Hi, ist es irgendwie möglich eine kleine User-Verwaltung zwischen vier Windows Rechner mit Boardmitteln zu haben ohne einen Domaincontroller?

Ich habe vier Rechner (PC_A, PC_B, PC_C, PC_D) und vier User pro Rechner (jeweils Usr_A, Usr_B, Usr_C, Usr_D). Die User könnte ich zur Not statisch auf jedem Rechner anlegen.

Dann habe ich zwei Freigaben... die könnte ich zur Not auf jedem Rechner für die User jedes Rechner freigeben.
z.B. ein Ordner ist freigegeben für:
PC_A\Usr_A
PC_B\Usr_A
PC_C\Usr_A
PC_D\Usr_A


Aber: kann man es irgendwie erreichen, dass sich jeder User nur 1x einloggen kann? Ich weiß, dass es logisch dann andere Benutzer wären (PC_A\Usr_A vs. PC_B\Usr_A z.B.)... aber eigentlich möchte ich nicht, dass die es sind.

Gibt es in Windows eine Form von Benutzerverwaltung, die sowas leisten kann? Ohne einen Extra-Domaincontroller? Evtl. könnte ich mir auch vorstellen, dass nach dem Login ein Programm ausgeführt wird, dass dies überprüft und ggf. den User sonst sofort wieder ausloggt.

Danke!

Gibt es in Windows eine Form von Benutzerverwaltung, die sowas leisten kann? Ohne einen Extra-Domaincontroller? Evtl. könnte ich mir auch vorstellen, dass nach dem Login ein Programm ausgeführt wird, dass dies überprüft und ggf. den User sonst sofort wieder ausloggt.Skripting, es gibt einen Befehl um die Registry abzufragen, wer angemeldet ist.
Dies könntest du umbiegen, um zu gucken, ob die Person an einem anderen PC angemeldet ist. Müsste man bezüglich Terminal Server suchen (hier im Forum?!?).

Wie gut es in der Praxis funktioniert, müsste man testen, da einige Sachen theoretisch Probleme machen. Manchmal braucht Windows etwas Zeit, um die Registry anzupassen.
Die Langzeitpflege wäre relativ einfach, wenn es gleich richtig mit einer Textdatei ala PC Namen gemacht wird. So wäre es leicht verständlich und kann leicht angepasst werden.

Welche Windows Versionen hast du denn da?

Falls es mindestens Professional ist kannst du per Group Policy Editor (gpedit.msc) bestimmten Usern bzw bestimmten Gruppen die lokale Anmeldung verweigern.

Home hat leider keinen Group Policy Editor.

IIS? Da hat man mehrere Möglichkeiten der Rechtekontrolle (u.a. auch mit Windows-Benutzerrechten, NTFS), man könnte ein Webfolder auch machen ohne extra Benutzer anzulegen mit z.B. nur einem Passwort und/oder die Zugriffsrechte so beschränken, dass nur die vier Rechner überhaupt Zugriff drauf haben (z.B. per IP oder Rechnername). WebDAV wäre auch eine Möglichkeit, da kann man glaube ich auch NTFS-Berechtigungen verwenden.

Erst einmal schon mal vielen Dank!
Skripting, es gibt einen Befehl um die Registry abzufragen, wer angemeldet ist.
Dies könntest du umbiegen, um zu gucken, ob die Person an einem anderen PC angemeldet ist. Müsste man bezüglich Terminal Server suchen (hier im Forum?!?).

Wie gut es in der Praxis funktioniert, müsste man testen, da einige Sachen theoretisch Probleme machen. Manchmal braucht Windows etwas Zeit, um die Registry anzupassen.
Die Langzeitpflege wäre relativ einfach, wenn es gleich richtig mit einer Textdatei ala PC Namen gemacht wird. So wäre es leicht verständlich und kann leicht angepasst werden.
Ich hatte mir sowas in der Art schon vorgestellt: ich lasse alle lokalen Benutzer sich auch lokal einloggen, versuche aber eine Login Bedingung zu schaffen, dass nach dem Login erst ein Skript ausgeführt werden muss, was eine derartige Prüfung macht. Und wenn das Skript fehlschlägt, wird man direkt wieder ausgeloggt.

Welche Windows Versionen hast du denn da?

Falls es mindestens Professional ist kannst du per Group Policy Editor (gpedit.msc) bestimmten Usern bzw bestimmten Gruppen die lokale Anmeldung verweigern.
Windows 7 x64 Embedded Standard. D.h. wenn ein User auf einem Rechner eingeloggt ist, deaktiviert man auf den anderen Rechnern per Remote Group Policy die entsprechen lokalen User auf den anderen Rechnern?

