Ich habe:
- Domänencontroller
- mehrere Domänenbenutzer
- mehrere Windows-Arbeitsstationen (Client dieser Domäne).
Bei den Windows-Arbeitsstationen handelt es sich um physisch brandneue Computer. Außer dem Beitritt zur Domäne wurden keine Konfigurationen daran vorgenommen.
Es gibt 3 Punkte, die ich nicht verstehe:
Gibt es eine Möglichkeit, die lokalen Benutzerberechtigungen im Active Directory zu konfigurieren? Beispielsweise indem man angibt, dass dieser Domänenbenutzer (oder diese Gruppe) Administrator auf diesem physischen Computer sein soll. Oder muss ich das auf jedem physischen Computer manuell tun?
Gibt es eine Möglichkeit, bestimmten Benutzern den Zugriff auf bestimmte Rechner zu verweigern? Beispielsweise können sich alle Benutzer mit RDP auf allen Arbeitsstationen außer einer verbinden.
Ich habe versucht, die Mitgliedschaft in lokalen Gruppen auf einer Arbeitsstation manuell einzurichten. Ich verstehe es nicht, aber ich kann meine Mitgliedschaften in lokalen Gruppen sehen, wenn ich tippe , aber im Befehlsergebnis
whoami /groupswird eine leere Zeile „Lokale Gruppenmitgliedschaften“ angezeigt . Was ist der Grund? Vielleicht ist es nicht dafür ausgelegt, lokale Gruppen anzuzeigen? Aber warum wird in diesem Fall eine leere Zeile „Lokale Gruppenmitgliedschaften“ angezeigt? Ich habe versucht, (ohne /domain-Flag) zu tippen, aber ich erhalte eine Fehlermeldung, weil dieser Benutzer lokal nicht existiert.net user bob /domainnet user xxx /domainnet user bob
Danke
Antwort1
Gibt es eine Möglichkeit, die lokalen Benutzerberechtigungen im Active Directory zu konfigurieren? Beispielsweise indem man angibt, dass dieser Domänenbenutzer (oder diese Gruppe) Administrator auf diesem physischen Computer sein soll. Oder muss ich das auf jedem physischen Computer manuell tun?
Über die Gruppenrichtlinie verwenden Sie „Einstellungen > Systemsteuerung > Lokale Benutzer und Gruppen“. (Ich glaube, es gab auch einen anderen Weg, aber Einstellungen funktionieren hier gut und ermöglichen mehreren sich überschneidenden Gruppenrichtlinienobjekten, ihre eigenen Administratorgruppen hinzuzufügen.)
Wenn jedoch jedem Computer ein bestimmter Benutzer als Administrator zugewiesen ist, ist es möglicherweise einfacher, dies auf jedem Computer manuell durchzuführen. (Sie können scden WinRM-Dienst remote starten und dann winrsoder PowerShell Remoting verwenden, um ihn remote aufzurufen net localgroup /add...)
Sie können natürlich beides verwenden – GPO, um dem „IT-Personal“ den lokalen Administratorstatus zu gewähren (und um „Domänenadministratoren“ aus dem lokalen Administratorstatus zu entfernen!), aber dem zugewiesenen Benutzer den lokalen Administratorstatus manuell gewähren.
Gibt es eine Möglichkeit, bestimmten Benutzern den Zugriff auf bestimmte Rechner zu verweigern? Beispielsweise können sich alle Benutzer mit RDP auf allen Arbeitsstationen außer einer verbinden.
Konfigurieren Sie über die Gruppenrichtlinie „Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > [Zulassen/Verweigern] Anmelden über Remotedesktopdienste“. Die Standardeinstellung ist bereits, dass nur Administratoren und Mitglieder von „RDP-Benutzern“ zugelassen werden.
Dies kann auch lokal pro Computer über gpedit.msc oder secpol.msc konfiguriert werden. Da die Standardeinstellungen jedoch bereits Benutzer verbieten, die sich nicht in der Gruppe „RDP-Benutzer“ befinden, ist es einfacher, stattdessen Gruppenmitglieder hinzuzufügen/zu entfernen.
(Hinweis: Der Anmeldetyp „Interaktiv“ umfasst sowohl lokale als auch RDP-Anmeldungen, während der Anmeldetyp „Netzwerk“ für den SMB-Zugriff vorgesehen ist. Wenn Sie SSH installieren, wird es normalerweise als „Interaktiv“ klassifiziert, kann in manchen Situationen aber auch „Netzwerk“ sein.)
Ich habe versucht, die Mitgliedschaft in lokalen Gruppen auf einer Arbeitsstation manuell einzurichten. Ich verstehe es nicht, aber ich kann meine Mitgliedschaften in lokalen Gruppen sehen, wenn ich whoami /groups eingebe, aber ich sehe eine leere Zeile „Lokale Gruppenmitgliedschaften“ im Ergebnis des Befehls net user bob /domain. Was ist der Grund? Vielleicht ist net user xxx /domain nicht dafür ausgelegt, lokale Gruppen anzuzeigen? Aber warum sehe ich in diesem Fall eine leere Zeile „Lokale Gruppenmitgliedschaften“? Ich habe versucht, net user bob einzugeben (ohne /domain-Flag), aber ich erhalte eine Fehlermeldung, weil dieser Benutzer lokal nicht existiert.
Es würde lokale Mitgliedschaften zeigenauf dem Domänencontroller,scheinbar.
Ich vermute, dass es sich um ein Relikt von Domänen aus der Zeit vor AD handelt (wie etwa „NT-Domänen“ auf NetBIOS-Basis), da net.exenoch viel Code aus dieser Zeit vorhanden ist – es erinnert sich sogar an den OS/2 LAN Manager und sogar an NetWare (wie etwa den ungenutzten Schalter /fpnw).