Anmeldung von nicht eingerichteten Usern verhindern?

Hi all,

im momment stehe ich vor einem Problem, wo ich bisher noch keine Lösung gefunden habe.

Und zwar möchte ich verhindern, das sich User an einem PC anmelden, auf dem diese kein Lokales Konto haben.

Beispiel :

Ich habe in der Domäne die User Bill, Steve und Larry die auch ein Konto mit entsprechenden rechten haben lokal auf einem PC haben.

Nun möchte ich verhindern, das sich der User Linus auf diesem PC anmelden kann, obwohl dieser User ein Konto in der Domäne hat.

Hat das schonmal jemand gemacht, bzw. hat da jemand einen Tip für.

Danke schonmal im vorraus.

Gib dem User Linus in Active Directory vor an welchen PC´s er sich anmelden darf und auf welchem nicht. Siehst du in den Kontenberechtigungen.

Hi,

danke erst mal für deine Antwort.

Ist aber ziemlich aufwendig, jetzt erst mal zu prüfen, wer sich auf welchen Rechnern anmelden darf.

Ich hatte gedacht, das es evt. eine Richtlinie gibt, die das Anmelden Lokal sperrt, wenn der Benutzer nicht eingerichtet ist (was bei einer rein lokalen Anmeldung ja der fall ist).

Du kannst auch die lokalen Sicherheitsrichtlinien so konfigurieren das nur bestimmte User sich auf diesem PC anmelden können.

Hi Marco,

das ist dann auch wieder genauso aufwendig. Bei 2-3 Rechner mag das noch leicht sein, aber bei z.b. 100+ Rechnern, ist das nicht mehr praktikabel.

Ich suche einfach eine Lösung, die auf grundlage der aktuellen Einstellungen, das Anmelden verhindert.

Sprich : User X hat kein lokales Konto, also darf sich User X auch nicht an PC Y anmelden.

Die anderen Lösungen sind mit Kanonen auf Spatzen geschossen, den es währe bei vielen PCs ziemlich mühselig hunderte von Benutzerkonten den Rechnern zuzuweisen bzw. hunderte von PCs aufzusuchen um dort die Lokalen Richtlinien zu ändern.

Dafür dachte ich währe eigentlich das AD da, um sich genau diese Arbeit zu sparen :

Gruppenrichtlinien heisst hier der Trick ;-)
Alle Infos unter www.gruppenrichtlinien.de

Cheers,
Joshua

@Joshua

Schön und gut, aber welche soll dafür verantwortlich sein?

Habe die ganzen ADMs schon mehr als einmal durchsucht, aber nichts gefunden, was dafür verantwortlich sein könnte.

Ok, erstmal was grundlegendes: Welches BS haben deine Clients ?!?

Cheers,
Joshua

@Joshua

Die Clienst haben XP SR1a und 2000 SR4.

Ich hab da mal ne Frage: Bei mir haben die Benutzer nie lokale Konten(außer der Admin), wäre auch etwas aufwendig zu pflegen.

Ich kann doch im Loginskript bereits den Computernamen und den Usernamen abfragen. Wäre es da nicht einfach möglich bei einer bestimmten Kombination den User wieder rauszuschmeissen falls er sich am falschen Rechner anmeldet?

Hi,

bisher habe ich noch keine brauchbare Lösung für das problem gefunden.

Die meisten Lösungsansätze greifen bei 5 Usern etc., aber bei 500 Benutzern/PCs, ist das nicht mehr zu gebrauchen.

Und wozu Lokale Konten ?

Ganz einfach deswegen, damit die Anmeldung beschleunigt wird. Zumal bei sovielen Usern Server Profile nicht mehr sinnig währen, da diese alleine zig Server lahmlegen würden.

?!? Ich werfe mal mit Fragezeichen um mich ?!?

