fmuc 10 Geschrieben 11. April 2005 Melden Teilen Geschrieben 11. April 2005 hallo leute, wir haben windows 2000 server und AD. unsere user laufen über jana proxy. in der registry ist ein eintrag drinn wo dann in einer datei alle aktivitäten protokoliert werden. nun gibt es user welche in der registry die proxy einträge rauslöschen und nun ungestört surfen können und vor allem zb. mit kazza oder emule usw., grosse daten ziehen. per richtlinie wird bei neustart der proxy immer wieder eingeschalten, jedoch dann manuell wieder durch user, entfernt. frage: gibt es eine möglichkeit per richtlinie oder gibt es ein tool wie man das ändern bzw. bearbeiten der registry auf den client rechnern unterbinden kann? vielen dank für eure hilfe schonmal. Zitieren Link zu diesem Kommentar
DiterLeubner 10 Geschrieben 11. April 2005 Melden Teilen Geschrieben 11. April 2005 Nimm ihnen die Hauptbenutzerrechte oder in der Sicherheitskonfiguration das bearbeiten der Registry verweigern Zitieren Link zu diesem Kommentar
c0smic 12 Geschrieben 11. April 2005 Melden Teilen Geschrieben 11. April 2005 Und schreib den Leuten direkt ne Abmahnung.. Kann ja wohl net sein, das die eigenmaechtig in der Registry rumpfuschen damit sie ungestoert saugen koennen! Gruss c0sMiC Zitieren Link zu diesem Kommentar
fmuc 10 Geschrieben 11. April 2005 Autor Melden Teilen Geschrieben 11. April 2005 tja, abmahung ist ok, nur wir wissen ja nicht wer das alles macht. wir wissen nur das es gemacht wird. wenn wir auf comuterebene die registry sperren, kommen wir dann selbst nicht mehr an die registry rann um ev. mal was einzustellen.. ausserdem müssen wir aus bestimmten gründen die benutzer mit admin rechten ausstatten.. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 11. April 2005 Melden Teilen Geschrieben 11. April 2005 Versuch mal eine GPO: Benutzerkonfiguration/Administrative Vorlagen/System/Zugriff auf Programme zum Bearbeiten der Registrierung verhindern ErklärungDeaktiviert den Windows-Registrierungs-Editor "Regedit.exe". Durch Aktivieren dieser Einstellung wird dem Benutzer bei dem Versuch einen Registrierungs-Editor zu starten eine Fehlermeldung angezeigt, die erläutert, dass der Vorgang aufgrund einer Einstellung nicht gestattet ist. Verwenden Sie die Einstellung "Nur zugelassene Windows-Anwendungen ausführen", um Benutzer daran zu hindern weitere Verwaltungsprogramme zu verwenden. Gruss Velius Zitieren Link zu diesem Kommentar
master-obi-wan 10 Geschrieben 11. April 2005 Melden Teilen Geschrieben 11. April 2005 Hallo fmuc, ausserdem müssen wir aus bestimmten gründen die benutzer mit admin rechten ausstatten.. wenn deine User Adminrechte auf Ihren Rechnern haben, hast du schon verloren. Alles was du einstellst kann der User auch wieder rückgängig machen. Hier hilft nur den Usern die Adminrechte zu nehmen und die "bestimmten Gründe" nochmal zu überdenken ... Alles andere ist ein Kampf gegen Windmühlen :( Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 11. April 2005 Melden Teilen Geschrieben 11. April 2005 @master-obi-wan Siehe meinen Post! ;) Auch wenn der User Admin ist, kann er diese, sowie andere Einstellungen wie das Deaktivieren der "Ausführen" Schaltfläche nicht mehr umgehen, sobald diese Policies aktiv sind. Alles was er dagegen tun kann ist den Rechner von der Domäne zu nehmen....aber sogar das kann man unterbinden. Gruss Velius Zitieren Link zu diesem Kommentar
lupo45 10 Geschrieben 11. April 2005 Melden Teilen Geschrieben 11. April 2005 nun gibt es user welche in der registry die proxy einträge rauslöschen und nun ungestört surfen können Wie wär's denn das Internet-Gateway entsprechend zu konfigurieren, daß Pakete ins Internet nur vom Proxy-Server (und ganz gezielten Systemen) zugelassen sind? Bei uns ist das so, wenn man keinen Proxy eingetragen hat dann gibt's nix mit Internet-Zugriff => Pech gehabt! Proxy-Zwang sozusagen... :D Ansonsten ist schon richtig: lokale Admins sind was anderes als Domain-Admins, denen kann man schon einiges verbieten, trotz Admin-Rechten! Zitieren Link zu diesem Kommentar
