In vielen Arbeitsgruppen-Umgebungen findet man eine Client-Version von Windows im “Quasi-Server”-Einsatz. Auch besteht in solchen Umgebungen oft keine physischen Sicherheit dieses “Servers”. So kann es sehr leicht vorkommen, das sich ein einfacher Benutzer an der Maschine anmeldet, obwohl er/sie das nicht sollte. Dies kann man, wie im folgenden beschrieben, verhindern.
Bitte beachten Sie, dass Sie zur Durchführung über administrative Berechtigungen verfügen müssen.
Wie mache ich das?
- Als Administrator anmelden.
- Die Computerverwaltung (
%windir%/system32/compmgmt.msc /s
) öffnen.
- Wechseln Sie zu [System > Lokale Benutzer und Gruppen > Gruppen].
- Erstellen Sie eine neue Gruppe mit einem eindeutigen Namen, z.B. NoLocalLogon oder KeineLokaleAnmeldung; ggf. eine Beschreibung angeben.
- Fügen Sie jene Benutzer, die sich nicht lokal anmelden dürfen, zu der neu erstellten Gruppe hinzu.
- Öffnen Sie den Gruppenrichtlinien-Editor über [Start > Ausführen] mit dem Befehl
%windir%/system32/gpedit.msc /s
. - Wechseln Sie zu [Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten].
- Die Richtlinie [Lokale Anmeldung verweigern] mittels Doppelklick öffnen und die neu erstellte Gruppe hinzufügen:
- Drücken Sie [Benutzer oder Gruppe hinzufügen] zur Auswahl der hinzuzufügenden Gruppe.
- Sicherstellen das Gruppen Teil des Suchergebnisses sind: drücken Sie [Objekttypen] und aktivieren Sie die Option [Gruppen]; zum Speichern der Änderungen drücken Sie [OK].
- Um die Gruppensuche durchzuführen drücken Sie [Erweitert] um den Suchdialog zu öffnen und drücken Sie [Jetzt suchen] um die Suche zu starten; markieren Sie die Gruppe im Suchergebnis und drücken Sie [OK] um fortzufahren.
- Drücken Sie [OK] um die ausgewählte Gruppe der Richtlinie hinzuzufügen.
- Drücken Sie [Benutzer oder Gruppe hinzufügen] zur Auswahl der hinzuzufügenden Gruppe.
- Drücken Sie [OK] um die Änderungen an der Richtlinie zu speichern.
Was ist da gerade geschehen?
Die neue Konfiguration wird sofort wirksam. Versucht sich nun ein Benutzer, der Mitglied der angelegten Gruppe ist, lokal an dem Computer anzumelden, so erhält er eine Meldung und der Anmeldevorgang wird verhindert.
Eine Anmeldung an Freigaben (d.h. das Verbinden von Netzlaufwerken oder Druckern) ist aber dennoch möglich.
Limitationen
Diese Konfiguration in den Home-Editionen von Windows nicht möglich.