none
Lokale Anmeldung verweigern - Attribut RRS feed

  • Frage

  • Nabend!

    Ich befasse mich gerade mit dem Thema PowerShell und lokale Benutzeraccounts und der Möglichkeit, eine Anmeldung an der Windows-Maschine zu unterbinden.

    Welches Attribut ist dafür verantwortlich, damit ich z.B. danach filtern kann?

    Ich weiß, dass man es per lokaler Sicherheitsrichtlinie ein/ausschalten kann und mit einer WMI-Abfrage bin ich auch schon an folgende Daten gekommen.

    UserFlags                  : {66049}
    MaxStorage                 : {-1}
    PasswordAge                : {109216}
    PasswordExpired            : {0}
    LoginHours                 : {255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255}
    FullName                   : {Benutzerkonto des Administrationsservers}
    Description                : {Benutzerkonto, unter dem der Administrationsserver gestartet wird.}
    BadPasswordAttempts        : {0}
    LastLogin                  : {18.01.2017 23:06:36}
    HomeDirectory              : {}
    LoginScript                : {}
    Profile                    : {}
    HomeDirDrive               : {}
    Parameters                 : {}
    PrimaryGroupID             : {513}
    Name                       : {KL-AK-A2DC08DBA8DAEA}
    MinPasswordLength          : {7}
    MaxPasswordAge             : {3628800}
    MinPasswordAge             : {86400}
    PasswordHistoryLength      : {24}
    AutoUnlockInterval         : {1800}
    LockoutObservationInterval : {1800}
    MaxBadPasswordsAllowed     : {0}
    objectSid                  : {1 5 0 0 0 0 0 5 21 0 0 0 207 3 45 92 23 195 249 163 196 92 217 59 246 3 0 0}
    AuthenticationType         : Secure
    Children                   : {}
    Guid                       : {D83F1060-1E71-11CF-B1F3-02608C9E7553}
    ObjectSecurity             : 
    NativeGuid                 : {D83F1060-1E71-11CF-B1F3-02608C9E7553}
    NativeObject               : System.__ComObject
    Parent                     : WinNT://DOMÄNE/PC/
    Password                   : 
    Path                       : WinNT://DOMÄNE/PC/KL-AK-A2DC08DBA8DAEA
    Properties                 : {UserFlags, MaxStorage, PasswordAge, PasswordExpired...}
    SchemaClassName            : User
    SchemaEntry                : System.DirectoryServices.DirectoryEntry
    UsePropertyCache           : True
    Username                   : 
    Options                    : 
    Site                       : 
    Container                  : 

    Ich find auch keine Option im Konto selbst, wenn ich es per mmc aufrufe. Daher wollte ich über PowerShell gehen. Geht da was?


    • Bearbeitet ajwh Donnerstag, 19. Januar 2017 00:12
    Mittwoch, 18. Januar 2017 23:59

Antworten

Alle Antworten

  • Das Attribut was du suchst, wäre vermutlich die Login/Logon Hours. Das lässt sich für lokale Benutzer z. B. über "net user" setzen. Siehe https://technet.microsoft.com/de-de/library/cc771865(v=ws.10).aspx: "A null value (blank) means a user can never log on."

    Gruß Olaf

    • Als Antwort markiert ajwh Freitag, 20. Januar 2017 20:54
    Donnerstag, 19. Januar 2017 13:53
  • Moin,

    und was reicht Dir nicht an der lokalen Sicherheitsrichtlinie, um das tatsächlich per Recht zur interaktiven Anmeldung zu regeln?

    Das Problem mit den Logon Hours ist ja, dass jede Art der Anmeldung (so z.B. auch als Batch oder als Service) eingeschränkt wird, nicht nur die interaktive. Somit ist ein Konto, das auf "Logon Hours = All 0s"  gestellt ist, praktisch nutzlos.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    • Als Antwort markiert ajwh Freitag, 20. Januar 2017 20:44
    Donnerstag, 19. Januar 2017 18:20
  • > Ich befasse mich gerade mit dem Thema PowerShell und lokale Benutzeraccounts und der Möglichkeit, eine Anmeldung an der Windows-Maschine zu unterbinden.
     
    Du meinst vermutlich https://technet.microsoft.com/en-us/library/dn221980.aspx oder? Da ist mir kein Weg bekannt, das über PoSh zu ermitteln, ich kenne nur secedit /analyze bzw. gpresult /x (das XML dann analyiseren...)
     
     
    Freitag, 20. Januar 2017 10:00
  • Moin,

    und was reicht Dir nicht an der lokalen Sicherheitsrichtlinie, um das tatsächlich per Recht zur interaktiven Anmeldung zu regeln?

    Das Problem mit den Logon Hours ist ja, dass jede Art der Anmeldung (so z.B. auch als Batch oder als Service) eingeschränkt wird, nicht nur die interaktive. Somit ist ein Konto, das auf "Logon Hours = All 0s"  gestellt ist, praktisch nutzlos.


    Evgenij Smirnov

    Moin, moin, zum Aktivieren ist das super ausreichend.

    Bei der betreffenden Applikation, für die ich jetzt zuständig bin und mich gerade einarbeite, werden während der Installation automatisch Accounts erstellt, die keine interaktive Anmeldung erlauben. Ich stellte mir einfach die Frage, woran ich das zügig mal gegenchecken kann.


    • Bearbeitet ajwh Freitag, 20. Januar 2017 20:58
    Freitag, 20. Januar 2017 20:43
  • Nicht das was ich brauche, aber informativ!

    Freitag, 20. Januar 2017 20:58
  • Ja.

    Wenn das nicht anders geht, ist die Frage zumindest geklärt. :-)

    Freitag, 20. Januar 2017 21:03