Disable Login W2K3 server /AD

Er is geen direkt equivalent, maar je kan wel op andere manieren dingen afsluiten.
Werkstations authenticeren ook inloggende gebruikers via de AD, blokkeer je de hele server dan lopen ook loginscripts, policies en dergelijke niet (succesvol) maar de gebruiker kan vaak evengoed wel op de PC inloggen en lokaal werken (tenzij uitgezet via domain policy). De vraag is dus: wat wil je precies blokkeren? Wil je toegang tot werkstations ontzeggen? Wil je netwerkshares onbereikbaar maken? Wil je de servers ontlasten tijdens de IT-afdeling UT Tournament finales?

Mag ik vragen WAAROM je zoiets zou willen, want wellicht is dat niet nodig in een AD omgeving.

Mogen ze tijdelijk niet beschikbaar zijn, of definitief niet meer ?

DC(s) uitzetten en de serverruimte op slot houden lijkt me dan toch afdoende ?

Didov schreef op woensdag 23 mei 2007 @ 14:40:
Onlangs hebben we onze Novell 5.1 server vervangen voor een W2K3 R2. Met pijn in het hart heb ik afscheid genomen.
Ik ben nu op zoek naar de windows equivalent van het Novell 'disable login' command, om alle toegang tot het netwerk (logon) voor alle users te blokkeren.
Voor de duidelijkheid: de server is opgezet als Domain controller en fungeert als fileserver. Er zijn een kleine 100 users opgezet in AD.
Enkele searches op Google en Microsoft later ben ik nog niet veel wijzer geworden. Is er iemand die een maagdelijke W2k3 admin kan adviseren?

Modbreak:

Dan plaats je maar een advertentie op jobtrack.nl

[ Voor 8% gewijzigd door Equator op 24-05-2007 10:21 ]

Aha!
Je kan dat disbale login een beetje simuleren. Ik neem aan dat alle gebruikers inloggen op je domein. Zet dan de domein policy voor alle werkstations op "Number of previous logons to cache: 0", dat zorgt dat voor elke inlog de domain controller akkoord moet geven. Geen domain controller, dan niet inloggen.
Vanaf dat moment is de DC dus leidend en toegang ontzeggen tot server EN werkstations kan dan door de server van het netwerk te halen.
Als je op afstand toegang wilt ontzeggen kan je een script maken dat op de controller net logon service stopt, dan is het echt wel afgelopen maar kan je zelf ook niet meer inloggen. Ik weet niet of de server zelf ook gevaar loopt, want een reboot start de service uiteraard weer gewoon. Zet die dus achter slot en grendel en slik de sleutel in.
Heb je meer tijd om dit te regelen dan kan je een group maken waar je alle 'gevaar lopende' gebruikers in gooit, en deze al of niet koppelen aan de security instelling 'deny logon to network'. Als dan de deurbel gaat zet je die gebruikers daar in en bij de eerstvolgende keer dat ze inloggen mogen ze niks meer. Het voordeel is dan dat je bv zelf nog wel kunt werken.

Edit: ah, de server is ook een risico. Tsja, iemand die bij de server kan die kan ook de schijven verwijderen en ze in een ander systeem plaatsen. Wellicht is de beste oplossing dan nog de schijven er zelf uit te trekken en die thuis onder je bed te verstoppen. Zonder schijven geen data in de server.

[ Voor 11% gewijzigd door Pogostokje op 23-05-2007 15:22 ]

Didov schreef op woensdag 23 mei 2007 @ 15:20:
Server ruimte op slot kan wel, is alleen niet voldoende, de deur is snel open te krijgen... Bovendien heb ik als admin totaal geen controle meer vanop afstand lijkt me? Ik heb het liefst iets als de 'disable login' zoals in Novell, als dat bestaat voor W2k3.

Gewoon alle useraccounts disabelen voor logon

ik zou ook de hd encrypten. Het lokale wachtwoord is gemakkelijk te kraken met locksmith als je fysiek toegang hebt tot de server.