Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie die Verwendung eines Computers nur auf einen Domänenbenutzer beschränken.
Ursprüngliche KB-Nummer: 555317
Dieser Artikel wurde von Yuval Sinay, Microsoft MVP, geschrieben.
Symptome
Wenn Sie vertrauenswürdige Verbindungen aus einer Domäne(Gesamtstruktur) zu einer anderen erstellen, haben Die Benutzer die Möglichkeit, sich in einer anderen Domäne/s anzumelden als ihre private Domäne (die Domäne, die ihr Konto/s hosten).
Ursache
Vertrauen Sie Verbindungen von einer Domäne zu einer anderen oder/und einer Gesamtstruktur zu einer anderen, sodass benutzer sich in einer anderen Domäne/s anmelden können als ihre private Domäne (die Domäne, die ihr Konto/s hosten). Die Gruppe "Authentifizierte Benutzer" auf jedem Computer ermöglicht benutzern von einer vertrauenswürdigen Domäne die Authentifizierung und Anmeldung auf dem Computer.
Lösung
Option A: Domänenweite Richtlinie
Mithilfe von Gruppenrichtlinienfunktionen in der Windows 2000/2003-Domäne können Sie benutzer/s verhindern, sich bei einer anderen Domäne/s anzumelden als bei ihrer Heimdomäne.
Erstellen Sie ein neues domänenweites Gruppenrichtlinienobjekt, und aktivieren Sie den Benutzer "Lokale Anmeldung verweigern" direkt für das Quelldomänenbenutzerkonto/sIn der Zieldomäne.
Notiz
Einige Dienste (z. B. Sicherungssoftwaredienste) können durch diese Richtlinie wirksam werden und funktionieren nicht. Um zukünftige Probleme zu beseitigen, wenden Sie diese Richtlinie an, und verwenden Sie das GPO-Sicherheitsfilterfeature.
Lokal anmelden verweigern
Filtern mithilfe von Sicherheitsgruppen
Führen Sie die Ausführung
Gpupdate /forceauf dem Domänencontroller aus.
Option B: Entfernen von "NT AUTHORITY\Authenticated Users" aus der Liste der Benutzergruppe
Um die Möglichkeit der Anmeldung auf einem oder wenigen Computern zu vermeiden, folgen Sie den Anweisungen:
Klicken Sie mit der rechten Maustaste auf das Symbol "Arbeitsplatz" auf dem Desktop.
Wählen Sie "Verwalten" aus.
Extrahieren Sie "Lokale Benutzer und Gruppen".
Wählen Sie "Gruppen" aus.
Doppelklicken Sie auf der rechten Seite des Bildschirms auf die Gruppe "Benutzer".
Entfernen: "NT AUTHORITY\Authenticated Users" aus der Liste.
Fügen Sie der lokalen Gruppe "Benutzer" die erforderlichen Benutzer oder Gruppen und Gruppen hinzu.
Option C: Konfigurieren des Benutzers "Lokale Anmeldung verweigern" auf dem lokalen Computer/s
Um die Option zum Anmelden auf einem oder wenigen Computern zu vermeiden, folgen Sie den Anweisungen:
Wechseln Sie zu "Start" –> "Ausführen".
Schreiben von "Gpedit.msc"
Aktivieren Sie den Benutzer "Lokale Anmeldung verweigern" für die Quelldomänenbenutzerkonten.
Notiz
Einige Dienste (z. B. Sicherungssoftwaredienste) können durch diese Richtlinie wirksam werden und funktionieren nicht.
Lokal anmelden verweigern
Führen Sie die Ausführung
Gpupdate /forceauf dem lokalen Computer aus.
Option D: Selektive Authentifizierung bei Verwendung der Gesamtstrukturvertrauensstellung verwenden
Erstellen von Gesamtstrukturvertrauensstellungen
Weitere Informationen
Haftungsausschluss für Inhalte von Community-Lösungen
Die Microsoft Corporation und/oder ihre jeweiligen Zulieferer geben keine Zusicherungen bezüglich der Eignung, Zuverlässigkeit oder Genauigkeit der hier enthaltenen Informationen und zugehörigen Grafiken. Alle diese Informationen und zugehörigen Grafiken werden „wie besehen“ ohne jegliche Gewährleistung zur Verfügung gestellt. Microsoft und/oder seine jeweiligen Zulieferer lehnen hiermit alle Garantien und Bedingungen in Bezug auf diese Informationen und die zugehörigen Grafiken ab, einschließlich aller stillschweigenden Gewährleistungen und Bedingungen hinsichtlich der Marktgängigkeit, der Eignung für einen bestimmten Zweck, der fachgerechten Leistung, des Eigentums und der Nichtverletzung von Rechten. Sie erklären sich ausdrücklich damit einverstanden, dass Microsoft und/oder seine Zulieferer in keinem Fall für direkte, indirekte, strafbare, zufällige oder spezielle Schäden, Folgeschäden oder Schäden jeglicher Art haften, einschlieẞlich, aber nicht beschränkt auf Schäden durch entgangene Nutzung, Datenverlust oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der hier enthaltenen Informationen und zugehörigen Grafiken ergeben, unabhängig davon, ob diese auf Verträgen, unerlaubten Handlungen, Fahrlässigkeit, verschuldensunabhängiger Haftung oder einem anderen Grund basieren, selbst wenn Microsoft oder einer seiner Zulieferer auf die Möglichkeit von Schäden hingewiesen wurde.