ComputerBase Menü
Aktuelles

User Anmeldung unterbinden / sperren

C

c-mate

Commodore
Registriert
Aug. 2010
Beiträge
5.066
Hallo, wenn ich unterbinden wollte, dass sich ein user am domänen PC / Netzwerk anmelden kann, habe ich früher halt einfach das Passwort geändert.
Das PW kann ich natürlich nach wie vor ändern, aber jetzt gibt es ja noch Windows Hello mit PIN und Fingerabdruck, damit kann derjenige sich doch dann immer noch anmelden oder?
Ich könnte den user deaktivieren, dann ist vermutlich gar keine Anmeldung möglich, aber was passiert dann mit dem Postfach bzw dessen Erreichbarkeit?
Was würdet ihr vorschlagen muss man tun, damit sich ein user am Besten erst gar nicht mehr am Notebook einloggen kann, der user ist allerdings mit dem NB unterwegs und nicht erreichbar (sonst wärs ja auch einfach).
Wobei, egal was man macht, wenn er sich offline anmeldet, dann geht das ja immer, solange keine Synchronisation durchgeführt wird.

THX
 
Zuletzt bearbeitet:
Du möchtest also dem Benutzer die lokale Anmeldung an einem in der Domäne befindlichen Rechner verbieten? Falls dem so ist, dann ginge das über die Gruppenrichtlinien.

Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten - Da findest Du die Einstellung: 'Lokal anmelden verweigern'
 
Noch einmal zum Verständnis:
Du hast ein Notebook welches nicht vor Ort ist sondern bei einem Menschen, der sich nicht auf dieses Notebook anmelden soll?
Also möchtest du über das Netz die einzelnen User blockieren?
Es scheint ja so, dass dieser Mensch das Notebook hat aber das nicht freiwillig und freundlich überlassen wurde. Bei Diebstahl etc. wäre ja der Gang zu den Ermittlungsbehörden sinnvoll, bei Eigentumsfragen und dessen Durchsetzung ggf. ein Anwalt, wenn ich das Problem jetzt richtig verstehe.
 
Wer hat was von Diebstahl oder ähnlichem gesagt, außerdem hat das doch gar nichts mit meiner Frage zu tun?
Es gibt im Netzwerk/Unternehmen sicherlich mehrere Gründe oder Umstände aufgrund derer man einen Zugriff abschalten/unterbinden möchte.
 
Es geht mir um das Verständnis. Einen solchen Zusammenhang muss man schon verstehen um zu beraten.
Ich kenne keine Gründe einen Zugriff kopmplett zu sperren, wenn der Mensch das Notebook bewusst bekommen hat. Warum sollte man ein Notebook bekommen, mitnehmen auf dem man sich nicht einloggen kann. Oder geht es um ein bestimmtes Profil mit anderen Berechtigungen. Also bspw. gibt es fünf Profile eines davon hat wesentlich höhere Berechtigungen und dieses soll gesperrt werden, der Mensch hat dann aber noch Zugriff auf die anderen Profile.
 
c-mate schrieb:
Ich könnte den user deaktivieren, dann ist vermutlich gar keine Anmeldung möglich, aber was passiert dann mit dem Postfach bzw dessen Erreichbarkeit?
Zum Vergrößern anklicken....
Muß die Person sich nach wie vor am E-Mail-Host anmelden (ich nehme mal an Exchange-Server)? Wenn nein, dann werden die Mails nach wie vor dort gespeichert, der Kollege kann sie nur eben nicht mehr per IMAP oder POP abrufen.
Millkaa schrieb:
Es geht mir um das Verständnis. Einen solchen Zusammenhang muss man schon verstehen um zu beraten.
Ich kenne keine Gründe einen Zugriff kopmplett zu sperren, wenn der Mensch das Notebook bewusst bekommen hat. Warum sollte man ein Notebook bekommen, mitnehmen auf dem man sich nicht einloggen kann.
Zum Vergrößern anklicken....
Einen Mitarbeiter wurde fristlos gekündigt, es liegt ein Verdacht auf einen Fimenverstoß vor, er hat gekündigt, er begeht Geheimnisverrat....

Wir hatten auch schon solche Fälle, und hier wurde das Konto komplett deaktiviert.
 
PHuV schrieb:
Muß die Person sich nach wie vor am E-Mail-Host anmelden (ich nehme mal an Exchange-Server)? Wenn nein, dann werden die Mails nach wie vor dort gespeichert, der Kollege kann sie nur eben nicht mehr per IMAP oder POP abrufen.

Einen Mitarbeiter wurde fristlos gekündigt, es liegt ein Verdacht auf einen Fimenverstoß vor, er hat gekündigt, er begeht Geheimnisverrat....

