Toon posts:

[2000/XP/NT] Via AD toegang users beperken

Pagina: 1
Acties:

vrijdag 9 december 2005 11:41

Acties:
  • Tybo
  • Registratie: September 2005
  • Laatst online: 25-08-2025

Tybo

010101011110010101??

Topicstarter
Hoe kan ik zeggen tegen active directory dat hij een security group “terminal server users” enkel mag laten aanmelden op terminal services en dus geen gewone logons mag laten maken. Andersom mag een terminal service user niet gewoon aanmelden op een niet terminal server.

Dus alles samengevat:

Terminal Services
Terminal service users: JA
Gewone users: NEE

Normale Logon (geen terminal services)
Terminal service user : NEE
Gewone users : JA

Alvast bedankt voor uw reactie,

SvennieG

vrijdag 9 december 2005 18:45

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 20:21

Duinkonijn

Huh?

in je terminal policy op nemen deny local logon groep_gewonegebruikers

in je pc policy opnemen deny local logon groep_terminalgebruikers

Let op. bij je PC policy dus, niet bij je users

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

zaterdag 10 december 2005 09:10

Acties:
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 17:23

Koffie

Koffiebierbrouwer

Braaimeneer

Move NT > WOS

Tijd voor een nieuwe sig..

zaterdag 10 december 2005 10:05

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Welke Windows versie(s) gaat het hier over, en wat heb je zelf er al over gevonden en geprobeerd? :)

zaterdag 10 december 2005 18:03

Acties:

Verwijderd

Ik zit niet thuis kan het niet proberen voor je maar ik meen dat als je bij een gebruiker account op disabled zet bij windows XP de gebruiker wel op shares en terminal services mag inloggen maar niet meer lokaal kunnen inloggen.

Met citrix is het zo dat de gebruikers die via een client inloggen in een andere groep horen zitten dan de standaard users. Je kunt ze dan uit de users groep halen moet je natuurlijk wel de "terminal service" groep de juiste rechten geven zodat ze wel bij de programma's en documenten kunnen komen.

zaterdag 10 december 2005 20:53

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 20:21

Duinkonijn

Huh?

Verwijderd schreef op zaterdag 10 december 2005 @ 18:03:
Ik zit niet thuis kan het niet proberen voor je maar ik meen dat als je bij een gebruiker account op disabled zet bij windows XP de gebruiker wel op shares en terminal services mag inloggen maar niet meer lokaal kunnen inloggen.
als je uitgaat van een xp machine in een AD / TS
dan kan hij bij het blokkeren van het account nergens meer bij. cq inloggen
Met citrix is het zo dat de gebruikers die via een client inloggen in een andere groep horen zitten dan de standaard users. Je kunt ze dan uit de users groep halen moet je natuurlijk wel de "terminal service" groep de juiste rechten geven zodat ze wel bij de programma's en documenten kunnen komen.
nadeel van jou methode is dat ze nogsteeds op clients kunnen inloggen

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

maandag 12 december 2005 08:43

Acties:
  • Tybo
  • Registratie: September 2005
  • Laatst online: 25-08-2025

Tybo

010101011110010101??

Topicstarter
Welke Windows versie(s) gaat het hier over
De DC’s zijn allen win2k
De clients zijn een allegaartje van windows NT, windows 2000 en xp pro
en wat heb je zelf er al over gevonden en geprobeerd?
Het is in feite al geflikt maar niet door mij en ik wil weten hoe het gelikt is :)

SvennieG

maandag 12 december 2005 09:09

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 18-03 20:53

Taigu

Dan is het zoeken naar een speld in een hooiberg, je kan het namelijk op verschillende methodes oplossen, bijv. bep accounts aan werkstations koppelen of spelen met groepen en GPO's.

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

maandag 12 december 2005 09:33

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 20:21

Duinkonijn

Huh?

gpo`s zullen het dan wel niet zijn, hij heeft nt 4 clients

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

maandag 12 december 2005 09:47

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 13:27

mutsje

Certified Prutser

Duinkonijn schreef op maandag 12 december 2005 @ 09:33:
gpo`s zullen het dan wel niet zijn, hij heeft nt 4 clients
mja voor de 2000/xp clients kun je gewoon gpo's toepassen voor de nt4 clients ntconfig.pol Dus je kan wel degelijk met gpo's spelen :)

Maar als iemand dit ooit aangemaakt heeft en niet gedocumenteerd heeft is het lastig om uit te zoeken hoe het geconfigureerd is.

maandag 12 december 2005 10:43

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 20:21

Duinkonijn

Huh?

mutsje schreef op maandag 12 december 2005 @ 09:47:
[...]

mja voor de 2000/xp clients kun je gewoon gpo's toepassen voor de nt4 clients ntconfig.pol Dus je kan wel degelijk met gpo's spelen :)

Maar als iemand dit ooit aangemaakt heeft en niet gedocumenteerd heeft is het lastig om uit te zoeken hoe het geconfigureerd is.
mja de standaard NT policies kan natuurlijk wel.

je zou desnoods nog iets via het login script kunnen afdwingen

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

maandag 12 december 2005 14:25

Acties:
  • Tybo
  • Registratie: September 2005
  • Laatst online: 25-08-2025

Tybo

010101011110010101??

Topicstarter
Als een gewone user probeert aan te melden bij terminal services dan krijgt je:

"The local policy of this system does not permit you to log on interactively."

Dus ik kijken bij de local settings op de DC die ook de terminal service draait.
Onder log on locally heb je twee lijsten: ééntje met local setting en ééntje met effective setting.

Ik zie dus inderdaad dat de security group users niet in de effective settings zitten maar de terminal server users wel.

Nu is de vraag: Waar bij de domein instellingen kan ik dat in hemelsnaam terugvinden? :?

SvennieG

maandag 12 december 2005 15:45

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 18-03 20:53

Taigu

In de toegepaste GPO's onder computer config. , je kan het ook instellen in de Terminal Services Config. . Maar als je nou eens googled op die melding vind je genoeg hits omtrend hoe en wat.

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq