Jump to content

alle User per GPO sind lok. Admins, haben ABER Zugriff auf administrative Freigaben


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo alle zusammen!

 

Ich arbeite in einem Unternehmen, bei dem wir das Problem haben, das wir über 100 User haben, die immer an unterschiedlichen PCs arbeiten müssen. Das zweite und größere Problem ist, das unsere Hauptsoftware lokale Administratorrechte verlangt, damit diese korrekt funktioniert. Wir haben sogar Software, bei der ich früher per Hand (wo die Benutzer noch nicht lokale Admins waren), einige Registrierungszweige für den User auf Vollzugriff stellen musste.

 

Einer meiner Kollegen hat vor längerer Zeit per Gruppenrichtlinie (GPO) jeden "Domänen-Benutzer" zum lokalen Admin aufgewertet, indem er unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Eingeschränkte Gruppen eine Gruppe "Administratoren" erstellt hat und hier die "Domänen-Benutzer" hinterlegt hat. (siehe Eingeschränkte Gruppen).

Alle PCs und User befinden sich unterhalb dieser einen Organisationseinheit.

 

Alle Anwender können nun ohne Probleme mit unserer Hauptsoftware arbeiten. Natürlich werden auch Programme installiert, die die Anwender nicht dürfen, aber da haben wir kleine Kontrollmechanismen integriert.

 

Mein Hauptproblem ist nun, das ein User, wenn er einen anderen PC im Netzwerk kennt, auf desen administrative Freigabe (\\PCName\C$) ohne Probleme zugreifen kann. Somit kann die Reinigungsfrau mit entsprechenden Kenntnissen auf dem Desktop vom Einkaufsleiter die Daten öffnen und lesen. (Kleine Anmerkung: wir haben eine Weiterleitung der Eigene Dateien auf Server aktiviert, somit sind diese Daten nicht auf dem lokalen Rechner verfügbar). Natürlich können auch die temp. Internetdateien etc. gelesen werden.

 

Wie kann ich nun jedem Benutzer die lokalen Admin-Rechte geben, ohne das er auf jeden anderen PC über administrativen Freigaben in der Domäne zugreifen kann. Was wäre wenn ich alle Benutzer über GPO als Hauptbenutzer auf den PC hinterlegen würde? Gegebenenfalls würde ich alle Bnutzer aus der Gruppe Administratoren entfernen (zuvor aber Domänen-Admins in diese Gruppe als einzigste eintragen) und jedem Benutzer über GPO Zugriff auf %programfiles% und auf die Registrierung geben.

 

Aber ich möchte nicht an einer Domäne mit 300 PCs Experimente betreiben.

 

Hat jemand schon Erfahrung mit solchen Einstellungen in den Gruppenrichtlinien?

 

Ansonsten: feiert schön den Nikolaus-Abend

 

d.pabst

Link zu diesem Kommentar

Hallo IThome,

 

danke für den Tipp! :)

 

Ich werde es ausprobieren und das Ergebnis posten. Es wird aber ein paar Tage dauern, da ich ein paar Test-Rechner vorbereiten werde. Oder hast Du eine solche Konfiguration bereits aktiviert?

 

Ich habe mich natürlich etwas schlauer gemacht (Windows 2000 Server - Handbuch für die sichere Konfiguration: Anhang D - Benutzer- und Gruppenkonten ):

 

Interaktiv: Enthält das Benutzerkonto des Benutzers, der lokal am Computer angemeldet ist. Die Mitglieder der Gruppe INTERAKTIV erhalten Zugriff auf die Ressourcen des Computers, an dem sie physisch arbeiten.

 

Mit (S-1-5-4) sollte es mir daher möglich sein, den Benutzer interaktiv in der GPO zu integrieren.

 

Vielen Dank

d.pabst

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...