master-obi-wan 10 Geschrieben 12. April 2005 Melden Teilen Geschrieben 12. April 2005 Hallo, @Velius: Ich halte die Logik für vollkommen daneben, jemandem Adminrechte zu geben und ihn gleichzeitig mit Policies vollzupflastern. Sicherheitstechnisch in meinen Augen eine miserable Taktik ... ;) (Bist du dir letztendlich sicher, dass du alle Schlupflöcher kennst und dass du diese auch gestopft hast ? Vor allem um die Dummheiten abzufangen, die den Usern künftig noch einfallen werden ?) ;) Nebenbei bemerkt ... wenn du nur die bereits von dir aufgeführten Policies vergibst, dauert es keine 5 Minuten, bis ein lokaler Admin wieder Zugriff auf die Registry hat. Da musst du schon ein paar Scheiter mehr ins Feuer werfen ... aber das nur nebenbei ... @fmuc Der Einwand von lupo45 ist berechtigt. Normalerweise sollte es immer so geregelt sein, dass User nur über einen Proxy eine Verbindung ins Internet aufbauen können. Vielleicht solltest du hier ansetzen und den "anderen Weg" generell unterbinden ... Nach wie vor mein Fazit: Nimm den Usern die Adminrechte und lös deine bestimmten Gründe" auf andere Art und Weise ! Dann bleibt dir auch in Zukunft jede Menge Ärger erspart ... Wenn die User ihre Adminrechte behalten, wird das ein Katz- und Mausspiel. ... und wer Tom und Jerry kennt, weiss wie's ausgeht ... :D Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 12. April 2005 Melden Teilen Geschrieben 12. April 2005 Hallo, Nebenbei bemerkt ... wenn du nur die bereits von dir aufgeführten Policies vergibst, dauert es keine 5 Minuten, bis ein lokaler Admin wieder Zugriff auf die Registry hat. Da musst du schon ein paar Scheiter mehr ins Feuer werfen ... aber das nur nebenbei ... Das war mir schon klar, aber ich überlasse das denken gerne dir! ;) P.S.: Ich versuche einfach so nahe wie möglich an das Problem des TO heran zu gehen. Weiss der Geier welche Gründe es gibt, wieso er das und jenes machen will. Aus eigener Erfahrung weiss ich, dass es nicht immer möglich ist, den logischen weg zu gehen, da noch Management und Kohle und noch etwa 12'000 andere Gründe dahinter stecken. Ich versuche zu helfen so gut es geht; mag sein, dass du die Lösung nicht schlau findest, ich hinterfrage die Absicht aber nicht.... Zitieren Link zu diesem Kommentar
master-obi-wan 10 Geschrieben 12. April 2005 Melden Teilen Geschrieben 12. April 2005 Das war mir schon klar, aber ich überlasse das denken gerne dir! ;) [aufderLeitungsteh] ... was willst du mir damit sagen ? ... [/aufderLeitungsteh] Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 12. April 2005 Melden Teilen Geschrieben 12. April 2005 @master-obi-wan Ich zeige gerne den Weg zum Ziel, erreichen und umsetzen muss man das schon selber. In den GPO's gibt's eine ganzes Arsenal an Einstelleungen, die bei richtigem Einsatz das Leben eines lokalen Admins ziemlich zu Hölle machen können. Siehe auch: Group Policy Registry Table - Administrative Vorlagen ...oder anders formuliert: Ich helfe gerne, zeige aber ungerne jeden einzelnen Klick zur Lösung. Ich denke das kann weder im Sinn des Boards, noch desjeneigen der die Lösung sucht sein. Zitieren Link zu diesem Kommentar
master-obi-wan 10 Geschrieben 12. April 2005 Melden Teilen Geschrieben 12. April 2005 @Velius ... In den GPO's gibt's eine ganzes Arsenal an Einstelleungen, die bei richtigem Einsatz das Leben eines lokalen Admins ziemlich zu Hölle machen können. ... Da hast du vollkommen Recht, allerdings würde mich bei "dem von dir aufgezeigten Weg", ständig das unwohle Gefühl begleiten, ich hätte irgendein Schlupfloch vergessen ... und von diesen Schlupflöchern für lokale Admins gibts wohl mindestens soviele wie Einstellungen in den Group Policies :D Naja, fmuc weiss ja jetzt wie's läuft ... und wird sich das für Ihn Richtige raussuchen ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.