Eingeschränkte Nutzer haben dennoch volle Rechte am Clienten

[lunatikz 10]

Hi,

 

Ich hab folgendes Problem, es exisitieren Benutzeraccounts mit eingeschränkten Rechten. (Bsp. Schüler) Diese sollen nur Programme ausführen können etc.

Dies hat defacto auch funktioniert. Allerdings ist es nun möglich, dass diese eingeschränkten Nutzer Sachen installieren können, was zuvor nicht ging.

Nennenwerte Änderungen am Server waren das Erstellen von zusätzlichen Benutzeraccounts, die per GPO Adminrechte auf dem Clienten bekommen. Von dieser GPO sind aber die Schüler accounts nicht betroffen (mehrfach nachgetestet).

Wie kann es sein, dass die Schüler Accounts dennoch Programme installieren können ?

Falls irgendwelche Infos fehlen, bitte mitteilen.

 

Ferner: Bei Installationen werden die UAC Abfragen nicht mehr gemacht..

Nachtrag: Der Schüler Account befindet sich auch nicht in der lokalen Admingruppe

bearbeitet 17. Dezember 2012 von lunatikz
Zusatzinfo

[iDiddi 27]

Nennenwerte Änderungen am Server waren das Erstellen von zusätzlichen Benutzeraccounts, die per GPO Adminrechte auf dem Clienten bekommen. Von dieser GPO sind aber die Schüler accounts nicht betroffen (mehrfach nachgetestet).

Was steht denn genau in dieser GPO drin? Und wie hast Du die eingeschränkten Benutzer denn eingeschränkt?

 

Und um was für ein System handelt es sich überhaupt?

[lunatikz 10]

Diese GPO war dazu da bestimmte Nutzer als Admins auf ihren Clienten zu machen.

Also über diese Einstellungen bei den eingeschränkten Gruppen habe ich die Gruppe Administratoren hinzugefgt, und dieser Gruppe die entsprechenden User hinzugefügt (Schüler Acc gehört nicht dazu)

Die eingeschränkten Benutzer (Also Schüler) gehören der Gruppe Domänenbenutzer an, meines Wissens bringt diese BuiltIn Gruppe von R2K8 die Beschränkungen mit, dass keine Installationen etc. auf den Clients vorgenommen werden können.

Handfelt sich um einen Windows Server 2008 Server mit DC und Windows 7 Clients.

Die Sache ist auch, dass dies mit den Gpos wunderbar funktioniert hat, nur jetzt kann ein User ohne lokale Adminrechte, dennoch Programme etc. installieren

[lunatikz 10]

Hat sich scheinbar erledigt, nachdem ich die GPO deaktiviert hatte und die ganzen GPOs gepusht habe (?!)

Aber nochmals wie kann das sein,.. anbei ein Screen von den GPO einstellungen

[Dunkelmann 96]

Hat sich scheinbar erledigt, nachdem ich die GPO deaktiviert hatte und die ganzen GPOs gepusht habe (?!)

Aber nochmals wie kann das sein,.. anbei ein Screen von den GPO einstellungen

Warum SophosUser + SophosPowerUser?

 

Die lokale Gruppe Benutzer ist AFAIK in der Gruppe "SophosUser"

Alle Domänen Benutzer sind in der lokalen Gruppe Benutzer

Durch die Schachtelung werden nun alle Domänen Benutzer zu lokalen Administratoren. :cool:

[lunatikz 10]

Hi,

 

Danke für deine Antwort.

Die User SophosUser und SophosPowerUser hatte ich da hinzugefügt, weil sie zuvor auch in den lokalen Admingruppen enthalten waren. Allerdings kann es durchaus sein, dass dies von meinem Vorgänger falsch konfiguriert worden ist. Ich werds auf jeden Fall ausprobieren, und dann die Tage hier Bescheid geben.

Vielen Dank!

[NilsK 2.789]

Moin,

 

Benutzer haben genau dann Administratorrechte, wenn sie in der lokalen Gruppe "Administratoren" Mitglied sind. Ob das der Fall ist, lässt sich am besten mit dem Konnando "whoami /groups" herausfinden, wenn der zu prüfende Benutzer angemeldet ist.

 

Warum bei dir etwas so ist, wie es ist, lässt sich aus deinen Angaben kaum ersehen - noch weniger, warum es angeblich früher anders war.

 

Gruß, Nils

[Dukel 436]

Was können die User denn installieren?

Evtl. wurde etwas im Profil installiert oder es wurden Portable Apps genutzt.