Lokalen Administratoren Computer aus Domäne entfernen verbieten

[Rotwilderer 10]

Hallo zusammen,

 

wir haben in unserer Firma mehrere Notebooks von Aussendienst Mitarbeitern, die aus verschiedenen Gründen lokale Adminrechte benötigen.

Leider haben die Benutzer auch damit das Recht, den Computer aus der Domäne zu entfernen. Wie kann man das deaktivieren bzw. die Benutzerrechte so ändern, dass nur Domänen-Admins die Computer aus der Domäne entfernen können?

[Dukel 437]

Indem man den Anwendern die Admin Rechte nimmt.

 

Wie wäre es mit einer Sozialen statt Technischen Lösung? Wieso sollten die Mitarbeiter das Notebook aus der Domäne entfernen?

[Sunny61 773]

wir haben in unserer Firma mehrere Notebooks von Aussendienst Mitarbeitern, die aus verschiedenen Gründen lokale Adminrechte benötigen.

Lass mich raten, es gibt Software die braucht erhöhte Rechte, oder?

 

Leider haben die Benutzer auch damit das Recht, den Computer aus der Domäne zu entfernen. Wie kann man das deaktivieren bzw. die Benutzerrechte so ändern, dass nur Domänen-Admins die Computer aus der Domäne entfernen können?

Gar nicht, nimm den Benutzern die Adminrechte. NTFS-Berechtigungen kann man auch ganz fein einsetzen und sich somit lokale Adminrechte sparen.

[Rotwilderer 10]

Danke für die Antworten. Ich habe es schon befürchtet, dass es keine technische Lösung gibt.

 

Wie wäre es mit einer Sozialen statt Technischen Lösung? Wieso sollten die Mitarbeiter das Notebook aus der Domäne entfernen?

Es ist leider vereinzelt vorgekommen, dass einige (wenige) Benutzer das Notebook aus der Domäne genommen haben, angeblich ist es dann schneller :confused: . Der User dein Feind... :D

 

Lass mich raten, es gibt Software die braucht erhöhte Rechte, oder?


Gar nicht, nimm den Benutzern die Adminrechte. NTFS-Berechtigungen kann man auch ganz fein einsetzen und sich somit lokale Adminrechte sparen.

Mit ist bekannt, dass dies möglich ist. Allderings sind gerade die älteren Programme, die über verschiedene Schnittstellen mit Anlagen kummunizieren, ohne Adminrechte recht "zickig".

[NorbertFe 1.835]

Naja und jetzt können wir gern drüber diskutieren, ob es sinnvoller und machbarer ist, lokale Admins in ihren Rechten zu beschneiden oder die "zickigen" Programme zum Laufen zu überreden. Meine Aufgabe wäre mir klar. ;)

 

Bye

Norbert

[Sunny61 773]

Es ist leider vereinzelt vorgekommen, dass einige (wenige) Benutzer das Notebook aus der Domäne genommen haben, angeblich ist es dann schneller :confused: . Der User dein Feind... :D

Arbeitsanweisung schreiben, vom Chef unterschreiben lassen, den Rest kann die PA machen.

 

Mit ist bekannt, dass dies möglich ist. Allderings sind gerade die älteren Programme, die über verschiedene Schnittstellen mit Anlagen kummunizieren, ohne Adminrechte recht "zickig".

Der ProcessMonitor von MSFT hilft dabei. Hol ihn dir und fang an zu konfigurieren. Das geht vermutlich schneller als hier Fragen zu stellen und auf die Antworten zu warten.

[lefg 276]

Moin,

 

ist es denn so schlimm? Ist ein Verbleib in der Domäne so wichtig und so zwingend nötig?

[NorbertFe 1.835]

Ernsthaft jetzt? Hat der Nutzer das in Frage zu stellen und eigenmächtig zu entscheiden?

[lefg 276]

Ernsthaft jetzt? Hat der Nutzer das in Frage zu stellen und eigenmächtig zu entscheiden?

 

Das kann durchaus sein. Käme ich auf die Idee, dem Leiter der IT oder em Leiter der Zentralen Dienste etwas zu verweigern oder sein Handeln in Frage zu stellen, dann bekäme ich ein Problem. Und falls ein Geschäftsleiter oder Niederlassungsleiter so etwas machte und ich verböte ihm das, dann ich kurz daruf wohl ein Gepräch.

