Die Anmeldung auf einem OpenSSH-Server bzw. beim OpenSSH-Dienst ist standardmäßig für alle Benutzer erlaubt. Ein angemeldeter Benutzer kann über die Eingabeaufforderung (oder PowerShell) direkt Konsolenprogramme und Befehle auf dem OpenSSH-Server ausführen. Es lassen sich aber auch bestimmte definierte Benutzer sperren. Zusätzlich zum Benutzernamen kann ein Rechnername bzw. eine IP-Adresse mit angegeben werden. In diesen Fällen kann sich der Benutzer von dem Rechner bzw. von der IP-Adresse aus nicht anmelden (von anderen Rechnern hingegen schon).
Bei der Reihenfolge von gesperrten / zugelassen Benutzer und Gruppen gilt: gesperrte Benutzer, gesperrte Gruppen, zugelassene Benutzer, zugelassene Gruppen

So geht's:

• Konfigurationsdatei ändern:
  • Öffnen Sie die Datei "%programdata%/ssh/sshd_config" in einem Texteditor (z. B. "Notepad.exe") mit administrativen Rechten.
  • Suchen Sie nach der Zeile die den Text "DenyUsers" enthält. Sollte die Zeile nicht vorhanden sein, dann müssen Sie diese neu anlegen.
  • Tragen Sie nach dem Text "DenyUsers" und jeweils durch ein Leerzeichen getrennt die gesperrten Benutzernamen ein. Z. B.:
    • "DenyUsers windowspage admin" (lokale Benutzer "windowspage" und "admin" sperren)
    • "DenyUsers admin@192.168.0.10" (Benutzer "admin" von Rechner "192.168.0.10" sperren)
    • "DenyUsers windowspage\admin" (Benutzer "admin" aus der Domäne "windowspage" sperren)
    • "DenyUsers windowspage\admin@192.168.0.10" (Benutzer "admin" aus der Domäne "windowspage" mit Rechner "192.168.0.10" sperren)
  • Entfernen Sie ggf. am Zeilenanfang das Raute-Zeichen ("#").
  • Speichern Sie die Datei "%programdata%/ssh/sshd_config" ab.
• SSH-Server neu starten:
  • "Start" > ("Alle") bzw. ("Windows-System") > "Eingabeaufforderung" bzw. "Windows Terminal" (oder "cmd.exe" starten)
  • Geben Sie als Befehl "net stop sshd" und drücken die Eingabetaste.
  • Der OpenSSH-Server bzw. OpenSSH-Dienst wird beendet.
  • Geben Sie als Befehl "net start sshd" und drücken die Eingabetaste.
  • Der OpenSSH-Sever bzw. OpenSSH-Dienst wird gestartet.
  • Die neuen Regelungen für die Benutzeranmeldung sind gültig.

Hinweise:

• Für die Verweigerungsliste (Konfigurationsdatei) und dem SSH-Server-Neustart werden erweiterte administrative Rechte benötigt. Hierzu klicken Sie mit der rechten Maustaste auf die Programmverknüpfung oder direkt auf das Programm (EXE-Datei) und wählen im Kontextmenü den Punkt "Als Administrator ausführen" aus.
• Alle Kontonamen müssen in Kleinbuchstaben angegeben werden.
• Arbeitsgruppenbenutzer, Gruppen und mit dem Internet verbundene Konten werden immer auf ihren lokalen Kontonamen aufgelöst. Domänenbenutzer und -gruppen werden immer im Format "Domänename\Benutzername" aufgelöst.
• Als Platzhalter kann das Sternzeichen ("*") verwendet werden. Z. B.: "DenyUsers windowspage\*"
• Bei der Verwendung von Leerzeichen (Benutzername) muss die Angabe mit einem Anführungszeichen ('"') beginnen und enden. Z. B. 'DenyUsers "vorname nachname"'

Versionshinweis:

• Der OpenSSH-Server steht erst ab Windows 10 Version 1809 zur Verfügung.

Querverweis:

• OpenSSH-Server / OpenSSH-Dienst aktivieren / installieren (ab Version 1809)