Anonymous2003 Geschrieben 23. Mai 2003 Teilen Geschrieben 23. Mai 2003 Hi, ich habe folgendes Problem. Ich versuche unter Windows 2000 nicht registrierte Benutzer, also solche, die sich nicht in den lokalen Gruppen befinden, auszusperren. Allerdings befinden sich in diesen lokalen Gruppen Domänenbenutzer, also macht dies die ganze Sache komplizierter ... zumindest ist das meine Auffassung nach den ersten Tests! Info ... leider verwenden wir noch eine NT4 Domäne. Danke + Gruss Anonymous2003 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
froehlich Geschrieben 23. Mai 2003 Teilen Geschrieben 23. Mai 2003 Hi, ich glaube, ich habe das Problem noch nicht ganz verstanden, aber ich versuch´s einfach mal: Original geschrieben von Anonymous2003 Hi, ich habe folgendes Problem. Ich versuche unter Windows 2000 nicht registrierte Benutzer, also solche, die sich nicht in den lokalen Gruppen befinden, auszusperren. Das heißt, sie dürfen sich nur an bestimmten Station im Netzwerk anmelden und an anderen nicht? Möglich, indem Du einfach die Gruppe "Domänenbenutzer" rausschmeißt und nur explizit die best. Benutzer hinzufügst, die dürfen. Kann aber ziemlich arbeitsintensiv werden, wenn sich da häufiger was ändert... Allerdings befinden sich in diesen lokalen Gruppen Domänenbenutzer, also macht dies die ganze Sache komplizierter ... zumindest ist das meine Auffassung nach den ersten Tests! Meinst Du die Gruppe Domänenbenutzer oder meinst Du einzelne Domänenbenutzer, die sich aus irgendeinem Grund noch in den lokalen Gruppen befinden? Die Gruppe Domänenbenutzer wird automatisch in die lokale Benutzer-Gruppe eingepflegt, wenn der PC in die Domäne gebracht wird. Macht im allgemeinen auch Sinn, da man die Anmeldungsberechtigung auch über die Domäne steuern kann... Wenn man explizit wünscht, dass nicht jeder sich anmelden darf, kann man die aber auch rausschmeißen... Info ... leider verwenden wir noch eine NT4 Domäne. Über die NT-Domäne könntest Du die Angelegenheit aber auch zentral etwas leichter und eleganter steuern (wenn ich Dich richtig verstanden habe, dass sich einfach nur bestimmte Domänenbenutzer nur an bestimmten Arbeitsplätzen anmelden können sollen): Im Domänen-Benutzermanager kannst Du in den Eigenschaften jedes Benutzers vorgeben, von welcher / welchen Computern aus er sich anmelden darf. Das würde im Prinzip schon reichen, um eine Anmeldung von einer falschen Station zu verhindern (und läßt sich einfacher administrieren, anstatt an jeder Arbeitsstation zu arbeiten...). Standardmäßig darf sich ein Benutzer von jeder Workstation aus anmelden, man kann aber auch explizit (bis zu acht?) eine oder mehrere Stationen angeben, von denen aus sich der Benutzer nur anmelden darf. Die Option findest Du in den Eigenschaften des Domänenbenutzers unter "Anmelden an". Gruss froehlich Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Anonymous2003 Geschrieben 23. Mai 2003 Autor Teilen Geschrieben 23. Mai 2003 Danke fuer die Antwort ... allerdings löst sie noch net ganz mein Problem. Leider habe Ãch zu wenige Infos übermittelt. Also probier ich's einfach noch einmal. Ich habe eine Win2000 Workstation, an der sich nur die Mitglieder der lokalen Gruppen Administratoren und Benutzer anmelden dürfen. Die Mitglieder selbst sind Mitglieder einer Windows NT Domain, jedoch darf es für alle anderen Domänenbenutzer nicht möglich sein, sich anzumelden. Folgende Schritte haben ich bereits gestestet ... a) Domänenbenutzer aus der Gruppe Benutzer entfernt. Komplette lokale Benutzerverwaltung aufgeräumt. In der Securitypolicy habe im Parameter GRANT LOGON LOCALLY die Gruppen lokal\Administratoren & lokal\Benutzer eingetragen. c) Im Parameter DENY LOGON LOCALLY in der Sec-Policy habe ich die Domainusers eingetragen. d) Habe die Zugriffsrechte auf Explorer.exe und shell32.dll geändert, "Everyone" hat demnach eigentlich keinerlei Berechtigungen. Alles jedoch ohne Erfolg!!! Ich will doch einfach nur, dass sich net jeder DAU, der eine Netzwerkberechtigung hat, an diesen PCs anmelden kann, denn diese stehen in der Produktionsumgebung ... und sind daher frei zugänglich. Weitere offene Fragen einfach posten. Danke + Gruss Anonymous2003 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
WhiteRabbit2003 Geschrieben 23. Mai 2003 Teilen Geschrieben 23. Mai 2003 Ich habe keine Ahnung von der Administration, habe aber sehr wohl schon eine gina.dll programmiert. Diese dll ersetzt den WindowsAnmeldedialog und kann somit zum Zeitpunkt des Anmeldens eignen Code ausführen. Damit kannst du also dein Problem 100% lösen. Die Frage ist nur ob das der einfachste Weg ist. Zumal du nach Administrator klingst... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
