Jump to content

Ändern der Systemzeit per GPO verbieten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ist es sinnvoll das Ändern der Systemziet per Gruppenrichtlinie für PowerUser und Lokale Admin zu verbieten, d. h. dieses Recht nur den Domänen-Admins zuzuweisen?

Hintergrund meiner Frage ist folgender.

Ich arbeite als Dom-Admin sozusagen unter erschwerten Bedingungen. Es gibt viele User die auf Ihren Rechnern Lokale Adminrechte haben, und diese auch brauchen. Nun kennt wahrscheinlich jeder Admin den Typus ganz schlauer User, der all die schlauen Computerzeitschriften liesst und sich einbildet er kennt sich aus. Das würde nicht mal ich von mir behaupten, und ich habe viele Computerzeitschriften gelesen :rolleyes:

Genau dieser Typ macht mir die Arbeit schwer. Ich ahbe den Verdacht das einige dieser User an Ihrem System rumspielen. und das möchte ich per Gruppenrichtlinie verbieten. Ich bin mir aber nicht ganz sicher welche Auswirkungen das verbieten diese Rechts hat. Funktioniert dann die Zeitsyncronisierung noch? Gibt es eventuell Auswirkungen an anderen Stellen, an die ein normaler Mensch nicht mal denkt?

 

Wir haben eine W2k3 Domäne und XP Clients.

 

gruss dcd

 

PS: wäre eine Forumsrubrik für GPO's nicht sinnvoll?

Link zu diesem Kommentar

Buenos dias,

 

Ich arbeite als Dom-Admin sozusagen unter erschwerten Bedingungen. Es gibt viele User die auf Ihren Rechnern Lokale Adminrechte haben, und diese auch brauchen.

 

das halte ich für einen Trugschluss.

Gerade Benutzer sollten nie mehr Rechte lokal bekommen als der Standard-Benutzer.

Man muss dann eben für die speziellen Applikationen, die mehr Rechte benötigen, die Rechte auf die Registry sowie Verzeichnisse für den Benutzer extra setzen.

Dabei ist dir der Proces-Monitor von Sysinternals@Microsoft behilflich.

 

Siehe:

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

Abgesehen davon sollten Domänen-Benutzer noch nicht einmal Hauptbenutzer-Rechte erhalten.

Siehe:

A member of the Power Users group may be able to gain administrator rights and permissions in Windows Server 2003, Windows 2000, or Windows XP

 

Oder:

Wie Hauptbenutzer zu Admins werden - faq-o-matic.net

 

 

Nun kennt wahrscheinlich jeder Admin den Typus ganz schlauer User, der all die schlauen Computerzeitschriften liesst und sich einbildet er kennt sich aus.

 

Genau aus diesem Grund, dürfen die Benutzer nicht mehr Rechte erhalten.

Schon garnicht unter ihrem normalen Benutzeraccount.

 

 

Gibt es eventuell Auswirkungen an anderen Stellen, an die ein normaler Mensch nicht mal denkt?

 

Nein, die gibt es zwar nicht, dass ist aber der falsche Ansatz.

 

 

PS: wäre eine Forumsrubrik für GPO's nicht sinnvoll?

 

Dazu müssen sich die Board-Admins äussern ;).

Link zu diesem Kommentar
Buenos dias,

 

das halte ich für einen Trugschluss.

Gerade Benutzer sollten nie mehr Rechte lokal bekommen als der Standard-Benutzer.

Man muss dann eben für die speziellen Applikationen, die mehr Rechte benötigen, die Rechte auf die Registry sowie Verzeichnisse für den Benutzer extra setzen.

Dabei ist dir der Proces-Monitor von Sysinternals@Microsoft behilflich.

 

Genau diese Diskussion wollte ich vermeiden, und deine Ansicht das es ein Trugschluß ist, ist vollkommener Schwachsinn, da du die Unternehmensumgebung in der ich arbeite überhaupt nicht kennst.

Die Aussage das normale Benutzer nur normale Benutzerrechte haben dürfen, ist eine pauschale Aussage die an der Realität vorbeigeht. Aber du kannst dir gern die Arbeit machen und die Registrykeys und Verzeichnisse auf allen PC's entsprechend berechtigen. Viel Spass :D

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...