Es gibt hin und wieder schon den Anwendungsfall, dass auf einem Server nur ein spezieller Nutzer angemeldet sein darf, weil nur unter dem spezielle Anwendungen laufen dürfen. Sollte sich ein anderer Nutzer an dem Server oder Computer anmelden, würde es unter Umständen dazu führen, dass die Anwendung doppelt gestartet werden, weil die Anwendung auf der selben Maschine unter verschiedenen Nutzern läuft. Das gilt es nun zu verhindern, weshalb wir uns eine GPO zusammenbauen, die nur dem Nutzere „MJ\laduschi.uschi“ und erlaubt, sich an dem Computer „Office01“ lokal, als auch remote anzumelden.
GPO – konfigurieren
Wir legen uns die GPO „Allow login only for user laduschi.uschi“ in MJ > testlab > computers > clients an und konfigurieren die folgenden Einstellungen in dem Zweig „Computer Confguration > Windows Settings > Security Settings > Local Policies > User Rights Assignment“
- Allow logon locally
- Allow log on through Terminal Services
Bei „Allow logon locally“ muss die AD-Gruppe „Administrators“ bzw. „Administratoren“ mit angegeben werden, da sich die Einstellungen sonst nicht speichern lassen.
Damit die GPO nicht auf alle Computer der OU „clients“ angewendet wird, setzen wir den Sicherheitsfilter für „office01“
Versucht sich nun ein anderer Nutzer (nicht MItglied der AD-Gruppe „Administrators“ bzw. „Administratoren“) an dem Client01 anzumelden, wird die Anmeldung mit der Meldung „The sign-in method you’re trying to use isn’t allowed“ abgewiesen. Die Anmeldung mit unserem AD-Nutzer laduschi.uschi funktionier hingegen.
lokaler oder remote Login für spezielle Nutzer verbieten
Natürlich kann man das ganze auch noch ander stricken und den lokalen und/oder remote Login von Nutzern verbieten. Dazu im inner der GPO im Zweig „Computer Confguration > Windows Settings > Security Settings > Local Policies > User Rights die entsprechenden Nutzer bei den folgenden Einstellungen hinterlegen:
- Deny log on locally
- Deny log on through Remote Desktop Services
Nutzern feste Computer für den Logon zuordnen
Standardmäßig kann sich jeder Active-Directory Nutzer an jedem Computer (Client) local anmelden. Möglicherweise möchte man aber nicht, dass sich bestimmte Nutzer nicht an jedem Office-Client des Active-Directories anmelden können. Auch hier gibt es eine Abhilfe, ausnahmsweise ohne GPO 😉
Dazu wechselt in das Profil des Nutzers in der „Active-Directory Users and Computers“ Console