bingo61
Goto Top

User in AD an Client binden

Hallo zusammen,
eine Fage :
die funktion in der AD Profil/ Anmelden an , sollte doch festlegen, wo sich der User anmelden darf ?
Komme da nicht ganz klar.
Zb User arbeitet an PC-01 , an dem soll und darf aber sonst keinen.
Trage ich im Profil / anmelden an den PC-01 ein, an dem der User arbeitet ist der User gesperrt. <-- ist quatsch , daran soll er arbeiten
Trage ich testweise einen anderen zB PC-02 dort ein und lösche den PC-01 ein, ist er ebenfalls an seinen PC gesperrt <-- wäre soll zustand
Wie trage ich nun die gesperrten PC dort ein, ohne das der User an seinen Gerät eingeschränkt ist .
Eine Gruppen Richtlinie möchte ich wegen dem einen User nicht einrichten.
Der DC ist ein 2016 Standart .
Vielen Dank

Content-Key: 474731

Url: https://administrator.de/contentid/474731

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: NordicMike
NordicMike 19.07.2019 um 01:25:50 Uhr
Goto Top
Der PC selbst ist aber auch in der Domäne, oder?
Versuch mal den FQDN ...
Mitglied: sabines
sabines 19.07.2019 um 07:51:06 Uhr
Goto Top
An der Stelle wird der Name des PC nicht überprüft, Du kannst hier also alles mögliche eintragen.
Wie schon der schlaflose @NordicMike sagt, versuchs mal mit dem FQDN
Mitglied: emeriks
emeriks 19.07.2019 um 08:17:44 Uhr
Goto Top
Hi,
Zitat von @Bingo61:
an dem der User arbeitet ist der User gesperrt.
Nein, ist er nicht. Mit "Benutzer gesperrt" meint man was anderes.

Trage ich im Profil / anmelden an den PC-01 ein, an dem der User arbeitet ist der User gesperrt. <-- ist quatsch , daran soll er arbeiten
Reden wir hier von lokaler Anmeldung am PC oder von Anmeldung am TS via RDP von diesem PC aus?

Da müssen keine FQDN rein, sondern die einfachen, kurzen Namen.

Ich vermute mal, Du hast Da bloß einen Schreibfehler. z.B. dass der Computer tatsächlich anders heißt, als Du denkst.

E.
Mitglied: emeriks
emeriks 19.07.2019 aktualisiert um 08:21:54 Uhr
Goto Top
Zitat von @Bingo61:
Wie trage ich nun die gesperrten PC dort ein, ohne das der User an seinen Gerät eingeschränkt ist .
Eine Gruppen Richtlinie möchte ich wegen dem einen User nicht einrichten.
Der Dativ ist dem Genitiv sein Tod.... Aber egal.

Man kann auch umgekehrt gehen. Statt festzulegen, wo sich ein Benutzer anmelden darf, kann man auch festlegen, wer sich an einem Computer anmelden darf. Am einfachsten geht das über das Bearbeiten der lokalen Gruppe "Benutzer". Oder durch Bearbeiten des lokalen Privilegs "Anmelden an diesem Computer". Beides geht lokal am Computer oder zentral via GPO.
Mitglied: Bingo61
Bingo61 20.07.2019 um 08:14:02 Uhr
Goto Top
Hi,
wir reden nicht von lokaler Anmeldung, sondern über User sitzt vor PC und gibt Domaine/Benutername-- Passwort ein .

Lokal ist eh alles gesperrt, ausser Admin und aktuellen User.
Schreibfehler? nein

Habe einen Test User angelegt, gehe ich als Test User auf den eingetragenen PC , Meldung ( Kurz Form)
Admin hat die Benutzung eingeschränkt.

Egal welche PC ich Eintrage, Zugriff ist immer verweigert .
Test User ist Domain User und Mitglied in der Remotegruppe


Siehe Bild.


Habe das schon mal mit 2012 R2 so ausgeführt, Problemlos .
Das ist nun 2019 Standart, da klappt es nicht.

