Jump to content
Sign in to follow this  
deadcandance

Ändern der Systemzeit per GPO verbieten

Recommended Posts

Hallo,

 

ist es sinnvoll das Ändern der Systemziet per Gruppenrichtlinie für PowerUser und Lokale Admin zu verbieten, d. h. dieses Recht nur den Domänen-Admins zuzuweisen?

Hintergrund meiner Frage ist folgender.

Ich arbeite als Dom-Admin sozusagen unter erschwerten Bedingungen. Es gibt viele User die auf Ihren Rechnern Lokale Adminrechte haben, und diese auch brauchen. Nun kennt wahrscheinlich jeder Admin den Typus ganz schlauer User, der all die schlauen Computerzeitschriften liesst und sich einbildet er kennt sich aus. Das würde nicht mal ich von mir behaupten, und ich habe viele Computerzeitschriften gelesen :rolleyes:

Genau dieser Typ macht mir die Arbeit schwer. Ich ahbe den Verdacht das einige dieser User an Ihrem System rumspielen. und das möchte ich per Gruppenrichtlinie verbieten. Ich bin mir aber nicht ganz sicher welche Auswirkungen das verbieten diese Rechts hat. Funktioniert dann die Zeitsyncronisierung noch? Gibt es eventuell Auswirkungen an anderen Stellen, an die ein normaler Mensch nicht mal denkt?

 

Wir haben eine W2k3 Domäne und XP Clients.

 

gruss dcd

 

PS: wäre eine Forumsrubrik für GPO's nicht sinnvoll?

Share this post


Link to post
Share on other sites

Ich denke nicht, dass es Auswirkungen hat. Die Zeit wird in der Domäne vom W32TIME angepasst, nicht vom Administrator oder Hauptbenutzer ...

Wenn die selbst ihre Zeit verstellen, werden sie es spätestens in der Domäne merken, wenn sie nirgendwo mehr zugreifen können (wenn die Zeit zu sehr auseinander ist) ... Also lernen durch Schmerzen ;)

Share this post


Link to post
Share on other sites

Buenos dias,

 

Ich arbeite als Dom-Admin sozusagen unter erschwerten Bedingungen. Es gibt viele User die auf Ihren Rechnern Lokale Adminrechte haben, und diese auch brauchen.

 

das halte ich für einen Trugschluss.

Gerade Benutzer sollten nie mehr Rechte lokal bekommen als der Standard-Benutzer.

Man muss dann eben für die speziellen Applikationen, die mehr Rechte benötigen, die Rechte auf die Registry sowie Verzeichnisse für den Benutzer extra setzen.

Dabei ist dir der Proces-Monitor von Sysinternals@Microsoft behilflich.

 

Siehe:

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

Abgesehen davon sollten Domänen-Benutzer noch nicht einmal Hauptbenutzer-Rechte erhalten.

Siehe:

A member of the Power Users group may be able to gain administrator rights and permissions in Windows Server 2003, Windows 2000, or Windows XP

 

Oder:

Wie Hauptbenutzer zu Admins werden - faq-o-matic.net

 

 

Nun kennt wahrscheinlich jeder Admin den Typus ganz schlauer User, der all die schlauen Computerzeitschriften liesst und sich einbildet er kennt sich aus.

 

Genau aus diesem Grund, dürfen die Benutzer nicht mehr Rechte erhalten.

Schon garnicht unter ihrem normalen Benutzeraccount.

 

 

Gibt es eventuell Auswirkungen an anderen Stellen, an die ein normaler Mensch nicht mal denkt?

 

Nein, die gibt es zwar nicht, dass ist aber der falsche Ansatz.

 

 

PS: wäre eine Forumsrubrik für GPO's nicht sinnvoll?

 

Dazu müssen sich die Board-Admins äussern ;).

Share this post


Link to post
Share on other sites
Buenos dias,

 

das halte ich für einen Trugschluss.

Gerade Benutzer sollten nie mehr Rechte lokal bekommen als der Standard-Benutzer.

Man muss dann eben für die speziellen Applikationen, die mehr Rechte benötigen, die Rechte auf die Registry sowie Verzeichnisse für den Benutzer extra setzen.

Dabei ist dir der Proces-Monitor von Sysinternals@Microsoft behilflich.

 

Genau diese Diskussion wollte ich vermeiden, und deine Ansicht das es ein Trugschluß ist, ist vollkommener Schwachsinn, da du die Unternehmensumgebung in der ich arbeite überhaupt nicht kennst.

Die Aussage das normale Benutzer nur normale Benutzerrechte haben dürfen, ist eine pauschale Aussage die an der Realität vorbeigeht. Aber du kannst dir gern die Arbeit machen und die Registrykeys und Verzeichnisse auf allen PC's entsprechend berechtigen. Viel Spass :D

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...