Einschränken der Verwendung eines Computers auf nur einen Domänenbenutzer

  • Artikel

In diesem Artikel wird beschrieben, wie Sie die Verwendung eines Computers auf nur einen Domänenbenutzer beschränken.

Gilt für: Windows Server 2012 R2, Windows 10 – alle Editionen
Ursprüngliche KB-Nummer: 555317

Dieser Artikel wurde von Yuval Sinay, Microsoft MVP, geschrieben.

Symptome

Wenn Sie vertrauenswürdige Verbindungen von einer Domäne (Gesamtstruktur) zu einer anderen erstellen, haben Benutzer die Möglichkeit, sich bei anderen Domänen als ihre Heimdomäne anzumelden (Die Domäne, in der ihre Konten gehostet werden).

Ursache

Vertrauenswürdige Verbindungen von einer Domäne mit einer anderen oder/oder/und einer Gesamtstruktur zu einer anderen ermöglichen es Dem Benutzer, sich bei anderen Domänen als deren Heimdomäne anzumelden (Die Domäne, in der seine Konten gehostet werden). Die Gruppe "Authentifizierte Benutzer" auf jedem Computer ermöglicht die Authentifizierung von Benutzern aus einer vertrauenswürdigen Domäne und die Anmeldung beim Computer.

Lösung

Option A: Domain-Wide-Richtlinie

Mithilfe von Gruppenrichtlinienfunktionen in der Windows 2000/2003-Domäne können Sie verhindern, dass sich Benutzer bei anderen Domänen als deren Heimdomäne anmelden.

  1. Erstellen Sie ein neues domänenweites Gruppenrichtlinienobjekt, und aktivieren Sie das Benutzerrecht "Anmeldung lokal verweigern" für das Quelldomänenbenutzerkonto/sIn der Zieldomäne.

    Hinweis

    Einige Dienste (z. B. Backup-Softwaredienste) wirken sich möglicherweise auf diese Richtlinie aus und funktionieren nicht. Um zukünftige Probleme zu vermeiden, wenden Sie diese Richtlinie an, und verwenden Sie das GPO-Sicherheitsfilterfeature.

    Lokale Anmeldung verweigern

    Filtern mithilfe von Sicherheitsgruppen

  2. Führen Sie auf dem Domänencontroller aus Gpupdate /force .

Option B: Entfernen von "NT AUTHORITY\Authenticated Users"-Verwendungen aus der Liste der Benutzergruppen

Um die Möglichkeit der Anmeldung auf einem oder mehreren Computern zu vermeiden, folgen Sie den Anweisungen unten:

  1. Klicken Sie auf dem Desktop mit der rechten Maustaste auf das Symbol "Mein Computer".

  2. Wählen Sie "Verwalten" aus.

  3. Extrahieren Sie "Lokale Benutzer und Gruppen".

  4. Wählen Sie "Gruppen" aus.

  5. Doppelklicken Sie auf der rechten Seite des Bildschirms auf die Gruppe "Benutzer".

  6. Entfernen Sie: "NTAUTHORITY\Authenticated Users" aus der Liste.

  7. Fügen Sie der lokalen Gruppe "Benutzer" die Erforderlichen Benutzer oder -Gruppen und -Gruppen hinzu.

Option C: Konfigurieren des Benutzers "Lokale Anmeldung verweigern" auf dem/den lokalen Computern

Um die Möglichkeit der Protokollierung auf einem oder mehreren Computern zu vermeiden, befolgen Sie die Anweisungen unten:

  1. Wechseln Sie zu "Start" –> "Ausführen".

  2. Schreiben von "Gpedit.msc"

  3. Aktivieren Sie das Benutzerrecht "Anmeldung lokal verweigern" für die Quelldomänenbenutzerkonten.

    Hinweis

    Einige Dienste (z. B. Backup-Softwaredienste) wirken sich möglicherweise auf diese Richtlinie aus und funktionieren nicht.

    Lokale Anmeldung verweigern

  4. Führen Sie auf dem lokalen Computer aus Gpupdate /force .

Option D: Verwenden der selektiven Authentifizierung bei Verwendung der Gesamtstrukturvertrauensstellung

Erstellen von Gesamtstrukturvertrauensstellungen

Weitere Informationen

Haftungsausschluss für Inhalte von Community-Lösungen

Die Microsoft Corporation und/oder ihre jeweiligen Zulieferer geben keine Zusicherungen bezüglich der Eignung, Zuverlässigkeit oder Genauigkeit der hier enthaltenen Informationen und zugehörigen Grafiken. Alle diese Informationen und zugehörigen Grafiken werden „wie besehen“ ohne jegliche Gewährleistung zur Verfügung gestellt. Microsoft und/oder seine jeweiligen Zulieferer lehnen hiermit alle Garantien und Bedingungen in Bezug auf diese Informationen und die zugehörigen Grafiken ab, einschließlich aller stillschweigenden Gewährleistungen und Bedingungen hinsichtlich der Marktgängigkeit, der Eignung für einen bestimmten Zweck, der fachgerechten Leistung, des Eigentums und der Nichtverletzung von Rechten. Sie erklären sich ausdrücklich damit einverstanden, dass Microsoft und/oder seine Zulieferer in keinem Fall für direkte, indirekte, strafbare, zufällige oder spezielle Schäden, Folgeschäden oder Schäden jeglicher Art haften, einschlieẞlich, aber nicht beschränkt auf Schäden durch entgangene Nutzung, Datenverlust oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der hier enthaltenen Informationen und zugehörigen Grafiken ergeben, unabhängig davon, ob diese auf Verträgen, unerlaubten Handlungen, Fahrlässigkeit, verschuldensunabhängiger Haftung oder einem anderen Grund basieren, selbst wenn Microsoft oder einer seiner Zulieferer auf die Möglichkeit von Schäden hingewiesen wurde.