
     
     

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    • Als Antwort markiert Thomas Al Donnerstag, 3. Mai 2012 10:22
    Donnerstag, 3. Mai 2012 07:11

Alle Antworten

  • Hi,

    was soll das Ziel von diesem Vorgehen sein?

    Viele Gruesse

     Thomas


    regards Thomas Paetzold visit my blog on: http://sus42.wordpress.com

    Mittwoch, 2. Mai 2012 20:58
  • Es dient nur der Authentifizierung der Nutzer. Z.B. geht es um Mac-Authentizierung, also Computer die anhand der MAC Adressen authentifiziert werden müssen aber sonst keine Berechtigungen haben sollen / dürfen.

    Danke

    Donnerstag, 3. Mai 2012 05:36
  • Hello Thomas,
     
    die Richtline "Verweigern der lokalen Anmeldung" http://technet.microsoft.com/de-de/library/cc728210(v=ws.10).aspx
    sollte Dir helfen und eine sehr gute und dokumentierte Vorgabe für den Umgang
    mit freigegebenen Ordnern mit NTFS Rechten und Freigaberechten.
     
    Bei den Rechten solltest Du auf "Verweigern" VERZICHTEN um Dir nicht eine
    immense Suche zu ersparen falls Probleme auftreten. Besser ist es eine klare
    "Erlauben" Struktur zu benutzen und diesen speziellen Benutzer in keiner
    Gruppe zu haben.
     
    Best regards
     
    Meinolf Weber
    Disclaimer: This posting is provided "AS IS" with no warranties, and confers
    no rights.
    ** Please do NOT email, only reply to the Forum
    ** Send from Omea Reader 2.2
     
     

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    • Als Antwort vorgeschlagen Tim Buntrock Donnerstag, 3. Mai 2012 07:23
    • Als Antwort markiert Thomas Al Donnerstag, 3. Mai 2012 10:21
    Donnerstag, 3. Mai 2012 05:54
  • Super Super,

    Kann ein RADIUS Server dann trotz dieser Richtlinie User authentifizieren

    Danke

    • Als Antwort markiert Thomas Al Donnerstag, 3. Mai 2012 09:36
    • Tag als Antwort aufgehoben Thomas Al Donnerstag, 3. Mai 2012 10:21
    Donnerstag, 3. Mai 2012 05:56
  • Hello Thomas,
     
    Die Benutzer melden sich doch nicht an dem RADIUS Server an oder etwa doch?
    Das sollte meines Erachtens funktionieren.
     
    Da Du ja sowieso vorher testen solltest, erstelle eine Test OU mit der entsprechenden
    Gruppenrichtlinie und ebenfalls einen Test Benutzer und probiere es aus.
     
    Best regards
     
    Meinolf Weber
    Disclaimer: This posting is provided "AS IS" with no warranties, and confers
    no rights.
    ** Please do NOT email, only reply to the Forum
    ** Send from Omea Reader 2.2
     
     

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    • Als Antwort markiert Thomas Al Donnerstag, 3. Mai 2012 10:22
    Donnerstag, 3. Mai 2012 07:11
  • Hi,
     
    Am 02.05.2012 19:06, schrieb Thomas Al:
    > ich suche eine Möglichkeit, einen Benutzeraccount zu erstellen, der nur
    > gegen das AD authentifiziert wird aber sich nirgendwo einloggen oder auf
    > Daten zugreifen kann.
     
    Pure Whitelist.
    Verwende an keiner Stelle deiner Berechtigungen "Jeder", "AuthBenutzer",
    "Domänen Benutzer" etc.
    Packe ihn in eine eigene Gruppe.
     
    Anstelle von Meinolfs "Verweigern der lokalen Anmeldung" kann man an dem
    Benutzerobjekt auch ein Computerkonto definieren, an dem er sich
    anmelden darf. Wenn das "HutzelPutz" heisst, dann darf er sich nur an
    einem Computer mit diesem Namen anmelden ...
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    Donnerstag, 3. Mai 2012 09:12
  • Hallo,

    habs getestet und es funktioniert so. RADIUS igrnoriert diese Gruppenzugehörigkeit

    Donnerstag, 3. Mai 2012 10:22