 

Man sei sich darüber im Klaren, die IT ist in der Organisation ein Dienstleister, sie hat es den Leuten im Felde gut und praktikabel zu machen. Und falls das Gerät, der Start des OS oder die Anwendung im Felde ohne Anbinding an Netz und Domäne langsam wird, oder warum auch immer, die den Feldagenten zu solcher Massnahme bewegt, dann muss sich die IT eine Frage stellen! Und ja, die Entscheidung liegt erstmal beim Feldagenten. Und dieser bringt das Geld ein, von dem auch die IT bezahlt wird. Nochmals, der Feldagent muss sich nicht bei der IT rechtfertigen. Die IT kann eine Meldung schreiben.

bearbeitet 15. Oktober 2015 von lefg

[Sunny61 773]

ist es denn so schlimm? Ist ein Verbleib in der Domäne so wichtig und so zwingend nötig?

Keine GPOs mehr, das Gerät wird nicht mehr aktuell in Sachen Windows Update gehalten, und so weiter. Und nein, ein User hat da nichts dran zu fummeln oder zu ändern. Auch dann nicht, wenn der Admin es versäumt hat ihm die entsprechenden Rechte zu nehmen.

[NorbertFe 1.835]

Das kann durchaus sein. Käme ich auf die Idee, dem Leiter der IT oder em Leiter der Zentralen Dienste etwas zu verweigern oder sein Handeln in Frage zu stellen, dann bekäme ich ein Problem. Und falls ein Geschäftsleiter oder Niederlassungsleiter so etwas machte und ich verböte ihm das, dann ich kurz daruf wohl ein Gepräch.

 

Man sei sich darüber im Klaren, die IT ist in der Organisation ein Dienstleister, sie hat es den Leuten im Felde gut und praktikabel zu machen. Und falls das Gerät, der Start des OS oder die Anwendung im Felde ohne Anbinding an Netz und Domäne langsam wird, oder warum auch immer, die den Feldagenten zu solcher Massnahme bewegt, dann muss sich die IT eine Frage stellen! Und ja, die Entscheidung liegt erstmal beim Feldagenten. Und dieser bringt das Geld ein, von dem auch die IT bezahlt wird. Nochmals, der Feldagent muss sich nicht bei der IT rechtfertigen. Die IT kann eine Meldung schreiben.

Ne is klar, meine Entscheidungen treffe ich aus dem Bauch heraus und ich habe keine definierten Aufgaben in meinem Job. Deine Art und WEise solche Dinge anzugehen, geht bei mir nicht konform. Aber das ist ja nicht schlimm.

 

Bye

Norbert

[NilsK 2.795]

Moin,

 

ist es denn so schlimm? Ist ein Verbleib in der Domäne so wichtig und so zwingend nötig?

 

wie soll er sich denn sonst an die Domäne anmelden und auf zentrale Ressourcen zugreifen?

 

Gruß, Nils

[MurdocX 908]

Danke für die Antworten. Ich habe es schon befürchtet, dass es keine technische Lösung gibt.

Ein Admin ist ein Admin.. Alle Berechtigungen die du ihm nimmst, kann und darf er sich wieder geben.

 

Ich denke hier wie "Dukel" und gebe Dir den Tipp mit den jeweiligen Anwendern zu reden. Das diese normale Benutzer keine Admins sein sollten, ist ein anderes Thema.

Kurzfristig die Thematik sozial lösen aber langfristig den Ratschlag von "Sunny61" umsetzen.

[DocData 85]

Das kann durchaus sein. Käme ich auf die Idee, dem Leiter der IT oder em Leiter der Zentralen Dienste etwas zu verweigern oder sein Handeln in Frage zu stellen, dann bekäme ich ein Problem. Und falls ein Geschäftsleiter oder Niederlassungsleiter so etwas machte und ich verböte ihm das, dann ich kurz daruf wohl ein Gepräch.

Wie bitte?! Und in dem Laden willst du arbeiten?

 

Man sei sich darüber im Klaren, die IT ist in der Organisation ein Dienstleister, sie hat es den Leuten im Felde gut und praktikabel zu machen. Und falls das Gerät, der Start des OS oder die Anwendung im Felde ohne Anbinding an Netz und Domäne langsam wird, oder warum auch immer, die den Feldagenten zu solcher Massnahme bewegt, dann muss sich die IT eine Frage stellen!

Negativ. Dann wird das Problem in der IT bekannt gemacht und gelöst.

 

Und ja, die Entscheidung liegt erstmal beim Feldagenten. Und dieser bringt das Geld ein, von dem auch die IT bezahlt wird. Nochmals, der Feldagent muss sich nicht bei der IT rechtfertigen. Die IT kann eine Meldung schreiben.

Du hast eine sehr komische Sicht der Dinge. Deiner Argumentation nach kann man die IT auch gleich abschaffen. Bleibt mehr Geld übrig.

[lefg 276]

Das hat nichts mit meiner Sicht, meiner privaten Meinung zu tun.

bearbeitet 16. Oktober 2015 von lefg