FQDN lässt die Eingabe gar nicht zu 12 Zeichen , dann ist Schluss.
admin-test
Mitglied: Bingo61
Bingo61 20.07.2019 um 08:16:15 Uhr
Goto Top
FQDN? = größer wie 12 Zeichen, kannst nicht eintragen.
Mitglied: Bingo61
Bingo61 20.07.2019 um 08:19:59 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @Bingo61:
Wie trage ich nun die gesperrten PC dort ein, ohne das der User an seinen Gerät eingeschränkt ist .
Eine Gruppen Richtlinie möchte ich wegen dem einen User nicht einrichten.
Der Dativ ist dem Genitiv sein Tod.... Aber egal.
Deutsch Lehrer?
Man kann auch umgekehrt gehen. Statt festzulegen, wo sich ein Benutzer anmelden darf, kann man auch festlegen, wer sich an einem Computer anmelden darf. Am einfachsten geht das über das Bearbeiten der lokalen Gruppe "Benutzer". Oder durch Bearbeiten des lokalen Privilegs "Anmelden an diesem Computer". Beides geht lokal am Computer oder zentral via GPO.
Wenn ich Domaine Anmeldung verhindern möchte, was will ich dann in der lokalen Anmeldung?
OK, es war spät in der Nacht bzw sehr früh Morgen als ich das geschrieben hatte, da ist es sicher nicht so klar angekommen .
Mitglied: emeriks
emeriks 20.07.2019 aktualisiert um 14:15:28 Uhr
Goto Top
Zitat von @Bingo61:
Hi,
wir reden nicht von lokaler Anmeldung, sondern über User sitzt vor PC und gibt Domaine/Benutername-- Passwort ein .
Lokal ist eh alles gesperrt, ausser Admin und aktuellen User.
Schreibfehler? nein
Verständnisfehler? Ja.
Erstmal ist die interaktive Anmeldung eines Domänenbenutzers an einem PC für diesen eine "lokale Anmeldung".
Zweitens habe ich mit keiner Silbe von lokalen Benutzerkonten geschrieben, was Du aber offensichtlich so verstanden hast.
Auch Domänenbenutzer können Mitglieder in lokalen Gruppen von Domain Membercomputer sein. Und ja, genau diese Gruppen steuern auch die Rechte von Domänenbenutzern auf diesen Computern.

Test User ist Domain User und Mitglied in der Remotegruppe
Remotegruppe? Also doch RDP? Warum schreibst Du das dann nicht?
Du willst einschränken, von welchem PC aus ein Benutzer eine Verbindung via RDP herstellen kann. Richtig?

Das ist nun 2019 Standart
Wie steht man da so?
Mitglied: Goldfuchs
Goldfuchs 29.09.2020 aktualisiert um 17:30:56 Uhr
Goto Top
Ohne mir alles durchgelesen zu haben:

ich habe das bei mir so eingestellt, dass verschiedene GPOs für Server, Clients, DC greifen. Z.B. möchte ich dass auf meinem FileServer nur bestimmte User zugreifen können. Den FileServer habe ich in einer Gruppe und die dazugehörigen berechtigten User in einer anderen.

Dies

gpo

und hier die Variante, dass nur bestimmte User sich am PC anmelden können:

locallogon


"Ich möchte nicht wegen einem User eine GPO anlegen" - Dann weise doch einer GPO dem User zu, sollte doch gehen und letztendlich ist es nur eine weitere Verknüpfung welche du dann filtern und nur an diesen einen User binden kannst.
gpos3
Mitglied: emeriks
emeriks 30.09.2020 um 08:36:42 Uhr
Goto Top
Zitat von @Goldfuchs:
und hier die Variante, dass nur bestimmte User sich am PC anmelden können:
Aha: Nicht festgelegt.
"Ich möchte nicht wegen einem User eine GPO anlegen" - Dann weise doch einer GPO dem User zu, sollte doch gehen und letztendlich ist es nur eine weitere Verknüpfung welche du dann filtern und nur an diesen einen User binden kannst.
Dann bitte richtig: Wenn man GPO nur für bestimmte Gruppen filtern will, dann muss man im Gegenzug die "Authentifizierten Benutzer" dafür entfernen.
Mitglied: Goldfuchs
Goldfuchs 30.09.2020 aktualisiert um 12:55:23 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @Goldfuchs:
und hier die Variante, dass nur bestimmte User sich am PC anmelden können:
Aha: Nicht festgelegt.
"Ich möchte nicht wegen einem User eine GPO anlegen" - Dann weise doch einer GPO dem User zu, sollte doch gehen und letztendlich ist es nur eine weitere Verknüpfung welche du dann filtern und nur an diesen einen User binden kannst.
Dann bitte richtig: Wenn man GPO nur für bestimmte Gruppen filtern will, dann muss man im Gegenzug die "Authentifizierten Benutzer" dafür entfernen.

Ich hab das so verstanden, dass "auth Benutzer" als Grundlage dienen und sie mit z.B. "FileServer" eingegrenzt werden, liege ich da falsch?

Edit: Macht irgendwie keinen Sinn also danke für deine erklärung!