Win 2000 Server (Frage für Profis)
 

Hi

Habe einen Win 2000 Server und ein Domaene, alle Benuter befinden sich in einer Domaene.
Meine Frage: Was muss ich machen, damit sich der Benuter nicht auf zwei Workstation gleichzeitig anmelden kann (Sicherheitsrisiko)?


Danke im voraus


TIGGER :( :)

ich kenn mich mit w2k-server zwar nicht so gut aus ... aber ich würd mal meinen, beim benutzerprofile eine fixierung auf eine mac-adresse einzugeben ...

Glaub ich nicht.
Außerdem glaub ich, er meint immer nur einmal anmelden, können auch dann verschiedene Rechner hintereinander sein. Nur halt nie 2 gleichzeitg. Weil sonst wär ja eine Domain ziemlich eingeschränkt, wenn sich eh jeder User immer am gleichen Rechner anmelden muss.

Gibt ziemlich sicher eine Group Policy dafür....(es gibt ja eigentlich für jeden schas eine Policy ;))
Nur kann ich dir leider im Moment nicht auf meinem Server nachschaun - weils da im Moment Brösel mit den GPOs gibt und ich keine Policies einstellen kann (warum auch immer :confused: )

Willst es für alle User der Domain haben, oder willst da auch ausnahmen machen (zB für Admins - wo es Sinn macht wenn sich die mehrmals anmelden können)

Aber was ist so ein großes Sicherheitsrisiko wenn einer auf 2 Rechnern angemeldet ist? Oder bleiben die Workstations dann immer offen und werden nicht vom User gesperrt?

Hi LLR
 

Ja du hast meine Frage richtig verstanden.
Ich hab mir gedacht wenn der Benutzer sein Workstation verlässt, und sich wo anders anmeldet, aber seine eigentliche Workstation nicht sperrt, kann einanderer etwas lösche oder irgend so etwas.


TIGGER :) ;) :p

Re: Hi LLR
 

Nur der User freut sich dann sicher, wenn er irgendwo anders im Haus ist (falls das bei euch der Fall ist) und sich nicht anmelden kann, weil er auf einem anderen Rechner noch angemeldet ist.

Denn wenn man sowas still umstellt ohne den Usern gleich was davon zu sagen, kommt als ersters mal ein Anruf in der EDV Abteilung was denn da los ist und warum er sich nicht anmelden kann. Und wenn mans ihm dann erklärt hat kann er erst wieder zu seinem anderen Rechner zurück koffern, und sich dort abmelden.

Ich weiß nicht ob das eine so weise Lösung ist. Ich würd da eher mit den Usern reden, dass sie, sobald sie ihren Arbeitsplatz verlassen, ihren Rechner sperren sollen.
Man könnt ja auch zB per Policy einstellen (glaub ich halt - bin mir aber nicht 100%ig sicher), dass sich nach einer gewissen Zeit der Bildschirmschoner einschalten soll und dass dann wenn der Bildschirmsconer kommt der Rechner gesperrt ist. Kann auch nervig sein, aber das musst dann schon du wissen, was du jetzt wirklich dem User zumuten willst. ;)

Hi LLR
 

Ich werde mir den Vorschläge überlegen, und sicher eine zufrieden stellente Lösung finden.

Danke für deine Kompetenten Antworten


TIGGER ;) :)

Das mit dem Bildschirmschoner funktioniert auf alle Fälle.

Und der Weg dorthin:

wenn user vergessen ihren arebitsplatz zu sperren, is bildschirmschoner mit kennwort, die einzige möglichkeit das zu erzwingen...

am besten isses, man lasst das von der geschäftsführung anordnen, dann können die user nix dagegen sagen (du führst ja nur einen "befehl" aus :D:D:D )

Noch geht
 

Warum nicht Auto auslogen gibs auch under win 2000 Server ( z.b. 15 min nichts arbeiten auto auslogen ). Hab es bei mir auch so eingestelt und das geht seher gut und ist auch einfach für den admin einzustellen.

Re: Noch geht
 

Ist aber auch nervig. Als User würd ich sowas nicht haben wollen. Stell dir vor du machst eine längere Kaffeepause mit anschließender Sitzung am Häusl ;).
Dann hast dein Dokument und alles noch offen, und kommst zrück und alles was du offen hattest und gemacht hast ist weg, weil du ausgeloggt wurde.

Ich würd auch eher in valo seine Methode machen. Weil das größte Sicherheitsrisiko geht immer noch vom Menschen aus. Und auch wenn er nur an einem Rechner angemeldet ist, kann er weggehen und ihn nicht sperren --> sollte also die Anordnung geben das man immer seinen Rechner sperren soll.

Wenn Du das so machst dann möchte ich nicht bei dir Admin sein weil dann bist du ein Sicherheits risocko und zwar ein sehr Großes!!
Weil bei einer Firma ist es normal wenn man zu einer Pause Geht das man sich Abmeldet. Und wenn du aufs wc gehst ist normal das man den pc sperrt und so das keiner einsteigen kann und daten löschen kann.
Frage hast du schon mal dir das Daten schutz gesetz angeschat weil da steht auch einiges drin was ein User bei der arbeit mit Firman daten machen muss.

Bei mir, naja, hab noch nicht so viele Rechner zu verwalten. ;)
Wenn ich Admin bin, dann nur im Sommer als Ferialpraktikant. Und da mach ich sichern icht die "Standards" wie sich die Leute am besten verhalten sollen, wenn sie ihren Arbeitsplatz verlassen. Das sollte dort in der Firma schon klar sein.

Außerdem hab ich nur das "Problem" vom TIGGER angesprochen. Nicht wie sich die Leute in der Firma verhalten wo ich bis jetzt immer gearbeitet hab. Für mich ist es auch was "natürliches" wenn ich vom PC weg gehe, den zu sperren.
Und wenn ich länger nicht dort bin, dann werd ich mich wohl auch abmelden.

Aber mir selber würde es als User unangenehm sein, weil ich mal vergessen hab mich abzumelden, dass ich dann ausgeloggt werde und somit meine geöffneten Dokumente geschlossen sind. Das war meine Überlegung dahinter.
Drum auch der Vorschlag von mir es nicht so zu machen (meine Meinung). ;)

Nur anscheinend machens das in der Firma wo der TIGGER arbeitet/administriert anscheinend nicht konsequent den Rechner zu sperren, sonst wär er sicher nicht auf die Idee und somit auch die Frage gekommen.

Und ich bin mir dessen bewusst das ich in meinem Netz daheim sicherlich das größte Sicherheitsrisiko bin. ;) :D Besonders wenn ich mal was verpfusch wenn ich was ausprobier.

Aber ich hätt gleich eine Frage dazu: wird man auch ausgeloggt wenn der Rechner gesperrt ist?

der einfachste weg ist:

-bildschrimschoner mit kw per gpo (bei uns haben wir das ganze von oben abgesegnet bekommen)
-anweisung vom chef das die user auch wenn sie den platz verlassen die ws sperren müssen


ist ganz lustig wenn zb der tüv kommt und nen audit macht über die interne sicherheit. da guckst du nur was die alles finden :D

ausloggen is dreck, auchw ennst auf eine pause gehst, anmeldebildschirmschoner (=rechner sperren) und das passt...

@LLR
die moral die ws zu sperren bei den angestellten einer firma ist höchst niedrig...

sowas muss man als admin selber in die hand nehmen...

hm unter novell hast a einfache möglichkeit maximum connections einfach auf 1 stellen.
Vielleicht gibts unter win auch so ne möglichkeit

mfg lordkevlar