16
Meine Gruppenrichtlinie wird nicht angewendet oder ich bin zu dumm
Hallo zusammen,
ich bin Hobby-Admin für einen Versicherungsmakler.
Wir haben ein Active Directory im Einsatz. Ich möchte verhindern, dass sich Benutzer an PCs anmelden, an die sich eigentlich nicht dürfen.
Mein "Test-Computer" an dem ich das ausprobieren möchte heißt "DESKTOP-9LUANK5".
Der Benutzer der NICHT auf den Rechner darf heißt "Konferenzraum".
Ich habe auf dem Domaincontroller eine OU angelegt mit dem Namen "TestComputer" und den Desktop-9LUANK5 via Drag'n'Drop in diese OU verschoben.
Dann bin ich auf dem DC in den GPO Editor gegangen. Dort habe ich in der OU ein neues Gruppenrichtlinienobjekt erstellt.
Dann habe ich die folgende Richtlinie konfiguriert:
Dann habe ich auf Gruppenrichtlinienupdate geklickt und auch die entsprechende Workstation "DESKTOP..." neu gestartet.
Der Nutzer Konferenzraum kann sich aber trotzdem noch anmelden. Ich könnte durchdrehen, ich probiere das seit mehr als 2 Stunden. Ich bekomme es einfach nicht hin.
Wichtiger Hinweis: Die Richtlinie ist jedenfalls auf dem Computer angekommen. Da steht auch drin, dass Konferenzraum sich nicht anmelden darf. Geht aber dennoch... ARRRGH
Ich hoffe ihr könnt mir helfen oder in Stichpunkten schreiben wo mein Fehler ist...
Vielen Dank!
Gruss
ich bin Hobby-Admin für einen Versicherungsmakler.
Wir haben ein Active Directory im Einsatz. Ich möchte verhindern, dass sich Benutzer an PCs anmelden, an die sich eigentlich nicht dürfen.
Mein "Test-Computer" an dem ich das ausprobieren möchte heißt "DESKTOP-9LUANK5".
Der Benutzer der NICHT auf den Rechner darf heißt "Konferenzraum".
Ich habe auf dem Domaincontroller eine OU angelegt mit dem Namen "TestComputer" und den Desktop-9LUANK5 via Drag'n'Drop in diese OU verschoben.
Dann bin ich auf dem DC in den GPO Editor gegangen. Dort habe ich in der OU ein neues Gruppenrichtlinienobjekt erstellt.
Dann habe ich die folgende Richtlinie konfiguriert:
Dann habe ich auf Gruppenrichtlinienupdate geklickt und auch die entsprechende Workstation "DESKTOP..." neu gestartet.
Der Nutzer Konferenzraum kann sich aber trotzdem noch anmelden. Ich könnte durchdrehen, ich probiere das seit mehr als 2 Stunden. Ich bekomme es einfach nicht hin.
Wichtiger Hinweis: Die Richtlinie ist jedenfalls auf dem Computer angekommen. Da steht auch drin, dass Konferenzraum sich nicht anmelden darf. Geht aber dennoch... ARRRGH
Ich hoffe ihr könnt mir helfen oder in Stichpunkten schreiben wo mein Fehler ist...
Vielen Dank!
Gruss
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 665947
Url: https://administrator.de/contentid/665947
Printed on: April 19, 2024 at 12:04 o'clock
16 Comments
Latest comment
Geh in den Benutzer. Klicke dort auf anmelden an.
Thema erledigt.
Thema erledigt.
Und bitte lasse den Unsinn mit externen Bilderlinks !
Damit machst du dir hier keine Freunde ! Auch dir dürfte nicht entgangen sein das das Forum eine Bilder Upload Funktion hat die Bilder direkt in Threads einbinden ohne externe Schnüffellinks mit Zwangswerbung.
Kann man übrigens immer noch nachträglich korrigieren über den "Bearbeiten" Link rechts unter "Mehr" 
Damit machst du dir hier keine Freunde ! Auch dir dürfte nicht entgangen sein das das Forum eine Bilder Upload Funktion hat die Bilder direkt in Threads einbinden ohne externe Schnüffellinks mit Zwangswerbung.
