Anmelden an bestimmten PCs für Benutzer und Gruppen verweigern

    Lokale Anmeldung erlauben oder verweigernPer Vorein­stellung können sich alle AD-User an jedem Rechner der Domäne einloggen. Dieser Zustand dürfte in einigen Umge­bungen uner­wünscht sein, weil sich durch die Beschränkung der Anmel­dung Risiken ver­meiden lassen. Entsprechende Restrik­tionen können Admins über Gruppen­richtlinien durchsetzen.

    Wenn sich Benutzer und Gruppen auf allen Arbeits­stationen anmelden dürfen, dann mögen Mitarbeiter etwa versucht sein, bei sich bietender Gelegenheit an den PCs ihrer Kollegen zu experimentieren. Eine Login-Beschränkung kann aber auch davor schützen, dass sich jemand auf einem beliebigen PC unter einem fremden Konto anmeldet, wenn er dessen Passwort ausgespäht hat.

    Interaktive Zuweisung von PCs zu Benutzern

    Das Active Directory bietet seit seinen Anfängen die Möglichkeit, Benutzer auf bestimmte Rechner festzulegen. Diese Mechanismen kommen auch heute noch bevorzugt zum Einsatz, auch wenn Microsoft mit den Policy Silos ("Authenti­fizierungs­richt­linien­silos") eine Nachfolge­technik vorgestellt hat. Sie erfordert aber mindestens eine AD-Funktionsebene von Server 2012 R2 und Windows 8.1 auf den Clients.

    Einzelne Konten lassen sich in AD-Benutzer und -Computer auf bestimmte PCs einschränken.

    Möchte man einen User interaktiv auf eine Arbeitsstation festnageln, dann eignet sich dazu Active Directory-Benutzer und -Computer (ADUC). In den Eigenschaften eines Accounts findet sich dort auf der Registerkarte Konto ein Button mit der Beschriftung Anmelden an.

    Trägt man hier die Namen eines oder mehrerer Computer ein, dann kann sich der betreffende User nur an diesen Rechnern und keinen anderen anmelden. Eine Einschränkung dieses betagten Features besteht darin, dass es den Computername auf die maximal von NetBIOS zulässige Länge von 15 Zeichen limitiert.

    Möchte man sich nachträglich anzeigen lassen, welche Konten auf bestimmte PCs eingegrenzt wurden, dann geht das am einfachsten über PowerShell:

    Get-ADUser -Filter * -Properties LogonWorkstations | select Name, LogonWorkstations

    White- und Blacklists über GPOs

    In der Regel wird man aber ohnehin einen zentralen Ansatz mit Hilfe der Gruppen­richtlinien wählen. Dieser funktioniert genau umgekehrt wie in ADUC. Während man dort einem Benutzerkonto die erlaubten Rechner zuordnet, verknüpft man das GPO mit einer OU, in dem sich die Computer befinden und legt fest, wer sich an ihnen anmelden darf.

    Die Einstellung Lokal anmelden zulassen unter Computerkonfiguration => Richtlinien => Sicherheitseinstellungen => Lokale Richtlinien => Zuweisen von Benutzerrechten erlaubt ein Whitelisting von Benutzern und Gruppen. An den Rechnern der betreffenden OU dürfen sich dann ausschließlich jene User einloggen, die im GPO enthalten sind.

    Zwei Einstellungen in den lokalen Richtlinien erlauben das Anlegen von Black- und Whitelists für den Login auf PCs.

    Der GPO-Editor besteht beim Whitelisting darauf, dass die Gruppe der lokalen Administratoren in jedem Fall berücksichtigt wird. Andernfalls lässt sich der Dialog nicht speichern.

    Umgekehrt eignet sich Lokal anmelden verweigern für das Blacklisting von Benutzern und Gruppen. Konten, die man hier einträgt, wird die Anmeldung an den Computern der OUs verwehrt, mit denen das GPO verknüpft ist.

    Lokale Administratoren können über die Richtlinie nicht ausgesperrt werden.

    Erwartungsgemäß sperrt sich das Tool auch hier dagegen, lokale Administratoren in die Liste aufzunehmen. Domänen-Admins kann man aber mit dieser Einstellung darin hindern, sich an normalen Arbeitsplatz-PCs anzumelden und sie zwingen, für die Systemverwaltung besonders gesicherte Rechner zu verwenden.

    Einsatz mit Bedacht

    Es liegt auf der Hand, dass man mit der Beschränkung des Zugangs sorgsam umgehen muss. Ein unsach­gemäßer Einsatz von Black- oder Whitelists kann zu einem Denial of Service führen. Daher sollte man derartige GPOs tunlichst nicht mit DCs oder ganzen Domänen verknüpfen (bzw. in diese Einstellungen in die Default Domain Policy aufnehmen).

    Anmeldeversuch an nicht zulässige Workstation scheitert nach Anwendung des GPO.

    Wenn Konten aus Versehen gleichzeitig die Anmeldung erlaubt und verweigert wird, weil man sie in zwei verschiedene Listen aufgenommen hat, dann setzt sich das Verbot durch.

    1 Kommentar

    Bild von RetoFelix
    RetoFelix sagt:
    28. November 2017 - 15:07

    Danke für die Ausführungen.
    Ich habe mal die Powershell Zeile auf einem DC ausgeführt.
    Bei Benutzer, die noch zu Windows 2003 Zeiten erstellt wurde werden die LogonWorkstations korrekt angezeigt.
    Mittlerweile ist die Domäne nach 2016 migriert und bei neu angelegten Benutzern bleibt LogonWorkstations leer.
    Wie kann ich das Problem lösen?