Windows Server 2008 R2 Nur bestimmte Domänenuser bei bestimmten Computern erlauben

A

Atreju93

Lieutenant

Registriert

Nov. 2010

Beiträge

594

• 12. Februar 2016

• #1

Hallo zusammen

Trotz suche bei Google finde ich leider keinen passenden Eintrag zu meinem Problem. Ich finde nur konkrete Einträge für den Fall, dass sich ein bestimmter User nur an einem PC anmelden darf, jedoch nicht, dass auf einem PC nur ein Domänen Benutzer zugelassen ist.

Ich stehe vor dem Problem, dass für spezielle PCs in der Domäne (Windows2008R2 Domäne), nur 1 Benutzer erlaubt sein soll. (Schulungs-User auf Schulungs-PCs).

Wie bewerkstellige ich, dass die PC's nur ein Login von diesem einen User (Und natürlich ein Admin Konto) akzeptieren, und sich nicht ein User mit seinem persönlichen Benutzerkonto anmelden kann?

Gruss
Atreju

 

xCtrl

Lt. Commander

Registriert

Dez. 2011

Beiträge

1.532

• 12. Februar 2016

• #2

Im AD Benutzerkonto kannst du die Anmeldung an bestimmte PCs einschränken (Anmelden an...) :-)

 

A

Atreju93

Lieutenant

Ersteller dieses Themas

Registriert

Nov. 2010

Beiträge

594

• 12. Februar 2016

• #3

Dies ist leider gerade der umgekehrte Fall - ich schränke den User auf einen PC ein, ich müsste aber den PC auf einen User einschränken. Genau dies habe ich auch im Internet gefunden.

 

N

ntloader

Commander

Registriert

Juni 2004

Beiträge

2.475

• 12. Februar 2016

• #4

Das geht über eine GPO: https://4sysops.com/archives/deny-and-allow-workstation-logons-with-group-policy/
Du gibst quasi an, welche Nutzer oder Gruppen sich anmelden dürfen. Die PCs packst du alle in eine Gruppe und verlinkst die GPO auf die Gruppe mit den PCs.

 

xCtrl

Lt. Commander

Registriert

Dez. 2011

Beiträge

1.532

• 12. Februar 2016

• #5

Dann bliebe folgendes:

(um wieviele Rechner gehts da?)

Du gehst auf den jeweiligen Rechner in die Computerberwaltung -> Benutzer/Gruppen -> Gruppen -> in die Gruppe "Benutzer" und entfernst dort DOMÄNE\Domänen-Benutzer und fügst nur das Domänenkonto hinzu, das sich dort anmelden darf. Das sollte denke ich so klappen.

Das lässt sich auch über eine GPO lösen, habs aber gerade nicht auf dem Schirm

 

A

Atreju93

Lieutenant

Ersteller dieses Themas

Registriert

Nov. 2010

Beiträge

594

• 12. Februar 2016

• #6

Danke, das mit der Richtlinie werde ich gerne versuchen. Es handelt sich um "nur" 13 Computer, eine händische konfiguration des Users wäre deshalb machbar.

EDIT:

Also das entfernen der Domänen\Benutzer funktioniert nicht. Ein Anmelden ist nach wie vor mit jedem Konto möglich.

 

Zuletzt bearbeitet: 12. Februar 2016

0

0711

Admiral

Registriert

Mai 2008

Beiträge

9.492

• 12. Februar 2016

• #7

Das entfernen der Domänen Benutzer aus der lokalen Benutzer Gruppe bringt dir da auch nichts

Das musst du über die Sicherheitsrichtlinien (GPO) machen wie in obigen Link von ntloader
Die Richtlinie muss auf die betreffenden Computer angewendet werden
Allow log on locally (Lokale Anmeldung erlauben) ist die Richtlinie die du suchst. Dort nur die benutzer oder gruppe eintragen die gewolltist(admins nicht vergessen)

 

C

chriss_msi

Captain

Registriert

Feb. 2005

Beiträge

3.564

• 12. Februar 2016

• #8

Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Lokal anmelden zulassen

Damit legst du für die PCs, die sich in der OU befinden, der das GPO zugewiesen ist, fest, welche Benutzer sich anmelden dürfen. Sprich du setzt hier einfach diesen einen Schulungsbenutzer rein und damit kann nur der und kein anderer sich an dem PC mehr anmelden.