In bestimmten Situationen kann es unerwünscht sein, dass sich alle Domänen-Benutzer an einem Computer anmelden können. Von Haus aus gibt es nämlich keine Beschränkung für die Anmeldung von Domänen-Benutzern an den PCs einer Windows Domäne. Praktisch wäre es, Benutzern die Anmeldung am Computer verweigern zu können. Genau das funktioniert prima per Gruppenrichtlinien.
Die Anmeldung am Computer verweigern per Gruppenrichtlinie
Ich gehe in diesem Artikel von folgendem, beispielhaften Szenario aus: Es soll allen Mitarbeitern untersagt werden, sich mit dem eigenen Domänenbenutzer auf den Rechnern der Geschäftsleitung anmelden zu können. Der Grund hierfür können z.B. lokale Daten auf den Festplatten sein. Andersherum gesagt – nur Mitglieder der Geschäftsleitung sollen sich auf den Computern der Geschäftsleitung anmelden dürfen.
Die Voraussetzungen für die benötigte Gruppenrichtlinie sind in den meisten Fällen bereits erfüllt. Du benötigst dafür:
- Die Computer der Abteilung müssen in einer Organisationseinheit (OU) zusammengefasst sein.
- Die Benutzer, welche die Berechtigung erhalten sollen, müssen in einer Gruppe zusammengefasst werden.
Erstellen der Gruppenrichtlinie
In der neuen Gruppenrichtlinie werden wir nun nicht allen anderen Benutzern das Anmelden am Computer verweigern, sondern wir erlauben der Gruppe „USERS-GL“ explizit die lokale Anmeldung an den Clients der Organisationseinheit „COMPUTER_GL“. Dies schließt das Anmeldeverbot für alle anderen Domänenbenutzer an den Rechnern dieser OU mit ein.
Es handelt sich dabei um eine Computerrichtlinie. Die benötigten Einstellungen findest Du unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten. Die Richtlinie nennt sich „Lokal anmelden zulassen„.
Mit einem Doppelklick auf diese Richtlinie kannst Du diese aktivieren. Dafür aktivierst Du die Option „Diese Richtlinieneinstellungen definieren“ und fügst im Feld darunter die Gruppe mit den berechtigten Benutzern hinzu. Natürlich lassen sich hier auch einzelne Benutzer definieren, wenn Du dafür keine Gruppe anlegen möchtest oder vielleicht weitere Benutzer autorisieren musst.
Wichtig: Die Gruppe „Administratoren“ muss immer über lokale Anmeldeberechtigungen verfügen, weshalb diese ebenfalls hinzugefügt werden müssen. Ohne diesen Eintrag lässt sich die Richtlinie auch nicht aktivieren.
Gruppenrichtlinie zuweisen (aktivieren)
Damit die Gruppenrichtlinie nun auch auf den richtigen Clients angewendet wird, musst Du die neue Richtlinie mit der betreffenden Organisationseinheit verknüpfen. Hierfür ziehst Du das soeben erstellte Gruppenrichtlinienelement auf die gewünschte OU. In diesem Fall wende ich die Gruppenrichtlinie auf die OU „COMPUTER_GL“ an, da ich darin ja ausschließlich die Anmeldung für die Benutzer der Geschäftsleitung genehmigt habe.
Wird die Gruppenrichtlinie versehentlich auf alle Computer oder auf eine falsche OU angewendet, so können sich die Benutzer dieser Computer nicht mehr anmelden.
Neben der Richtlinie „Lokal anmelden zulassen“ kann auch die Richtlinie „Lokal anmelden verweigern“ verwendet werden. Dies ist aber nur dann sinnvoll, wenn Du einzelnen Benutzern die Anmeldung am Computer verweigern möchtest.
Lokal anmelden zulassen: Diese Benutzer dürfen sich an dieser Arbeitsstation anmelden. Alle anderen nicht.
Lokal anmelden verweigern: Diese Benutzer dürfen sich NICHT an dieser Arbeitsstation anmelden. Alle anderen dürfen.
Ebenfalls interessant:
- Gruppenrichtlinie nicht anwenden
- Netzlaufwerk verbinden per Gruppenrichtlinie
- Gruppenrichtlinien aktualisieren
Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.
