none
Interaktiv anmelden verhindern - lokal anmelden aber zulassen - wie? RRS feed

  • Allgemeine Diskussion

  • Diese Frage ist vielleicht etwas knifflig...

    Ich habe in Active Directory ein Benutzerkonto angelegt, damit SharePoint Server 2010 auf den SQL Server 2008 R2 zugreifen kann.

    Wie ich jetzt festgestellt habe, muss dieses Benutzerkonto die Richtlinie "lokal anmelden zulassen" besitzen bzw. darf die Richtlinie "lokal anmelden verweigern" nicht besitzen.

    Nun möchte ich aber verhindern, dass sich irgendjemand beim Windows Anmeldedialog mit der Benutzerzugangskennung für eben dieses Dienstkonto anmeldet.

    Gibt es hierzu eine geeignete Richtlinie, etwas sowas wie "interaktiv anmelden verhindern"?

    Besten Dank für jede Hilfe im Voraus!

     


    Vote here for a Microsoft Connect feedback channel on Windows!

    Mittwoch, 12. Januar 2011 16:20

Alle Antworten

  • Du könnstes im Benutzerobjekt einfach angeben, an welchen Computern sich das Konto anmelden darf.

     


    Viele Grüße Carsten
    Donnerstag, 13. Januar 2011 07:19
  • Das wäre in meinem Fall leider nicht ausreichend, da ich nur einen Computer (eine VM) habe, auf der alles läuft. TFS stellt hier die Anforderung, dass NETWORKSERVICE nicht ausreichend ist, sondern ein "normales" Konto vorliegen muss.

     


    Vote here for a Microsoft Connect feedback channel on Windows - and win a better Windows!

    Donnerstag, 13. Januar 2011 09:01
  • Also wenn das Konto das Recht "lokale Anmeldung" zwingend benötigt, kann ich dem Server leider nicht sagen das es nur funktioniert, wenn ein bestimmter Benutzer vor dem Anmeldedialog sitz ....

    In dem Fall würde ich für das Konto ein starkes Kennwort setzen. Danach kann man in dem Konto auch aktivieren, das dieses Konto nicht gesperrt wird. Wenn man dann das Kennwort in bestimmten Zeitintervallen ändert, ist es auch für ein Tool nicht so einfach, das Kennwort rechtzeitig zu knacken.

    Die Benutzer können dann gerne versuchen sich mit dem Konto anzumelden. Da sie aber das Kennwort nicht kennen, kommen sie nicht rein.


    Viele Grüße Carsten
    Donnerstag, 13. Januar 2011 10:34
  • Vielen Dank für deine Info!

    Ich hatte gehofft, dass es eine Richtlinie gäbe, die ausreicht, dass ein Benutzerkonto zwar als "Impersonation" funktioniert (TFS verwendet Impersonation, um sich dann beim SQL Server mit dieser Windows-Anmeldung anzumelden), aber dass man halt dieses Konto z. B. nicht in der Liste der Konten bei der Anmeldung, wie sie jetzt beim Windows Server 2008 R2 üblich ist, angezeigt bekommt.

    Sicher hast du das schon gesehen: Man fährt Windows Server 2008 R2 hoch, dann erscheint eine Liste von Icons mit Benutzernamen, von denen man einen auswählen muss, um sich dann anzumelden (ich weiß, das kann man auch abschalten, aber mir geht's hier um's Prinzip). Ich will diesen "virtuellen" Benutzer nicht in dieser Liste auftauchen sehen. Weißt du, was ich meine?

    Hier mal einen Screenshot von dem Anmeldebildschirm mit verschiedenen Benutzern darin:

    Windows 7 Logon screen

     


    Vote here for a Microsoft Connect feedback channel on Windows - and win a better Windows!

    Donnerstag, 13. Januar 2011 12:23
  • Ja, Mensch, Carsten, das ist es genau!

    Ich such jetzt grad bei Google, ob der Trick auch für Active Directory-Domänenkonten funktioniert und was man da auf welcher Maschine speichern muss - und ob das da überhaupt notwendig ist. Hättest du da - ggf. - auch einen Tipp parat?


    Vote here for a Microsoft Connect feedback channel on Windows - and win a better Windows!

    Samstag, 15. Januar 2011 16:09
  • Hi,

    leider habe ich keinen Trick parat und müsste selbst etwas experimentieren. Wenn die Domänen-Benutzer aber auf dem Logon-Screen angezeigt werden, muss der Server diese information ja selbst kennen. Es würde dir ja reichen, das SQL-Konto auszublenden.

    Teste es mal auf einem Sevrer aus und wenn das klappt, kannst du die Registry-Key auch über GPOs verteilen.


    Viele Grüße Carsten
    Dienstag, 18. Januar 2011 08:01
  • Hallo Axel

    konntest du inzwischen einen Weg finden die Benutzer auszublenden?

    Gruß
    Andrei

    Dienstag, 25. Januar 2011 08:21
    Moderator