Wir hatten auch schon solche Fälle, und hier wurde das Konto komplett deaktiviert.
Zum Vergrößern anklicken....
Genau das sind doch Fälle die dann nicht nur privat gelöst werden können sondern auch mit den zuständigen Stellen. Das meinte ich doch mit meiner Frage. Dann habe ich mich da falsch ausgedrückt. Es wird sicherlich einen negativen Hintergrund haben, dass man nicht an den Rechner kommt.
 
@Millkaa
? Du musst doch die Hintergründe auch gar nicht verstehen, die Fragestellung ist klar. Wenn du darauf keine Antwort weißt ist das ja kein Problem.
Aber nur mal als Beispiel. Wenn du nicht mehr möchtest, warum auch immer, dass jemand nicht mehr in deine Wohnung rein kommt, obwohl er von dir mal einen Schlüssel bekommen hat, was macht man dann? Man wechselt das Schloss aus. Und das bedeutet ja auch nicht gleichzeitig, dass derjenige den
Schlüssel gestohlen haben muss, sondern er kann ihn ja durchaus unter anderen Umständen freiwillig erhalten haben.

Und dass man nicht ad hoc an das Notebook heran kommt kann doch auch ganz einfache und harmlose Gründe haben, er ist gerade im Urlaub, unterwegs, weit weg im Home Office etc.
Das NB bekomme ich selbstverständlich wieder zurück.

Zurück zum Thema.
Der user selbst soll keinen Zugriff mehr haben, egal auf welche Ressourcen (kein Netzwerk, kein Exchange Online Postfach, kein O365 etc.).
Aber das Postfach soll nach wie vor existent und erreichbar sein, den Zugriff darauf kann ich mir ja dann einrichten oder ich leite die Mails weiter oder so.

Wie wäre es im AD unter account in den account options mit "Account is disabled"
 
Zuletzt bearbeitet:
c-mate schrieb:
Das PW kann ich natürlich nach wie vor ändern, aber jetzt gibt es ja noch Windows Hello mit PIN und Fingerabdruck, damit kann derjenige sich doch dann immer noch anmelden oder?
Zum Vergrößern anklicken....
Beide Möglichkeiten autorisieren Windows lediglich, eine Anmeldung mit dem vergebenen Passwort durchzuführen. Genau deshalb kann man diese auch nur dann nutzen, wenn man ein Passwort besitzt. Windows Hello ist also lediglich eine abgesicherte Variante des Autologins per Netplwiz.
 
Fürs bessere Verständnis, dh wenn ich das PW eines users im AD ändere, dann kann sich derjenige auch nicht mehr mit PIN oder Fingerprint anmelden.
Richtig verstanden?

Das wiederum funktioniert so aber nur mit bestehender Internetverbindung.
Wenn das Notebook offline ist, dann kann sich der user noch mit dem alten PW anmelden, weil ja das neue PW erst gesynct wird, wenn eine Internetverbindung besteht.
Und solange er offline ist, kann er sich anmelden und dann auch auf die lokalen Daten (zb lokal gesynctes OneDrive) zugreifen.

Das hier im Admin Portal sieht doch gut aus:
807606
 
Zuletzt bearbeitet:
Korrekt, alles was lokal liegt, ist nach wie vor zugreifbar. Du verhinderst lediglich, daß er sich im Netz entsprechend anmelden kann.
 
Mhm aber so richtig scheint das nicht zu passen.
Ich habe jetzt mal testweise bei einem Testuser das PW geändert, aber per PIN kann man sich nach wie vor anmelden und auch aufs Netzwerk zugreifen.
 
Hi,

in deinem Szenario wäre die Deaktivierung des AD-/O365 Accounts die geeigneteste Lösung. Das verknüpfte Postfach erhält weiterhin E-Mails, aber diese können über den Account nicht mehr angerufen werden. Ein Offline Zugriff auf lokale Daten auf dem Notebook ist natürlich weiterhin möglich und lässt sich ohne Verbindung zum Internet/Firmennetzwerk nicht so ohne Weiteres verhindern.
 
Was ich auch noch machen könnte, da das Notebook per intune eingebunden/registriert ist kann ich es ja auch per intune wipen. Dh dann wird das NB "platt gemacht".

Aber ich denke ich werde den account auf "expired" setzen und das PW ändern.
Ich habe das grad mal etwas durchgespielt und das sieht gut so aus.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Chris_S04
AD Tiering Modell
Antworten
5
Aufrufe
1.208
Chris_S04
Chris_S04
oh-leut
NextCloudPi (Setting) - Login nicht möglich
Antworten
6
Aufrufe
2.945
CubeID
CubeID
Anons
PowerShell Laufwerke per PS-Skript mit User+Password einbinden
Antworten
16
Aufrufe
2.710
Anons
Anons
M
Notebook: Linux verschlüsseln (Fedora + KDE)
Antworten
7
Aufrufe
630
Mickey Cohen
M
Chuck Norris123
Laptop statt PC
Antworten
11
Aufrufe
1.518
cartridge_case
cartridge_case
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz