fumanschu

Das hab ich mir auch schon überlegt, aber der Grund warum unsere User von Bitlocker nicht begeistert sind ist der Einbruch des Festplattendurchsatzes, und eine VM auf Notebooks bremst die Kiste auch brutal ein, da haben sie dann dasselbe Problem. Ich habe ihnen jetzt noch per Policy das anlegen von lokalen Konten verboten, aber über die Command Line können sie sich immer noch mit net user... neue Konten anlegen oder die Gruppenmitgliedschaft ändern, das muss ich eben akzeptieren, falls jemand danach suchen sollte wenn er auf die Idee mit dem lokalen Adminkonto kommt hat er dazu auch die Möglichkeit... Danke jedenfalls nochmal für eure Anregungen und Tips, einen schönen Tag noch uns bis zum nächsten mal. mfg Fumanschu

Hi XP-Fan, natürlich gibt es Richtlinien nach denen sich die User richten müssen, aber bei uns sind etwa 85% Entwickler (was der Grund für deren Adminrechte ist), wir sind zB SAP Goldpartner, das wird bei uns im Haus auch entwickelt, aber solche Anwendungen laufen nicht ohne Adminrechte weil sie alle in den Windows Ordner schreiben, und viele andere Programme die in Verwendung sind bei uns laufen ohne die Rechte auch nicht, auch nicht mit Applocker, darum können wir ihnen die Rechte nicht nehmen. Wir erklären ihnen andauernd wie wichtig Sicherheit ist, und den meisten leuchtet das auch alles ein, aber bei über 300 Usern hast du einfach immer ein paar dabei die versuchen, alles zu umgehen oder abzuschießen, sei es der Virenscanner, Bitlocker, etc. Danke jedenfalls nochmal an alle beteiligten für eure Posts, ich hab mich gefreut wie ein Schneekönig dass ich was hingebracht hab was noch keiner geschafft hat, und an die einfachste aller Möglichkeiten hab ich nicht gedacht.. mfg Christian

Sorry dass ich da auf dem Schlauch gestanden bin, jetzt versteh ich erst was du meinst. Natürlich kann er Bitlocker als lokaler Administrator beenden, da muss er aber erst das Kennwort ändern, und da dürfen wir ihm nicht draufkommen, sonst gibt's Saures. Ich hab das immer nur unter der Annahme gemeint, dass der User ganz normal mit seinem Domänenbenutzer einsteigt und das versucht, und da soll er die Berechtigungen nicht haben und vor allem nicht ändern können. Danke jedenfalls für den Hinweis, hast vollkommen recht, daran hab ich noch gar nicht gedacht, und die versuchen ja alles um unsere Konfigurationen zu umgehen, wenn mal jemand daran denkt die Festplatte zu entschlüsseln weil ihm der Datendurchsatz zu niedrig ist dann kann er das auf diesem Weg auch, und das kann ich ihm nicht sperren, egal was ich mache. Wie gesagt tut mir leid dass ich nicht gleich gecheckt hab was du meinst und das so aufgeufert ist, schönen Abend noch. mfg Christian

Hallo Dukel, der lokale Admin kann die lokale Richtlinie aber nur ändern, wenn sie nicht von einer Domainpolicy konfiguriert ist, darum geht es doch. Wenn ich in der Domainpolicy explizit angebe, dass nur der Domainadmin das Recht hat, den Besitz von Objekten zu übernehmen, dann kann der lokale Admin das sicher nicht ändern, oder etwa doch? Wenn das der Fall sein sollte sind Gruppenrichtlinien komplett für'n A..., das würde mich vom Hocker schmeißen, leider kann ich das jetzt nicht mehr testen weil ich nicht in der Firma bin, das hole ich morgen nach. Das lokale Adminkennwort haben unsere User nicht, sie sind mit ihrem Domainkonto Mitglied in den lokalen Administratoren, aber mit einer Ultimate Boot CD für Windows hochfahren, das lokale Adminkennwort ändern und sich anmelden ist ja kein Problem. Wie gesagt würde mich das schockieren, wenn der lokale Admin die Domainpolicies auf dem Clientrechner überschreiben könnte, falls das doch so sein sollte habt ihr beide Recht, ich melde mich morgen noch einmal wenn ich das probieren konnte. Vielen Dank jedenfalls schon mal für eure Zeit und euren Imput. mfg fumanschu

Hallo Zahni, das ist richtig, aber der springende Punkt ist die NTFS Berechtigung verweigern, verweigern Berechtigungen setzten IMMER!! zulassen Berechtigungen außer Kraft, also wenn der User in der lokalen Gruppe Administratoren ist aber gleichzeitig Mitglied in einer Domänengruppe die ihm das Recht verbietet, dann hat er kein Recht. Wir kommen sowieso auf keinen grünen Zweig, probier es einfach aus und dann reden wir weiter. Verstehst du, ich hab es schon eingerichtet, darum kann ich kein "das geht nicht" akzeptieren, eben weil es bei mir funktioniert. Setz dir Windows 7 auf einem Notebook auf und aktivier Bitlocker, dann legst du einen lokalen User an der in der Gruppe Administratoren ist und eine Gruppe Bitlocker, wo der User ebenfalls Mitglied ist. Dann übernimmst du den Besitz der beiden Objekte fvecpl.dll (steuert das Systemsteuerungsapplet Bitlocker) und manage-bde.exe vom standardmäßigen Besitzer TrustedInstaller und weist die Gruppe Bitlocker den Dateien zu mit Vollzugriff verweigern. Danach konfigurierst du die lokale Sicherheitsrichtlinie, sodass nur der lokale Administrator den Besitz von Objekten übernehmen kann, und nicht die lokale Gruppe Administratoren - das funktioniert, glaub es mir, wenn du dich dann anmeldest mit dem neu angelegten User kannst du die NTFS Berechtigungen der beiden Objekte nicht anzeigen, den Besitz nicht übernehmen, und wenn du Bitlocker anklickst in der Systemsteuerung macht es nur klick, aber das Fenster öffnet sich nicht weiter um es zu deaktivieren, aktivieren oder anzuhalten. Bei dem Versuch der Besitzübernahme kommt "Zugriff verweigert", trotz Adminrechten, ebenso wenn man manage-bde in der Command Line starten möchte - teste es aus, du wirst sehen dass es funktioniert. mfg Fumanschu

