none
Benutzer darf sich nur an einer "Gruppe" von Workstations anmelden RRS feed

  • Frage

  • Hallo,

    ich habe mehrere Benutzer, die sich nur an bestimmten Rechnern anmelden dürfen. Derzeit habe ich das so gelöst, dass in den Eigenschaften des Benutzers (im AD) die Benutzer auf die Workstations eingeschränkt werden, wo sie sich anmelden dürfen. Das klappt auch ganz gut, wird aber ein administrativer GAU, wenn die Benutzeranzahl so langsam > 20 wird und dauernd Workstations dazukommen.

    Gibt es eine elegante Art, wie ich die Berechtigung des Benutzers auf eine Gruppe von WS beschränken kann? Wichtig: Ich habe noch ein paar hundert andere WS im AD, an denen ich GPO und OU technisch nichts ändern darf!

    Danke

    Micha

    Freitag, 8. Februar 2013 10:41

Antworten

  • Hi,

    Am 08.02.2013 11:41, schrieb Michael Fana:

    Gibt es eine elegante Art, wie ich die Berechtigung des Benutzers auf eine Gruppe von WS beschränken kann?

    Lokale Sicherheitsrichtlinie -> Zuweisen von BEnutzerrechten
    "Lokale Anmeldung"
    "Lokale Anmeldung verweigern"

    pro Gruppe von Computern eine GPO, gefiltert auf die Computer und darin die die Lokale Anmeldung für eine Sicherheitsgruppe von Benutzern definieren. In der Gruppe, diejenigen, die sich anmelden dürfen.
    Auf allen anderen PCs eine GPO in der dieser BenutzerGRuppe die Anmeldung verweigert wird.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 8. Februar 2013 10:54
  • Am 08.02.2013 schrieb Michael Fana:

    ich habe mehrere Benutzer, die sich nur an bestimmten Rechnern anmelden dürfen. Derzeit habe ich das so gelöst, dass in den Eigenschaften des Benutzers (im AD) die Benutzer auf die Workstations eingeschränkt werden, wo sie sich anmelden dürfen. Das klappt auch ganz gut, wird aber ein administrativer GAU, wenn die Benutzeranzahl so langsam > 20 wird und dauernd Workstations dazukommen.

    Evtl. kannst Du per Powershell die Rechner eintragen. Anhand von
    Gruppenmitgliedschaften oder anderen Dingen kannst Du die Benutzer
    eingrenzen und die Rechner eintragen.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Freitag, 8. Februar 2013 20:02

Alle Antworten

  • Hi,

    Am 08.02.2013 11:41, schrieb Michael Fana:

    Gibt es eine elegante Art, wie ich die Berechtigung des Benutzers auf eine Gruppe von WS beschränken kann?

    Lokale Sicherheitsrichtlinie -> Zuweisen von BEnutzerrechten
    "Lokale Anmeldung"
    "Lokale Anmeldung verweigern"

    pro Gruppe von Computern eine GPO, gefiltert auf die Computer und darin die die Lokale Anmeldung für eine Sicherheitsgruppe von Benutzern definieren. In der Gruppe, diejenigen, die sich anmelden dürfen.
    Auf allen anderen PCs eine GPO in der dieser BenutzerGRuppe die Anmeldung verweigert wird.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 8. Februar 2013 10:54
  • Danke Dir, aber das widerspricht der Anforderung, dass an den anderen Rechnern nichts an OU, bzw. GPO geändert werden darf...

    Freitag, 8. Februar 2013 11:10
  • Hi,

    Am 08.02.2013 12:10, schrieb Michael Fana:

    aber das widerspricht der Anforderung, dass an den anderen Rechnern nichts an OU, bzw. GPO geändert werden darf...

    Ja und?
    Eine Anforderung, die technisch nicht einzuhalten ist, ist sinnfrei.
     Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 8. Februar 2013 11:22
  • Am 08.02.2013 schrieb Michael Fana:

    ich habe mehrere Benutzer, die sich nur an bestimmten Rechnern anmelden dürfen. Derzeit habe ich das so gelöst, dass in den Eigenschaften des Benutzers (im AD) die Benutzer auf die Workstations eingeschränkt werden, wo sie sich anmelden dürfen. Das klappt auch ganz gut, wird aber ein administrativer GAU, wenn die Benutzeranzahl so langsam > 20 wird und dauernd Workstations dazukommen.

    Evtl. kannst Du per Powershell die Rechner eintragen. Anhand von
    Gruppenmitgliedschaften oder anderen Dingen kannst Du die Benutzer
    eingrenzen und die Rechner eintragen.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Freitag, 8. Februar 2013 20:02