Damit nicht jedes einzelne Benutzerkonto auf einem OpenSSH-Server bzw. OpenSSH-Dienst gesperrt oder explizit zugelassen werden muss, lässt sich die Zugriffssteuerung (neben dem Benutzerkonto) auch über die (Benutzer-) Gruppen steuern. D.h. alle Benutzer einer gesperrten Gruppe können sich nicht anmelden. Alternativ lassen sich auch nur bestimmte Gruppen für den Zugriff konfigurieren (allen anderen Gruppen wird die Anmeldung verweigert).
Bei der Reihenfolge von gesperrten / zugelassen Benutzer und Gruppen gilt: gesperrte Benutzer, gesperrte Gruppen, zugelassene Benutzer, zugelassene Gruppen

So geht's:

• Konfigurationsdatei ändern:
  • Öffnen Sie die Datei "%programdata%/ssh/sshd_config" in einem Texteditor (z. B. "Notepad.exe") mit administrativen Rechten.
  • Bestimmte Gruppen nicht zulassen:
    • Suchen Sie nach der Zeile die den Text "DenyGroups" enthält. Sollte die Zeile nicht vorhanden sein, dann müssen Sie diese neu anlegen.
    • Tragen Sie nach dem Text "DenyGroups" und jeweils durch ein Leerzeichen getrennt die gesperrten Gruppen ein. Z. B.:
      • "DenyGroups windowspage localadmins" (lokale Gruppe "windowspage" und "localadmins" sperren)
      • "DenyGroups windowspage\users" (Gruppe "users" aus der Domäne "windowspage" sperren)
    • Entfernen Sie ggf. am Zeilenanfang das Raute-Zeichen ("#").
  • Nur bestimmte Gruppen zulassen:
    • Suchen Sie nach der Zeile die den Text "AllowGroups" enthält. Sollte die Zeile nicht vorhanden sein, dann müssen Sie diese neu anlegen.
    • Tragen Sie nach dem Text "AllowGroups" und jeweils durch ein Leerzeichen getrennt die zugelassenen Gruppen ein. Z. B.:
      • "AllowGroups sshusers admins" (lokale Gruppe "sshusers" und "admins" zulassen)
      • "AllowGroups windowspage\sshusers" (Gruppe "sshusers" aus der Domäne "windowspage" zulassen)
    • Entfernen Sie ggf. am Zeilenanfang das Raute-Zeichen ("#").
  • Speichern Sie die Datei "%programdata%/ssh/sshd_config" ab.
• SSH-Server neu starten:
  • "Start" > ("Alle") bzw. ("Windows-System") > "Eingabeaufforderung" bzw. "Windows Terminal" (oder "cmd.exe" starten)
  • Geben Sie als Befehl "net stop sshd" und drücken die Eingabetaste.
  • Der OpenSSH-Server bzw. OpenSSH-Dienst wird beendet.
  • Geben Sie als Befehl "net start sshd" und drücken die Eingabetaste.
  • Der OpenSSH-Sever bzw. OpenSSH-Dienst wird gestartet.
  • Die neuen Regelungen für die Benutzeranmeldung sind gültig.

Hinweise:

• Für die Zulassungs- bzw. Verweigerungsliste (Konfigurationsdatei) und dem SSH-Server-Neustart werden erweiterte administrative Rechte benötigt. Hierzu klicken Sie mit der rechten Maustaste auf die Programmverknüpfung oder direkt auf das Programm (EXE-Datei) und wählen im Kontextmenü den Punkt "Als Administrator ausführen" aus.
• Als Platzhalter kann das Sternzeichen ("*") verwendet werden. Z. B.: "DenyGroups windowspage\*"
• Bei der Verwendung von Leerzeichen (Gruppenname) muss die Angabe mit einem Anführungszeichen ('"') beginnen und enden. Z. B. 'AllowUsers "gruppe 1"'

Versionshinweis:

• Der OpenSSH-Server steht erst ab Windows 10 Version 1809 zur Verfügung.

Querverweise:

• OpenSSH-Server / OpenSSH-Dienst aktivieren / installieren (ab Version 1809)
  • OpenSSH-Server - Anmeldung für bestimmte Benutzer verweigern (ab 1809)
  • OpenSSH-Server - Anmeldung nur für bestimmte Benutzer zulassen (ab 1809)