Wie soll er sich denn mit lokalen Benutzerkonten über Domainrichtlinien hinwegsetzen, und wie soll er sich mit einem lokalen Benutzerkonto das Recht zur Besitzübernahme geben, wenn es per Domainpolicy gesperrt ist? Da bin ich aber gespannt wie du das machst, ich bin Windows Server 2008 Enterprise Administrator und weiß sehr genau, was mit Gruppenrichtlinien möglich ist und was nicht, wir reden hier von Domänebenutzern in einer AD Umgebung, und nicht von Privatbenutzern auf privaten Notebooks! Ich weiß ja nicht warum du hier unbedingt meinst es geht nicht, du solltest es mal probieren und dann qualifizierte Posts verfassen, nicht nach 10 Minuten zurückschreiben "das geht nicht". Ich hau jedenfalls wieder ab aus diesem Expertenforum, wollte euch nur einen Gefallen tun und euch mitteilen wie das doch möglich ist, aber anscheinend sind hier laute solche ExpertMember vorhanden die schon alles wissen... An alle hier die kein Brett vor dem Kopf haben, probiert es aus, und ihr werdet sehen dass es funktioniert, ich hab 2 Notebooks mit 2 neuen Mitarbeitern installiert und es unter beiden getestet, man kann Bitlocker nicht abdrehen oder umkonfigureren, egal was man macht... mfg fumanschu

Hallo Zahni, vielen Dank für dein Feedback, aber das kann er nicht rückgängig machen. Die NTFS Berechtigungen sieht er gar nicht weil er die Meldung erhält "Sie sind nicht berechtigt, die Berechtigungseinstellungen des Objekts anzuzeigen oder zu bearbeiten" - wenn er den Besitz des Objektes übernehmen möchte um sich das Recht zu verschaffen, die Sicherheitseinstellungen zu ändern, bekommt er die Meldung "Zugriff verweigert", weil ihm das Recht dazu per Domainrichtlinie entzogen wurde, er kann also in der lokalen Sicherheitsrichtlinie auf seinem Notebook keine Einstellungen ändern, somit hat er keine Chance das zu umgehen, er bräuchte das Domainadmin Passwort um sich anzumelden und den Besitz zu übernehmen. Hier noch kurz die genaue Vorgehensweise: 1) User zum lokalen Admin machen und eine Domaingruppe erstellen wo er Mitglied ist 2) den Dateien C:\windows\system32\fvecpl.dll und C:\Windows\system32\manage-bde.exe die Gruppe zuweisen und auf Vollzugriff verweigern setzen 3) eine Domainpolicy erstellen und die Einstellung Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > lokale Richtlinien > Übernehmen des Besitzes von Dateien und Objekten setzen dass nur der Domainadmin das Recht besitzt, damit kann er es in der lokalen Sicherheitsrichtlinie auf seinem Notebook nicht ändern, er hat also auf beiden Files kein Recht sie auszuführen und auch kein Recht, sich die Rechte zu beschaffen, also wie soll er das umgehen können? Ich habe das jetzt gut 6 Stunden getestet als User und versucht, mir die Rechte zurückzuholen, und ich bin kläglich gescheitert, also wenn ich das als Netzwerkadmin in einem großen Rechenzentrum nicht schaffe werden es unsere Entwickler auch nicht schaffen. Mit besten Grüßen Christian

Hallo Kollegen, ich hab einen Weg gefunden, den Usern in unserer Firma trotz lokalen Adminrechten die Konfiguration/Deaktivierung von Bitlocker zu unterbinden. Das Systemsteuerungsapplet Bitlocker wird von fvecpl.dll (liegt in System32) gesteuert, um den Aufruf zu unterbinden muss man lediglich dem betroffenen User die Berechtigung Vollzugriff verweigern verpassen, genau so wie der manage-bde.exe. Ich hab im AD eine Gruppe erstellt in der alle unsere User Mitglied sind, und diese Gruppe hat auf den beiden Files fvecpl.dll und manage-bde.exe Vollzugriff verbieten Berechtigungen. Vorher muss man den Besitz der beiden Dateien übernehmen, der Standardbesitzer ist die Gruppe TrustedInstaller. Um die User daran zu hindern, den Besitz zu übernehmen und die Berechtigungen wieder zu ändern habe ich die GPO Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > lokale Richtlinien > Übernehmen des Besitzes von Dateien und Objekten aktiviert, sodass nur der Domainadmin das Recht hat, den Besitz zu übernehmen - voila, that's it, wenn der User jetzt auf Bitlocker in der Systemsteuerung klickt passiert gar nichts, wenn er die Berechtigungen ändern oder manage-bde.exe über die Command Line aufrufen möchte bekommt er "Zugriff verweigert", somit hat er keine Möglichkeit mehr Bitlocker anzuhalten