1
Hi, die Idee hatte ich natürlich auch schon. Geht leider nicht, da auch über VPN zugegriffen wird.
Was ist an Deinem VPN anders als bei meinem, wo das problemlos funktioniert ?
VPN wir aufgebaut, dann gehts per RDP auf die entsprechenden Rechner.
Dann entscheidet die Gruppe Remotedesktopbenutzer ob er darf oder nicht. Das hat ja mit lokaler Anmeldung nix zu tun.
VPN wir aufgebaut, dann gehts per RDP auf die entsprechenden Rechner.
Dann entscheidet die Gruppe Remotedesktopbenutzer ob er darf oder nicht. Das hat ja mit lokaler Anmeldung nix zu tun.
Die Option müsste eigentlich "Anmelden von..." heißen, denn hier muss man die Hostnames eintragen VON denen man sich einloggen will (was Probleme macht, wenn die Mitarbeiter über VPN arbeiten)
Daher hatte ich diese Option schon verworfen.
Daher hatte ich diese Option schon verworfen.
Hallo,
wie genau meldet sich der Konferezraum denn an? Ist das ein „shared“ Benutzer? Das sollte man besser nicht so machen, schon gar nicht im Konferenzraum, wo der Klempner stundenlang alleine am PC ist.
Einfacher ist es in der Tat, über das Benutzerprofil zu lösen. Bei den GPOs Benutzerrechte kann man schnell richtig Mist bauen.
Grüße
lcer
Edit:
wie genau meldet sich der Konferezraum denn an? Ist das ein „shared“ Benutzer? Das sollte man besser nicht so machen, schon gar nicht im Konferenzraum, wo der Klempner stundenlang alleine am PC ist.
Einfacher ist es in der Tat, über das Benutzerprofil zu lösen. Bei den GPOs Benutzerrechte kann man schnell richtig Mist bauen.
Grüße
lcer
Edit:
Die Option müsste eigentlich "Anmelden von..." heißen, denn hier muss man die Hostnames eintragen
jetzt sag nicht, ihr habt für alle PC nur Gemeinsam genutzte Benutzer. Das wäre Sicherheitstechnische ein Alptraum.
Du könntest es machen so wie es in diesem Link beschrieben ist:
https://www.windowspro.de/wolfgang-sommergut/anmelden-bestimmten-pcs-fue ...
Suche hat 10 Sekunden gedauert, ich habe es aber nicht getestet.
Grüße!
https://www.windowspro.de/wolfgang-sommergut/anmelden-bestimmten-pcs-fue ...
Suche hat 10 Sekunden gedauert, ich habe es aber nicht getestet.
Grüße!
Hi
Ist dein Benutzer Konferenzraum auf dem Rechner in der lokalen Administratorgruppe ?
Wenn ja dann liegt da der Fehler.
Mit freundlichen Grüßen Nemesis
Ist dein Benutzer Konferenzraum auf dem Rechner in der lokalen Administratorgruppe ?
Wenn ja dann liegt da der Fehler.
Mit freundlichen Grüßen Nemesis
@mayho33 Das sind doch genau die 2 Punkte die wir hier diskutieren!? Das mit "Anmelden An" funktioniert nicht, da die Benutzer auch über ihren Homeoffice PC sich via VPN einloggen. Und mit Gruppenrichtlinien probiere ich es ja aktuell, bekomme es aber nicht hin. Ich hab die ersten 3 Seiten der Google Suchergebnisse durchgearbeitet.
@nemsesls Nein, natürlich nicht. :D
@icer00 Nein, natürlich hat jeder seinen eigenen Benutzer. Konferenzraum war nur ein Beispiel. Wir können den User auch HMeier nennen.
Wie soll ich es denn über das Benutzerprofil lösen, wenn ich zusätzlich die Namen von den Homeoffice PCs brauche...
@nemsesls Nein, natürlich nicht. :D
@icer00 Nein, natürlich hat jeder seinen eigenen Benutzer. Konferenzraum war nur ein Beispiel. Wir können den User auch HMeier nennen.
