Hallo!
Wir betreiben einen Samba PDC mit ca. 50 Clients.

Nun will ich an 20 von den Hosts bestimmten Usern die Anmeldung verweigern.

Sprich:

user a kann sich zB überall anmelden
user b kann sich nur an host x,y anmelden aber nicht an host z

Gibt es da irgendeine Möglichkeit.

User überall sperren geht ja und Clients ganz sperren auch.
Aber mir geht es um die Kombination.

Gruß
lph-sokrates

Hi lph-sokrates,

welches OS denn??

Unter WinXP kannst du über die Gruppenrichtlinien (Computerkonfiguration -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Lokal Anmelden) selektieren wer sich anmelden kann.

Ein Szenario könnte z.B. so Aussehen:

Du gruppierst die Rechner nach Usern, die sich anmelden dürfen. Dann erstellst du für jede Rechnergruppe eine Usergruppe auf dem PDC. Auf den Rechnern erlaubst du NUR Administratoren, und den jeweiligen Gruppen das Lokale Anmelden.
Jetzt kannst du bequem über die Gruppenzugehörigkeit steuern, wer sich wo anmelden darf!

greez MM

Hi!

Auf den PCs läuft Windows 2000

Noch bin ich nicht ganz durchgestiegen, wie das funktionieren soll.

Alle User sind in einer Gruppe sagen wir "user" und der Samba soll wenn möglich die Anmeldung verweigern....

Ansonsten bin ich auch für andere Lösungen aufgeschlossen....

Du kannst am client, also unter win (>= windows 2000) machen. Ich hatte mir das zufällig mal aufgeschrieben:
um einer Gruppe die lokale ANmeldung zu verweigern, starte man als
Administrator die Management-konsole (start-ausführen-mmc) und lade das
Computerverwaltungs Snap-In: Konsole->Snap-In
hinzufügen...->Hinzufügen->Gruppenrichtlinien
Dort Computerkonfiguration->Windows-einstellungen->lokale
Richtlinien->(rechte Seite) lokale Anmeldung verweigern. Dort etwa
MY_DOMAIN\Schueler angeben.

Oder Du setzt das Samba-attribut "sambaUserWorkstations". Vielleicht geht das mit pdbedit, ich nutze LDAP, dort kann ich z.B. eintragen:
sambaUserWorkstations: amaetist
Das Attribut soll eine Liste der Workstations sein, an denen sich der Nutzer anmelden darf. Ob nun Kommasepariert oder sonst wie, weiß ich nicht. Wenn sich ein user an alles ws anmelden darf, ausser einer, dann wird das natürlich recht aufwendig.

HTH
mamue

Hi mal so als Frage wofür brauchst du das eigentlich. Wieso sagt ihr euren Mitarbeitern nicht das sie sich nicht anmelden dürfen/sollen an den bestimmten Rechnern?

Erstmal vielen Dank!

Das System steht in einer Schule und ein Raum ist offen zugänglich und soll nur für die Oberstufe verfügbar sein.
=> Unter- und mittelstufe darf sich nicht anmelden.

Und erzähl denen mal sie "dürfen" sich nicht anmelden. *g*

also ich würde sagen ich würde auf den Clients extra eine Gruppe erstellen (Lokal) welche nur Zugriff auf die Rechner hat.

Dann würd ich die Gruppenmappingfunktion nutzen und ne Unix Gruppe auf die Lokale Windowsgruppe Mappen.

Servus!

Nur mal so eine Überlegung:

Über ein Script mit netlogon und preexec den Hostnamen überprüfen und dann den User irgendwie "serverseitig rausschmeißen"... Geht das?

Grüße, Stefan

Genau das war mein Ziel aber ich teste es jetzt mal mit Gruppenrechten!!