Erstens frage ich mich, seit wann servergespeicherte Profile das Netz lahmlegen ?!?
Ordnerumleitung via GPO heisst das Zauberwort, nachzulesen bei www.gruppenrichtlinien.de

Zweitens gibt es keinerlei Zusammenhang zwischen einem lokalen und einem Domänenkonto und das ist auch gut so - eine Domäne wäre ja sonst überflüssig.
Wenn ein User ein Domänen-Account, dann darf er sich auch an jeder Workstation, die Mitglied dieser Domäne ist, anmelden; das ist die Default-Einstellung. Verhindern kann man das wie schon gesagt nur über die Gruppenrichtlinien und dann aber auch nur völlig unabhängig von den lokalen Konten, da diese -wie schon gesagt- überhaupt gar nix mit den Domänen-Konten zu tun haben und auch nicht in Zusammenhang gebracht werden können.

Warum willst du eigentlich die Anmeldung von bestimmten Usern an bestimmten Rechnern verhindern, das muss doch noch nen anderen Grund haben als die Profil-Geschichte (wobei sich mir da auch der Zusammenhang entzieht....) ?!?

Cheers,
Joshua

Hi,

der grund hängt einfach mit benötigten rechten auf die Registry zusammen.

Wir benutzen hier in der Firma mehrere Server/Client Programme von z.b. Lexware und Autodesk, die unter reinen Benutzerrechten ihre lieben probs haben.

Also obwohl die Progs alle Mehrbenutzerfähig sind etc. laufen diese normalerweise nur mit lokalen Admin rechten.

Da dieses recht dem normalen benutzer nicht zusteht, wird entsprechend die Registry für die jeweiligen Benutzer angepasst.

Und nun kommts : Meldet sich ein User x an Rechner Y an, OHNE das er die entsprechenden Registry Rechte hat, meldet z.b. Lexwares Reisekosten 2004 das die Datenbank nicht geöffnet werden konnte.

Ok, währe ja nicht so schlimm, aber danach kann KEIN anderer User mehr, egal von welchem PC, Reisekosten 2004 aufrufen, da danach nur noch kommt, das die Datenbank möglicherweise beschädigt sei, und mann Lexware Reisekosten neu Installieren soll.

Eine Lösung gibt es dafür keine, außer eben neuinstallieren (auch Lexware konnte für dieses Problem keine Lösung liefern).

Und da nunmal nicht jeder Benutzer, auch alle Progs ausführen darf, sind die entsprechenden Registry schlüssel ansonsten auch nur für User A,B und C, aber nicht für User F,G und H zugänglich.

Somit ist das Problem zu verhindern, das z.B. User A sich an allen PCs anmeldet bzw. anmelden kann.

Nun durchschaue ich, worum es geht - da nutzen dir lokale Konten aber wenig.....
Wir setzen bei uns u.a. auch Lexware ein, das ist nicht ganz so schön, da geb ich dir recht - aber Adminrechte braucht deshalb niemand, Hauptbenutzer-Rechte reichen.

Mache die Domänenkonten der Lexware-User auf den Clients Mitglied der lokalen Gruppe Hauptbenutzer - das wars schon.

Chers,
Joshua

Hi Joshua,

also Lexware Reisekosten 2004 läuft hier weder als Benutzer, noch als Haubtbenutzer.

Nur als Admin lässt es sich völlig problemlos starten. Auch Lexware hat dafür keine Lösung parat.

Das einzigste was half, war mittels RegMon nachzuschauen, welche Schlüssel der jeweils benutzt, und diese dann entsprechend freizugeben (nicht schön, aber funktioniert wenigstens).

Puuh - schwierig.
Lexware macht aber auch immer wieder Zicken, da hatte ich schon ein paar Mal Probleme mit....

However:
Dann wird dir wohl nix anderes übrig bleiben, als im Active Directory ne Gruppe Lexware zu erstellen, alle Lexware-Benutzer darein zu schmeissen und dann dieser Gruppe auf allen Clients Admin-Rechte zu erteilen.
Durch die Gruppe stellst du aber zumindest sicher, das sich User 1 an allen Rechnern anmelden und arbeiten kann, ohne Lexware abzuschiessen und gleichzeitig, das User 2 eben keinen Zugriff erhält.

Cheers,
Joshua