Wie soll ich es denn über das Benutzerprofil lösen, wenn ich zusätzlich die Namen von den Homeoffice PCs brauche...
Hallo,
Wenn Du möchtest, dass sich Benutzer1 nur an PC5 anmelden darf, schreibst Du einfach im Benutzerprofil unter Konto/AnmeldenAn den PC rein.
Wenn Du das für einen RDP-Server machen willst, setzt Du den Benutzer in die Gruppe Remotedesktopbenutzer.
Für komplexere Szenarien gibt es auch Authentifizierungsrichtlinien und -silos: https://docs.microsoft.com/en-us/windows-server/security/credentials-pro ... Das dürfte dich aber zunächst überfordern und macht meines Erachtens nur Sinn bei größeren Strukturen.
Die GPOs->Benutzerrechte würde ich ich auch erstmal nicht verwenden, hat für den Anfang zu viele Fehlerquellen. Authentifizierungsrichtlinien und GPOs->Benutzerrechte würde ich empfehlen zuerst mal an einer Testdomäne zu testen.
Grüße
lcer
Zitat von @RandonDude:
Wie soll ich es denn über das Benutzerprofil lösen, wenn ich zusätzlich die Namen von den Homeoffice PCs brauche...
Schritt zurück: Was willst Du erreichen?Wie soll ich es denn über das Benutzerprofil lösen, wenn ich zusätzlich die Namen von den Homeoffice PCs brauche...
Wenn Du möchtest, dass sich Benutzer1 nur an PC5 anmelden darf, schreibst Du einfach im Benutzerprofil unter Konto/AnmeldenAn den PC rein.
Wenn Du das für einen RDP-Server machen willst, setzt Du den Benutzer in die Gruppe Remotedesktopbenutzer.
Für komplexere Szenarien gibt es auch Authentifizierungsrichtlinien und -silos: https://docs.microsoft.com/en-us/windows-server/security/credentials-pro ... Das dürfte dich aber zunächst überfordern und macht meines Erachtens nur Sinn bei größeren Strukturen.
Die GPOs->Benutzerrechte würde ich ich auch erstmal nicht verwenden, hat für den Anfang zu viele Fehlerquellen. Authentifizierungsrichtlinien und GPOs->Benutzerrechte würde ich empfehlen zuerst mal an einer Testdomäne zu testen.
Grüße
lcer
@icer00
Hi Icer,
ja das würde ich auch so machen wollen, aber überlege dir jetzt mal folgendes Szenario:
Ich trage im Kontoprofil von Benutzer1 unter "Anmelden an..." ein, dass er sich nur an "PC5" anmelden darf.
Jetzt ist Benutzer1 zuhause und aktiviert unsere Lancom VPN Software auf seinem Laptop Zuhause. Benutzer1 sitzt jetzt nämlich im Homeoffice und möchte mit seinem privaten Rechner auf seinen Bürorechner zugreifen via Remotedesktop.
VPN Verbindung steht, Benutzer1 öffnet RDS und gibt die IP seines Büro Rechners "PC5" ein. Er versucht sich anzumelden --> fehlgeschlagen.
Grund: Da der NetBiosName seines privaten Homeoffice PCs ist in seinem Kontoprofil unter "Anmelden an..." nicht eingetragen.
Daher: Unter Anmelden an... muss IMMER der Rechnername eingetragen sein VON UND AN dem du dich einloggen willst. Wenn du im Büro bist, stimmt das ja auch, da VON und AN derselbe PC ist. Bist du aber via VPN drin, stimmt das nicht mehr. Denn VON ist der Homeoffice PC und AN ist der PC5 im Büro. Ich müsste also zusätzlich den Hostname des Homeoffice PC eintragen.
Liebe Grüsse
Hi Icer,
ja das würde ich auch so machen wollen, aber überlege dir jetzt mal folgendes Szenario:
Ich trage im Kontoprofil von Benutzer1 unter "Anmelden an..." ein, dass er sich nur an "PC5" anmelden darf.
