Einschränken der Verwendung eines Computers auf nur einen Domänenbenutzer
In diesem Artikel wird beschrieben, wie Sie die Verwendung eines Computers auf nur einen Domänenbenutzer beschränken.
Gilt für: Windows Server 2012 R2, Windows 10 – alle Editionen
Ursprüngliche KB-Nummer: 555317
Dieser Artikel wurde von Yuval Sinay, Microsoft MVP, geschrieben.
Symptome
Wenn Sie vertrauenswürdige Verbindungen von einer Domäne (Gesamtstruktur) zu einer anderen erstellen, haben Benutzer die Möglichkeit, sich bei anderen Domänen als ihre Heimdomäne anzumelden (Die Domäne, in der ihre Konten gehostet werden).
Ursache
Vertrauenswürdige Verbindungen von einer Domäne mit einer anderen oder/oder/und einer Gesamtstruktur zu einer anderen ermöglichen es Dem Benutzer, sich bei anderen Domänen als deren Heimdomäne anzumelden (Die Domäne, in der seine Konten gehostet werden). Die Gruppe "Authentifizierte Benutzer" auf jedem Computer ermöglicht die Authentifizierung von Benutzern aus einer vertrauenswürdigen Domäne und die Anmeldung beim Computer.
Lösung
Option A: Domain-Wide-Richtlinie
Mithilfe von Gruppenrichtlinienfunktionen in der Windows 2000/2003-Domäne können Sie verhindern, dass sich Benutzer bei anderen Domänen als deren Heimdomäne anmelden.
Erstellen Sie ein neues domänenweites Gruppenrichtlinienobjekt, und aktivieren Sie das Benutzerrecht "Anmeldung lokal verweigern" für das Quelldomänenbenutzerkonto/sIn der Zieldomäne.
Hinweis
Einige Dienste (z. B. Backup-Softwaredienste) wirken sich möglicherweise auf diese Richtlinie aus und funktionieren nicht. Um zukünftige Probleme zu vermeiden, wenden Sie diese Richtlinie an, und verwenden Sie das GPO-Sicherheitsfilterfeature.
Lokale Anmeldung verweigern
Filtern mithilfe von Sicherheitsgruppen
Führen Sie auf dem Domänencontroller aus
Gpupdate /force
.
Option B: Entfernen von "NT AUTHORITY\Authenticated Users"-Verwendungen aus der Liste der Benutzergruppen
Um die Möglichkeit der Anmeldung auf einem oder mehreren Computern zu vermeiden, folgen Sie den Anweisungen unten:
Klicken Sie auf dem Desktop mit der rechten Maustaste auf das Symbol "Mein Computer".
Wählen Sie "Verwalten" aus.
Extrahieren Sie "Lokale Benutzer und Gruppen".
Wählen Sie "Gruppen" aus.
Doppelklicken Sie auf der rechten Seite des Bildschirms auf die Gruppe "Benutzer".
Entfernen Sie: "NTAUTHORITY\Authenticated Users" aus der Liste.
Fügen Sie der lokalen Gruppe "Benutzer" die Erforderlichen Benutzer oder -Gruppen und -Gruppen hinzu.
Option C: Konfigurieren des Benutzers "Lokale Anmeldung verweigern" auf dem/den lokalen Computern
Um die Möglichkeit der Protokollierung auf einem oder mehreren Computern zu vermeiden, befolgen Sie die Anweisungen unten:
Wechseln Sie zu "Start" –> "Ausführen".
Schreiben von "Gpedit.msc"
Aktivieren Sie das Benutzerrecht "Anmeldung lokal verweigern" für die Quelldomänenbenutzerkonten.
Hinweis
Einige Dienste (z. B. Backup-Softwaredienste) wirken sich möglicherweise auf diese Richtlinie aus und funktionieren nicht.
Lokale Anmeldung verweigern
Führen Sie auf dem lokalen Computer aus
Gpupdate /force
.
Option D: Verwenden der selektiven Authentifizierung bei Verwendung der Gesamtstrukturvertrauensstellung
Erstellen von Gesamtstrukturvertrauensstellungen
Weitere Informationen
Haftungsausschluss für Inhalte von Community-Lösungen
Die Microsoft Corporation und/oder ihre jeweiligen Zulieferer geben keine Zusicherungen bezüglich der Eignung, Zuverlässigkeit oder Genauigkeit der hier enthaltenen Informationen und zugehörigen Grafiken. Alle diese Informationen und zugehörigen Grafiken werden „wie besehen“ ohne jegliche Gewährleistung zur Verfügung gestellt. Microsoft und/oder seine jeweiligen Zulieferer lehnen hiermit alle Garantien und Bedingungen in Bezug auf diese Informationen und die zugehörigen Grafiken ab, einschließlich aller stillschweigenden Gewährleistungen und Bedingungen hinsichtlich der Marktgängigkeit, der Eignung für einen bestimmten Zweck, der fachgerechten Leistung, des Eigentums und der Nichtverletzung von Rechten. Sie erklären sich ausdrücklich damit einverstanden, dass Microsoft und/oder seine Zulieferer in keinem Fall für direkte, indirekte, strafbare, zufällige oder spezielle Schäden, Folgeschäden oder Schäden jeglicher Art haften, einschlieẞlich, aber nicht beschränkt auf Schäden durch entgangene Nutzung, Datenverlust oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der hier enthaltenen Informationen und zugehörigen Grafiken ergeben, unabhängig davon, ob diese auf Verträgen, unerlaubten Handlungen, Fahrlässigkeit, verschuldensunabhängiger Haftung oder einem anderen Grund basieren, selbst wenn Microsoft oder einer seiner Zulieferer auf die Möglichkeit von Schäden hingewiesen wurde.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für