Benutzeranmeldung Windows Server 2003

[Benjamin_O]

Wie läßt sich unter Windows Server 2003 einrichten, daß ein Benutzer sich mit seinem Benutzernamen nur an einem bestimmten Client (Windows 2000/XP) anmelden darf ?

Hintergrund: Alle Benutzer haben durch ihren Anmeldenamen die Rechteverteilung am Server aber kein Anmeldepasswort. Kennt ein Benutzer den Benutzernamen von einem anderen Benutzer der dann noch zu einer anderen Gruppe gehört, ist so eine Umgehung der Berechtigungen möglich.

Alternative: Der Benutzername wird am Client nicht mehr angezeigt (Weder im Anmeldefenster noch hinterher im Startmenü)

Mfg

Benjamin

[Chief Wiggum]

Was soll der Unsinn?

Du machst dir einerseits (siehe deine weiteren Threads zur Rechtevergabe hier im Windowsbereich) extreme Gedanken und willst die User noch weiter einschränken, aber über minimale Sicherheitsanforderungen in Form von Passwörtern machst du dir keine Gedanken? Stattdessen weichst du die Passwortrichtlinen des W2K3 auch noch auf und lässt Anmeldung ohne Passwörter zu?

Fang bitte an, über eine grundsätzliche Absicherung deiner Systeme nachzudenken.

Dazu gehört auch zwingend die Benutzeranmeldung mit Passwort.

[Benjamin_O]

@Chief Wiggum

Die Vorgabe, daß sich Benutzer ohne Passwort am Server anmelden (ausser Admins) ist von der Geschäftsleitung vorgegeben.

Deshalb meine Frage.

Mfg

Benjamin

[Rastelli]

Also ohne Kennwörter arbeiten das ist schon Schwachsinn aber na gut.

Falls ein AD vorhanden seien sollte kannst du über die Gruppenrichtlinien den Benutzernamen aus dem Startmenü entfernen und dort kann man auch Einstellen das der zuletzt angemeldete User nicht angezeigt wird.

Dann sollten die User aber auch keinen zugriff auf Dokumente und Einstellungen haben da dort ja auch die Usernamen angezeigt werden.

[Chief Wiggum]

Also ohne Kennwörter arbeiten das ist schon Schwachsinn ...

Harte Worte, ich stimme aber inhaltlich zu.

Um mal ein Bild zu verwenden: man lässt nicht nur die Ladentür sperrangelweit offen, man baut zusätzlich die Schlösser aus den Zimmertüren aus und versucht dann, sensible Daten gegen Zugriff zu sichern, indem sie in der Schreibtischschublade versteckt werden. Zudem zeigt man denjenigen, die an fremde Schreibtischschubladen gehen, nur den tadelnden Zeigefinger.

In diese vermurkste Konstruktion Sicherheit reinzubringen ist nicht möglich.

Basta.

[Rastelli]

Entschuldigung für die vielleicht ein wenig schroffen Worten!

Aber ich kann so was leider nicht verstehen, wie man einerseits Sicherheit haben möchte und andererseits soweit wie möglich darauf verzichtet.

Bei uns haben wir Datenschutzbeauftragte die einem ganz schön die Hölle heiß machen würden wenn einer mit so einer Idee kommt. Denn einige unserer Amtsleiter und deren Vorgesetzten würden auch liebend gerne aufs Kennwort verzichten.

Das "Bild" vom Chief trifft die Sache auch sehr genau!

@Benjamin_O: Das ist nicht persönlich gemeint gewesen, da du ja auch nur die Anweisungen deines Auftraggebers befolgen sollst. Aber ich würde doch noch mal mit Ihnen sprechen.

[Monarch]

Mal von dem Unsinn abgesehen, keine Passwörter verwenden zu wollen:

Über Gruppenrichtlinien lässt sich, wie schon oben geschrieben, die Anzeige des letzten Anmeldenamens abschalten.

In den Eingenschaften eines Benutzers lässt sich im AD auch einstellen, an welchen Stationen er sich zu welchen Zeiten anmelden darf.