Jetzt ist Benutzer1 zuhause und aktiviert unsere Lancom VPN Software auf seinem Laptop Zuhause. Benutzer1 sitzt jetzt nämlich im Homeoffice und möchte mit seinem privaten Rechner auf seinen Bürorechner zugreifen via Remotedesktop.
VPN Verbindung steht, Benutzer1 öffnet RDS und gibt die IP seines Büro Rechners "PC5" ein. Er versucht sich anzumelden --> fehlgeschlagen.
Grund: Da der NetBiosName seines privaten Homeoffice PCs ist in seinem Kontoprofil unter "Anmelden an..." nicht eingetragen.
Daher: Unter Anmelden an... muss IMMER der Rechnername eingetragen sein VON UND AN dem du dich einloggen willst. Wenn du im Büro bist, stimmt das ja auch, da VON und AN derselbe PC ist. Bist du aber via VPN drin, stimmt das nicht mehr. Denn VON ist der Homeoffice PC und AN ist der PC5 im Büro. Ich müsste also zusätzlich den Hostname des Homeoffice PC eintragen.
Liebe Grüsse
Moin
So einfach ist das leider nicht. Wenn du Anmelden-An im Benutzerprofil des Domänen-Benutzers nutzen möchtest und eine RDP-Verbindung aufbaust, dann muss auch der aufbauene Rechner dort eingetragen werden.
Wenn also Benutzer1 sich von seinem Home-PC an PC5 anmeldet, dann muss unter Anmelden an bei Benutzer1 sowohl PC5 als auch Home-PC eingetragen werden (VPN Verbindung spielt keine Rolle). Warum ist das so? Weil du die Anmeldedaten am Home-PC eingibst. Dieser nimmt die Anmeldung dann vor und reicht sie an PC5 weiter. Dabei spielt es keine Rolle ob Home-PC in der Domäne ist oder nicht.
@RandonDude: Siehe oben. Wenn du den Namen des Home-Office PCs unter anmelden an einträgst, dann sollte es gehen. Wir haben das exakt so gelöst und funktioniert. Der HomeOffice-PC ist ein Unternehmensgerät ohne Domänenzugang. Wenn der User den privaten PC dafür nutzen darf, dann muss er dir seinen PC-Namen geben.
Gruß
Doskias
Wenn Du möchtest, dass sich Benutzer1 nur an PC5 anmelden darf, schreibst Du einfach im Benutzerprofil unter Konto/AnmeldenAn den PC rein.
So einfach ist das leider nicht. Wenn du Anmelden-An im Benutzerprofil des Domänen-Benutzers nutzen möchtest und eine RDP-Verbindung aufbaust, dann muss auch der aufbauene Rechner dort eingetragen werden.
Wenn also Benutzer1 sich von seinem Home-PC an PC5 anmeldet, dann muss unter Anmelden an bei Benutzer1 sowohl PC5 als auch Home-PC eingetragen werden (VPN Verbindung spielt keine Rolle). Warum ist das so? Weil du die Anmeldedaten am Home-PC eingibst. Dieser nimmt die Anmeldung dann vor und reicht sie an PC5 weiter. Dabei spielt es keine Rolle ob Home-PC in der Domäne ist oder nicht.
@RandonDude: Siehe oben. Wenn du den Namen des Home-Office PCs unter anmelden an einträgst, dann sollte es gehen. Wir haben das exakt so gelöst und funktioniert. Der HomeOffice-PC ist ein Unternehmensgerät ohne Domänenzugang. Wenn der User den privaten PC dafür nutzen darf, dann muss er dir seinen PC-Namen geben.
Gruß
Doskias
@Doskias
Aha, einer der es verstanden hat. :D
Okay, klingt aber doch nicht mehr so komplex. Ich denke dann werde ich es auch so lösen.
Vielen lieben Dank an alle!
Liebe Grüße
Aha, einer der es verstanden hat. :D
Okay, klingt aber doch nicht mehr so komplex. Ich denke dann werde ich es auch so lösen.
Vielen lieben Dank an alle!
Liebe Grüße
Hallo,
Du hattest meine Frage nicht vollständig beantwortet
- was willst Du erreichen? Wo siehst Du Gefahren?