IIS? Da hat man mehrere Möglichkeiten der Rechtekontrolle (u.a. auch mit Windows-Benutzerrechten, NTFS), man könnte ein Webfolder auch machen ohne extra Benutzer anzulegen mit z.B. nur einem Passwort und/oder die Zugriffsrechte so beschränken, dass nur die vier Rechner überhaupt Zugriff drauf haben (z.B. per IP oder Rechnername). WebDAV wäre auch eine Möglichkeit, da kann man glaube ich auch NTFS-Berechtigungen verwenden.Mit IIS habe ich noch nicht gearbeitet und das habe ich auch noch nicht verstanden. Heißt das ich kann teile der Windows Benutzerverwaltung an eine IIS Benutzerverwaltung auslagern? Kann ich das mit dem Rechner Login verbinden? Das wäre vermutlich ideal

Mit IIS habe ich noch nicht gearbeitet und das habe ich auch noch nicht verstanden. Heißt das ich kann teile der Windows Benutzerverwaltung an eine IIS Benutzerverwaltung auslagern? Kann ich das mit dem Rechner Login verbinden? Das wäre vermutlich ideal
Naja, es kommt drauf an was mit den Freigaben gemacht wird. Wenn da häufig auf Dateien zugegriffen wird oder direkt mit Programmen gearbeitet wird, ist eine Win-Netzwerkfreigabe vermutlich besser. Wenn da aber nur Dokumente abgelegt werden usw. dann ist es womöglich besser IIS zu verwenden. Der Vorteil ist, dass es problemlos erweiterbar ist, wenn auf einmal 10 Rechner im Netz sind und zentral konfigurierbar, dann muss man ggf. nicht an jedem Rechner einzeln rumfummeln.
Der IIS hat verschiedene Ebenen der Zugriffsverwaltung (man kann eine oder mehrere verwenden) Da wäre erst mal die Betriebssystemebene (NTFS), mit der man den Zugriff der User über die Berechtigungen steuern kann. Ein User der keinen Lesezugriff auf einen Ordner hat, der sieht den auf dem Server nicht (aber alle anderen). Der IIS unterstützt außerdem den Zugriff per Windows-Authentifizierung. Dann gibt es die Webserver-Ebene (z.B. Passwort) und Webserver-Zugriffsrechte. Eine Domäne ist dafür optional. Die User können die HTTPS-Freigabe die nur im Subnetz verfügbar ist z.B. per Browser oder auch per Windows Explorer zugreifen. Für die Freigabe im Explorer hat WEBDAV (das auf HTTPS läuft) einige Vorteile für die Zugriffssteuerung, aber nicht so viele Konfigurationsmöglichkeiten wie der IIS. Eine Freigabe per SFTP wäre ebenfalls möglich ist aber nicht so gut geeignet, kann man aber auch über den Explorer einbinden und wie einen Windows Ordner verwenden.
Natürlich könnte man auch einen DC verwenden oder LDAP, aber wenn sich an den Freigaben nichts ändert und die User feste Rechte haben oder der Durchsatz sehr hoch ist, dann ist es vielleicht besser SMB/CIFS zu verwenden. Letztenendes hängt das auch von den Anwendern ab.
Bin mir nicht sicher, aber ich denke, wenn du erreichen willst, dass es nur einen Login für die User gibt, dann machst du die Freigabe auf einem Rechner und legst da einen User dafür an, den alle User gemeinsam verwenden. Dazu muss natürlich der Host immer erreichbar sein, aber sonst hätte man auch keinen Zugriff auf die Dateien. Nachdem die Anmeldedaten auf den Rechnern eingegeben und gespeichert wurden, muss man die normalerweise nicht mehr eingeben.
Man kann glaube ich seit Win7 auch eine Bibliothek in der Heimnetzgruppe freigeben oder sowas ähnliches.
Theoretisch könnte man für sowas kostenlose Programme einsetzen die (konfigurationsloses) Dateisharing unterstützen, OpenVPN, Teamviewer oder was auch immer, aber normalerweise ist es einfacher nur die Windows Freigabe zu verwenden.

...
Windows 7 x64 Embedded Standard. D.h. wenn ein User auf einem Rechner eingeloggt ist, deaktiviert man auf den anderen Rechnern per Remote Group Policy die entsprechen lokalen User auf den anderen Rechnern?
...


Ah da hab deinen Post falsch verstanden. Ich dachte erst das du bestimmte User auf bestimmte PCs zwingen willst.

Ohne AD wüsste ich nicht wie man das umsetzen kann. Und selbst mit Server braucht man wohl noch zusätzliche Tools.

Eventuell hilft dir ja der folgende Link - falls ich es nicht schon wieder falsch verstanden habe, wird dort genau das beschrieben das du suchst.

https://technet.microsoft.com/en-us/magazine/2005.05.utilityspotlight.aspx