nur bestimmt benutzer zur Anmedung zulassen

Kann mir jemand bei diesem Problem weiterhelfen?:

Ich habe eine Workstation und mchte verhindern, dass alle Benutzer, die im Domänencontroller definiert sind, sich an dieser Workstation anmelden können. Ich möchte das möglichst an dieser Workstation einrichten, also am Domänencontroller nichts verändern.

kurzes Beispiel:
Es existieren UserA, UserB, UserC auf der Domäne Domain1
Ich möchte, das sich an einer bestimmten Workstation nur UserA und UserC anmelden können.

Geht das?

Danke im VOraus für jede Hilfe,
WJF

Hi,
lokal geht das nicht, das kannst nur am DC einrichten.

Der Grund ist das am DC vordefiniert ist das sich jeder User an allen Workstations anmelden darf, und diese Richtlinie würde jede lokale Richtlinie überschreiben, denn Domänenrichtlinien haben vorrang.

Danke für die schnelle Antwort.

Kann man denn an der Workstation einstellen, dass sich nur solche Benutzer Anmelden dürfen, für die schon ein lokal eingerichtetes Benutzerkonto vorhanden ist?

Gruß,
WJF

Hi,
nein, auch das geht nicht. Du könntest zwar die Gruppe Benutzer löschen und den Hauptbenutzern das Profil einrichten, aber auch die stellt der DC sofort wieder her wenn sich ein anderer User anmeldet.

Du sagtest, am DC könne man es einrichten.
Wie geht es da genau? Muss ich in jedem Userprofil angeben, wo er sich anmelden/nichtanmelden darf? (Das wäre schlecht bei 300 Usern) Oder kann ich tatsächlich für eine Workstation angeben, wer sich hier anmelden/nichtanmelden darf? (Das wäre gut)

Grüße,
WJF

ähm, moment mal...

man kann einen auf einem DC in derm Benutzermanager für Domänen ja explizit sagen, welcher Benutzer der Domäne sich wo anmelden kann (->Benutzer doppelklicken -> anmelden an; so zumindest unter NT4 Server). Und dann kann sich der Benutzer nur noch an den eingestellten WKS´s anmelden, und zwar immer nur an der Domäne.

Lokale Anmeldung geht ja nicht, da auf dem Client-PC ja nicht das Benutzerkonto drauf ist (sollte zumindest so sein, daß die Domänenkonten NUR auf dem DC sind!)

Die Frage ist natürlich, WIE sich die Benutzer anmelden sollen?

Lokal, d.h. mit einem definiertem Konto auf dem PC oder
in der Domäne, d.h. mit einem Konto, daß auf dem DC definiert ist, in dem Fall, kann sich der User nicht lokal anmelden, da das Konto in der VDB (Verzeichnisdatenbank) nicht lokal angelegt wurde.

Klar kannst du das an der Workstation einstellen. In der Domäne kannst du einstellen, dass sich bestimmte Benutzer nur an bestimmten Rechnern anmelden dürfen. Das willst du wohl weniger erreichen...
Prinzipiell musst du an der Workstation nur die Gruppe Domänen-Benutzer aus der Gruppe Benutzer entfernen. Damit kann sich dann niemand mehr mit einem normalen Domänenbenutzerkonto an dieer Arbeitsstation anmelden. Dafür fügst du dann die gewünschten Benutzer zur dieser Gruppe hinzu. Wenn sich diese Benutzer von Zeit zu Zeit ändern sollten, dann wäre es ratsam diese Domänenbenutzer in eine globale Gruppe reinzupacken und dieser Gruppe an der Workstation hinzuzufügen.