none
Servicenutzer ohne Anmelderecht? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi Xperten!

    Wir verwenden verschiedene Accounts um Routineafgaben autoamtisch erledigen zu lassen. Diese "Sericenutzer" haben einen Anmeldenamen und ebenso ein komplexes Passwort.

    Nun haben wir evtl. findige Nutzer, die sich überlegen könnten, sich als dieser Servicenutzer anzumelden, um evtl. andere oder mehr Zugriffrechte zu bekommen. Daher würde ich gerne diesen "Servicenutzern" die Möglichkeit nehmen, dass sie sich in der Domäne an einem Rechner anmelden können. Ist das möglich ohne die eigentliche Funktion zu beeinträchtigen? Wenn ja, wie geht das am besten. - Windows Server 2008 R2, Funktionsebene leider immer noch 2003 R2, Clients: Windows 7 x64.

    Gruß,
    HH

    Dienstag, 4. Februar 2014 12:28
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi Holger,

    das kommt natürlich auf deine AD Struktur an.
    Wenn du das beispielsweise nur auf Clients anwenden willst, dann verknüpfst du die GPO an deine Client OU.
    Wenn es nur Terminalserver sein sollen, dann an die entsprechende Terminalserver OU.

    Ich vermute mal, du willst es für alle Computer in der Domäne (Server und Cilents):
    Verknüpfe Sie ans Root und setze den Sicherheitsfilter auf "Domain Computers".

    Gruß
    Lennart

    • Als Antwort markiert HolgerHa Mittwoch, 5. Februar 2014 07:51
    Dienstag, 4. Februar 2014 13:58
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Computerkonfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> lokale Richtlinien -> Zuweisen von Benutzerrechten: lokale Anmeldung verweigern.

    Da die Service Accounts, an deine entsprechende OU verlinken (oder an die einzelnen Geräte) und fertig.

    Gruß
    Lennart

    Dienstag, 4. Februar 2014 12:48
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo Lennard!
    Also über eine GPO. Okay.
    Wie es genau geht, verstehe ich aber nicht. Die Servicenutzer sollen sich generell an allen PCs nicht anmelden können. Unter "Lokale Anmeldung verweigern" habe ich jetzt die Service-Accouns reingenommen.

    Aber wo hänge ich jetzt die GPO ein?

    Gruß,
    Holger
    Dienstag, 4. Februar 2014 13:48
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi Holger,

    das kommt natürlich auf deine AD Struktur an.
    Wenn du das beispielsweise nur auf Clients anwenden willst, dann verknüpfst du die GPO an deine Client OU.
    Wenn es nur Terminalserver sein sollen, dann an die entsprechende Terminalserver OU.

    Ich vermute mal, du willst es für alle Computer in der Domäne (Server und Cilents):
    Verknüpfe Sie ans Root und setze den Sicherheitsfilter auf "Domain Computers".

    Gruß
    Lennart

    • Als Antwort markiert HolgerHa Mittwoch, 5. Februar 2014 07:51
    Dienstag, 4. Februar 2014 13:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Ja genau, es soll die Service-Accounts an aller Rechner treffen.
    Uiuiuiui, wenn das mal gut geht. Nicht dass sich dann alle nicht mehr anmelden können. Ich habe es erst mal an eine Computer-Test-OU verlinkt und probiere das mal aus.

    Danke erst mal für Deine Hilfe!

    Beste Grüße,
    Holger

    Dienstag, 4. Februar 2014 14:05
    |
  • Question
    Anmelden
    0
    Anmelden
    Hier meine Rückmeldung:

    Klappt wie beschrieben super! Danke!
    Mittwoch, 5. Februar 2014 07:52
    |