Ersteres bedarf der von @Doskias beschriebenen Lösung. Das zweite benötigt lediglich einen passenden Eintrag in der Gruppe Remotedesktopbenutzer.
Den Zugriff auf kritische Daten sperrst Du am besten auch auf Datenebene (z.B. NTFS-Berechtigungen, Freigaben) und nicht durch Sperren der Anmeldung auf dem PC.
Das Sperren der PC-Anmeldung für bestimmte Benutzer ist ein zusätzliches Sicherheitsfeature, dass verhindern soll, dass z.B. schädliche Eingriffe am System erfolgen und der PC als "Angriffsvektor" mißbraucht werden kann. Das kommt aber nach der Absicherung der Daten durch Zugriffsbeschränkungen.
Wir nutzen die "Anmelden-An" Funktion nur für einzelne Legacy-PCs auf denen Gerätesteuerungssoftware läuft, die mit einem Benutzerwechsel nicht klar kommt und für die ein "gemeinsamer Gerätebenutzer" eingerichtet ist (der auch noch Lokale Adminrechte braucht ). Dieser darf sich dann nur an des Speziellen PCs anmelden, nirgendwo sonst.
Grüße
lcer
Zitat von @RandonDude:
@Doskias
Aha, einer der es verstanden hat. :D
Okay, klingt aber doch nicht mehr so komplex. Ich denke dann werde ich es auch so lösen.
@Doskias
Aha, einer der es verstanden hat. :D
Okay, klingt aber doch nicht mehr so komplex. Ich denke dann werde ich es auch so lösen.
Du hattest meine Frage nicht vollständig beantwortet
- was willst Du erreichen? Wo siehst Du Gefahren?- Du willst verhindern, dass sich Benutzer1 an PCs von Benutzer4 anmeldet?
- Du willst nur bestimmte Benutzer für den Remotedesktopbetieb zulassen.
Ersteres bedarf der von @Doskias beschriebenen Lösung. Das zweite benötigt lediglich einen passenden Eintrag in der Gruppe Remotedesktopbenutzer.
Den Zugriff auf kritische Daten sperrst Du am besten auch auf Datenebene (z.B. NTFS-Berechtigungen, Freigaben) und nicht durch Sperren der Anmeldung auf dem PC.
Das Sperren der PC-Anmeldung für bestimmte Benutzer ist ein zusätzliches Sicherheitsfeature, dass verhindern soll, dass z.B. schädliche Eingriffe am System erfolgen und der PC als "Angriffsvektor" mißbraucht werden kann. Das kommt aber nach der Absicherung der Daten durch Zugriffsbeschränkungen.
Wir nutzen die "Anmelden-An" Funktion nur für einzelne Legacy-PCs auf denen Gerätesteuerungssoftware läuft, die mit einem Benutzerwechsel nicht klar kommt und für die ein "gemeinsamer Gerätebenutzer" eingerichtet ist (der auch noch Lokale Adminrechte braucht
). Dieser darf sich dann nur an des Speziellen PCs anmelden, nirgendwo sonst.Grüße
lcer
@icer00
Hi,
ich würde das nicht mal Sicherheitsbedenken nennen. Ich hab einfach Nutzer die sich denken "lalala mein Bildschirm geht nicht, dann melde ich mich einfach woanders an, hihi"
Das will ich einfach nicht.
Die Lösung die ich jetzt verwende ist tatsächlich, das "Anmelden an..." und ich trage dort den "Stamm-Büro-PC" des Nutzers und sein "Home-Office-PC bzw. Laptop" ein.
Dann passt es.
Liebe Grüße
Hi,
ich würde das nicht mal Sicherheitsbedenken nennen. Ich hab einfach Nutzer die sich denken "lalala mein Bildschirm geht nicht, dann melde ich mich einfach woanders an, hihi"
Das will ich einfach nicht.
Die Lösung die ich jetzt verwende ist tatsächlich, das "Anmelden an..." und ich trage dort den "Stamm-Büro-PC" des Nutzers und sein "Home-Office-PC bzw. Laptop" ein.
Dann passt es.
Liebe Grüße