blackswordowner Geschrieben 25. Mai 2003 Teilen Geschrieben 25. Mai 2003 Hallo! Ich verstehe im Moment dein Problem nicht und habe noch einige Fragen. Was sind für dich nicht registrierte Benutzer?! Geht es um die lokale anmeldung an dem Rechner oder um die domänenanmeldung?! Gruß BSO :marine PS: man sollte in jedemfall auf die Benutzergruppe Jeder (everyone) verzichten und statt dessen authentifiziertebenutzer (domänenbenutzer) verwenden. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
DownAnUp Geschrieben 25. Mai 2003 Teilen Geschrieben 25. Mai 2003 Wenn ich dein Problem richtig verstehe muss du nur in den Lokalen Gruppenrichtlinien / Computerkonfiguration / Windows Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten unter "Lokal anmelden" die Gruppe eintragen die sich lokal anmelden darf und alle anderen Gruppen löschen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Anonymous2003 Geschrieben 25. Mai 2003 Autor Teilen Geschrieben 25. Mai 2003 Was sind für dich nicht registrierte Benutzer?! Es sind Domänenbenutzer, welche nicht Mitglieder der lokalen Gruppen sind. Also, keinerlei Rechte auf diesem PC haben dürften. PS: man sollte in jedemfall auf die Benutzergruppe Jeder (everyone) verzichten und statt dessen authentifiziertebenutzer (domänenbenutzer) verwenden. Ja, darauf hab ich auch geachtet ... den anfangs, nachdem der PC in die Domäne aufgenommen wird, ist die Gruppe Domänenbenutzer bei den Users, also hab ich die lokalen Gruppen aufgeräumt. Die Gruppe Administratoren enthält die Gruppen Domäne\Domänenadmins ... Domäne\Appikationssupport ... die Gruppe Benutzer nur die jeweiligen Domänenbenutzer z.B. Domäne\Benutzer1 ... die Gruppen Backupbenutzer, Hauptbenutzer etc sind leer. Daher würde ich erwarten, dass Windows alle anderen aussperrt. Wenn ich dein Problem richtig verstehe muss du nur in den Lokalen Gruppenrichtlinien / Computerkonfiguration / Windows Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten unter "Lokal anmelden" die Gruppe eintragen die sich lokal anmelden darf und alle anderen Gruppen löschen. Auch dies ist so konfiguriert, dass es eigentlich funktionieren sollte, aber fehlanzeige .. also EVERYONE habe ich entfernt ... da sind nur noch die Gruppen Administratoren und Benutzer enthalten. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
blackswordowner Geschrieben 25. Mai 2003 Teilen Geschrieben 25. Mai 2003 also,... hier liegt wahrscheinlich ein Missverständnis vor. Die lokalen Gruppen werden nur für die lokale Anmeldung gebraucht. Wenn sich aber ein BenutzerXY aus der Domäne an der Domäne anmeldet, wird es im gestattet, da nicht in die lokale Sicherheitsrichtlinie (SAM) geschaut wird, sondern in der Domäne am PDC(NT-SAM). Dort müßtest du einstellen, dass dich nur benutzer1, benutzer2 etc. an dem Rechner XY anmelden können und sonst keiner. Ist jedenfalls bei 2000 Server so einstellbar. Vielleicht ein neues Feature. Habe von NT nicht wirklich viel Peilung. Lerne alles mit 2000. Gruß BSO :marine Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Anonymous2003 Geschrieben 25. Mai 2003 Autor Teilen Geschrieben 25. Mai 2003 Danke für den Hinweis .. werd gleich morgen mal mit den Domainadmins quatschen. Gruss Anonymous2003 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
eXoCooLd Geschrieben 25. Mai 2003 Teilen Geschrieben 25. Mai 2003 Emm also irgendwas müssen die lokalen Gruppen ja schon mit den rechten zu tun haben, wenn ich z.B. einen Benutzer der domain in die lokalle Admingruppe eintrage dann hat der auf dem PC Admin Rechte, anders aber nicht. Fragt sich nur wie man bei dem Vermurksten Windows Rechte System allen anderen die nicht in eine Lokalle gruppe eingetragen sind das Anmelden verweigert Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
2-frozen Geschrieben 26. Mai 2003 Teilen Geschrieben 26. Mai 2003 Nimm die Domänenbenutzer aus der Gruppe der lokalen Benutzer raus und pack sie in die Gruppe Gäste. Anschliessend verweigerst du den Gästen das Anmelderecht. Nun packst du die Benutzer, die sich dennoch anmelden dürfen manuell in die lokale benutzer oder administratorengruppe, je nach Wunsch. Sollte in etwa so aussehen: lokale Gruppe Gäste: Domainname\Domänen-Benutzer lokale Gruppe Benutzer: Domainname\Meier Domainname\Mueller usw. Gruss, 2-frozen Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Anonymous2003 Geschrieben 28. Mai 2003 Autor Teilen Geschrieben 28. Mai 2003 Hey ... danke für Euere Tipps .. es funktioniert jetzt! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.