Anmeldung am Computer verweigern in der Domäne

In bestimmten Situationen kann es unerwünscht sein, dass sich alle Domänen-Benutzer an einem Computer anmelden können. Von Haus aus gibt es nämlich keine Beschränkung für die Anmeldung von Domänen-Benutzern an den PCs einer Windows Domäne. Praktisch wäre es, Benutzern die Anmeldung am Computer verweigern zu können. Genau das funktioniert prima per Gruppenrichtlinien.

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

Die Anmeldung am Computer verweigern per Gruppenrichtlinie

Ich gehe in diesem Artikel von folgendem, beispielhaften Szenario aus: Es soll allen Mitarbeitern untersagt werden, sich mit dem eigenen Domänenbenutzer auf den Rechnern der Geschäftsleitung anmelden zu können. Der Grund hierfür können z.B. lokale Daten auf den Festplatten sein. Andersherum gesagt – nur Mitglieder der Geschäftsleitung sollen sich auf den Computern der Geschäftsleitung anmelden dürfen.

Die Voraussetzungen für die benötigte Gruppenrichtlinie sind in den meisten Fällen bereits erfüllt. Du benötigst dafür:

  1. Die Computer der Abteilung müssen in einer Organisationseinheit (OU) zusammengefasst sein.
  2. Die Benutzer, welche die Berechtigung erhalten sollen, müssen in einer Gruppe zusammengefasst werden.
Anmeldung am Computer verweigern - Gruppen und OUs

Die neue Computerrichtline wird auf die betreffenden Computer der OU angewendet.

Erstellen der Gruppenrichtlinie

In der neuen Gruppenrichtlinie werden wir nun nicht allen anderen Benutzern das Anmelden am Computer verweigern, sondern wir erlauben der Gruppe „USERS-GL“ explizit die lokale Anmeldung an den Clients der Organisationseinheit „COMPUTER_GL“. Dies schließt das Anmeldeverbot für alle anderen Domänenbenutzer an den Rechnern dieser OU mit ein.

Es handelt sich dabei um eine Computerrichtlinie. Die benötigten Einstellungen findest Du unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten. Die Richtlinie nennt sich „Lokal anmelden zulassen„.

Mit einem Doppelklick auf diese Richtlinie kannst Du diese aktivieren. Dafür aktivierst Du die Option „Diese Richtlinieneinstellungen definieren“ und fügst im Feld darunter die Gruppe mit den berechtigten Benutzern hinzu. Natürlich lassen sich hier auch einzelne Benutzer definieren, wenn Du dafür keine Gruppe anlegen möchtest oder vielleicht weitere Benutzer autorisieren musst. Wichtig: Die Gruppe „Administratoren“ muss immer über lokale Anmeldeberechtigungen verfügen, weshalb diese ebenfalls hinzugefügt werden müssen. Ohne diesen Eintrag lässt sich die Richtlinie auch nicht aktivieren.

GPO - Lokal anmelden zulassen

Neben der Benutzergruppe müssen immer auch die „Administratoren“ für die lokale Anmeldung berechtigt werden.

Anmeldung am Computer verweigern

Um anderen Benutzern die Anmeldung am Computer verweigern zu können, muss die Richtlinie „Lokal anmelden zulassen“ aktiviert und konfiguriert werden.

Gruppenrichtlinie zuweisen (aktivieren)

Damit die Gruppenrichtlinie nun auch auf den richtigen Clients angewendet wird, musst Du die neue Richtlinie mit der betreffenden Organisationseinheit verknüpfen. Hierfür ziehst Du das soeben erstellte Gruppenrichtlinienelement auf die gewünschte OU. In diesem Fall wende ich die Gruppenrichtlinie auf die OU „COMPUTER_GL“ an, da ich darin ja ausschließlich die Anmeldung für die Benutzer der Geschäftsleitung genehmigt habe.

Anmeldung am Computer verweigern per GPO

Die Gruppenrichtlinie darf nur auf die OU mit den Computern zugewiesen, auf denen sich die definierten Benutzer anmelden sollen.

Wird die Gruppenrichtlinie versehentlich auf alle Computer oder auf eine falsche OU angewendet, so können sich die Benutzer dieser Computer nicht mehr anmelden.

Neben der Richtlinie „Lokal anmelden zulassen“ kann auch die Richtlinie „Lokal anmelden verweigern“ verwendet werden. Dies ist aber nur dann sinnvoll, wenn Du einzelnen Benutzern die Anmeldung am Computer verweigern möchtest.

Lokal anmelden zulassen: Diese Benutzer dürfen sich an dieser Arbeitsstation anmelden. Alle anderen nicht.

Lokal anmelden verweigern: Diese Benutzer dürfen sich NICHT an dieser Arbeitsstation anmelden. Alle anderen dürfen.

Ebenfalls interessant:

Es freut mich, wenn ich Dir mit diesem Artikel helfen konnte.
Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.