0


In den Eigenschaften eines Benutzers (im Snap-In Active Directory-Benutzer und -Computer), kann man im Reiter Konto die „Anmeldezeiten…“


(eine Periode der erlaubten Anmeldung) eintragen, in denen sich der Benutzer am Netzwerk (Domäne) anmelden darf.


 


 


 


Fallbeispiel 1:


 


Versucht sich der Benutzer außerhalb der dort eingetragenen Zeiten an der Domäne anzumelden, bekommt er die folgende Fehlermeldung:


 


„Ihr Konto sieht es nicht vor, dass Sie sich zu dieser Zeit anmelden. Wiederholen Sie den Vorgang später“.


 


Während dieser Zeit kann sich der Benutzer zwar mit seinen „cached Credentials“ (zwischengespeicherte Benutzerinformationen)
lokal an seinem Rechner authentifizieren, so lange keine Verbindung zum Netzwerk/Domäne besteht (Netzwerkkabel entfernen).
Ein Zugriff auf Domänen-Ressourcen ist aber nicht möglich (auch nach erneutem einstecken des Netzwerkkabels).


 


 


 


Fallbeispiel 2:


 


Wenn die Periode der erlaubten Anmeldung abläuft während der Benutzer angemeldet ist, erfolgt keine Zwangstrennung. Der Benutzer bemerkt nichts,


bis er sich abmeldet und erneut anmelden würde bzw. einen Neustart tätigt. Danach erhält er die o.g. Fehlermeldung.


 


Möchte man dieses Verhalten ändern, kann man folgende Richtlinie einstellen:


 


Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\


Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen


 


 


Diese Richtlinie bewirkt, dass nach Ablauf der Periode der erlaubten Anmeldung,


alle bestehenden SMB-Sitzungen (Server Message Block) mit dem Server getrennt werden.


 


Es erscheint folgende Fehlermeldung am Client (nach Ablauf der Anmeldezeit), wenn man auf das Netzlaufwerk zugreifen möchte:


 






Falls man eine Datei bearbeitet und die Periode läuft ab, erhält man beim abspeichern folgende Fehlermeldung (gefolgt von der vorherigen Fehlermeldung):


 





Anschließend bekommt der Benutzer die Möglichkeit, die Datei lokal abzuspeichern.


 


 


Damit diese Einstellung (die standardmäßig deaktiviert ist) auf Domänenkonten greift,


gilt es diese Richtlinie auf Domänen-Ebene (z.B. in der Default Domain Policy) zu aktivieren.


 



 



Weitere Informationen:


Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen


HOW TO: Limit User Logon Time in a Domain in Windows Server 2003
HOW TO: Limit User Logon Time in a Domain in Windows 2000


 

Comments are closed, but trackbacks and pingbacks are open.