Jump to content

Hauptbenutzer oder lokaler Admin?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

wie du schon schreibst, das ist sehr stark abhängig davon was die leutchen auf ihrem PC so alles können dürfen bzw. müssen. manche sachen gehen mit hauptbeutzer manche brauchen adminrechte. windows updates sollten normalerweise auch mit normalen benutzerrechten laufen weil die, wenn mich nich alles täuscht, im kontext des system users installiert werden.

 

was verwendest du denn für windows updates? inet, WUS, SUS?

Link zu diesem Kommentar

der hauptbenutzer hat im grunde auf fast alle bereiche der platte direkten zugriff. wenn es aber darum geht "wichtige" sachen in die registry einzutragen, ich kann dir jetzt nicht alles einzeln aufzählen, dann scheitert der hauptbenutzer.

 

um updates über WUS zu installieren brauchst du aber weder das eine noch das andere. das passiert wie gesagt im kontext des system kontos das, wenn du es nicht verändert hast soviel darf wie ein admin auch, also im grunde alles.

Link zu diesem Kommentar
Hallo,

 

ich habe eine Windows 2000 Domäne. Auf den Clients habe ich jedem Benutzer lokale Adminrechte gegeben, da sonst in bestimmte Verzeichnisse nicht geschrieben werden kann. Würde hier auch der Hauptbenutzer reichen, unter der berücksichtigung, dass der PC die Windows Updates runterladen und installieren muss?

 

Danke und Gruß

 

Kerstel

 

hi!

 

wenn die user auf bestimmte verzeichnisse nicht zugreifen könne oder schreiben können solltest du einfach nur die rechte der verzeichnisse anpassen!

 

alles andere ist selbstmord ;)

 

gruss saracs

Link zu diesem Kommentar

Hi,

 

ich wollte den aufwand gering halten, es sind schließlich 60 User

 

da arbeitest du aber schwer kontraproduktiv :D

 

1. Niemand innerhalb eines Unternehmensnetzwerks darf als User mit Lokalen Adminrechten arbeiten o. Hauptbenutzerrechten arbeiten:

 

http://www.mcseboard.de/showthread.php?t=66853

 

2. Um die passenden lokalen Berechtigungen für bestimmte "veraltete" Applikationen einzurichten kann du die Gruppenrichtlinien Clientside-Extension "Dateisystem" verwenden mit der du wunderbard die Berechtigungen auf Ordnerebene bzw. sogar auf Dateiebene steuern kannst, um z.B. dem User das Schreibrecht auf einzelne INI-Dateien zu erlauben.

 

http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#Dateisystem

 

LG Gadget

Link zu diesem Kommentar

ok, nur zum verständnis. In einem Netzwerk mit Domäne gibt es keine User die irgendwelche lokalen Rechte haben. Sei es Admin oder Hauptbenutzer. Falls benötigt werden diese über die GPO gesetzt, und nicht an der Arbeitsstation. z.b. läuft das Lotus Notes nur wenn er in seinen Installationspfad was reinschreiben darf, was als Benutzer aber nicht geht

 

Kannst Du mir ein paar Argumente dafür geben, die ich dem entscheider um die Ohren hauen kann? Der hat übrigens den MCSE und das das so läuft ist auf seinem Mist gewachsen

Link zu diesem Kommentar
ok, nur zum verständnis. In einem Netzwerk mit Domäne gibt es keine User die irgendwelche lokalen Rechte haben.

 

sollen wir dir helfen o. willst du dir selbst was falschen erzählen => is nämlich Käsekuchen... :D

 

http://www.gruppenrichtlinien.de/Grundlagen/Wer_darf_was.htm

 

u. dein Entscheider MCSE hat oder ned spielt da gar keine Rolle falsch ist falsch u. bleibt es auch egal wers macht:

 

Die Argumente stehen doch übrigens in meinem Artikel bereits drin (das Zitat von Aaron Margosis) hier is der Orginalartikel:

 

http://blogs.msdn.com/aaron_margosis/archive/2004/06/17/157962.aspx

 

u. hier gibts noch ein Schulungsvideo mit detaillierten Argumenten dazu:

 

TechNet Webcast: Understanding and Fighting Malware: Viruses, Spyware and Rootkits (Level 300)

http://www.microsoft.com/events/EventDetails.aspx?CMTYSvcSource=MSCOMMedia&Params=%7eCMTYDataSvcParams%5e%7earg+Name%3d%22ID%22+Value%3d%221032274950%22%2f%5e%7earg+Name%3d%22ProviderID%22+Value%3d%22A6B43178-497C-4225-BA42-DF595171F04C%22%2f%5e%7earg+Name%3d%22lang%22+Value%3d%22en%22%2f%5e%7earg+Name%3d%22cr%22+Value%3d%22US%22%2f%5e%7esParams%5e%7e%2fsParams%5e%7e%2fCMTYDataSvcParams%5e

 

LG Gadget

Link zu diesem Kommentar
sollen wir dir helfen o. willst du dir selbst was falschen erzählen => is nämlich Käsekuchen... :D

das war keine definition, sondern ich wollte nur sehen ob ich es verstanden habe

 

u. dein Entscheider MCSE hat oder ned spielt da gar keine Rolle falsch ist falsch u. bleibt es auch egal wers macht

Ich sehe ein dass es falsch ist, aber ich muss ja an anweisungen halten. Und wenn ich argumente habe dass es falsch ist fällt es leichter es richtig zu machen

Link zu diesem Kommentar

@kohn:

....da arbeitest du aber schwer kontraproduktiv :D

 

1. Niemand innerhalb eines Unternehmensnetzwerks darf als User mit Lokalen Adminrechten arbeiten o. Hauptbenutzerrechten arbeiten:

 

http://www.mcseboard.de/showthread.php?t=66853....

 

siehst du das nicht ein wenig durch die rosarote brille? ich will dich nicht kritisieren aber soweit ich weis arbeitest du für einen öffentlichen arbeitgeber und da lassen sich richtlinien ganz anders druchsetzen wie in der freien wirtschaft. es gibt einfach "wichtige" leute die bestehen darauf lokale admin rechte zu haben und sie sind in einer position auch darauf bestehen zu können. wenn dann die adminrechte erst mal ein paar leute haben dann meckern ein paar weniger wichtige rum das sie sie nicht haben und dann ist auch der chef obendrüber dazu geneigt seinen "wichtigen" leuten auch die adminrechte einzuräumen zu lassen weil sie ja sonst unmöglich arbeiten können. das telefonat läuft dann so ab das der chef oder seine tippse anruft und einen satz sagt: sorgen sie sofort dafür das...... und damit ist das gespräch beendet. tja, der ober sticht den unter und was willst du dann sagen? kohn ein moderator und etliche leute von MS und sonst woher haben gesagt das.....? es werden dann 1000 gegenargumente angebracht die du nicht unbedingt entkräften kannst. ich denke da gerade an die sigi von dr.melzer :D. wenn dann der chef der meinung ist das ihm auch nur ein auftrag für 4.50 € entgangen ist, weil sein untergebener dich verantwortlich macht, weil der eben das und das nicht machen konnte weil er keine admin rechte hatte, dann kannst du im grunde deine kündigung noch am selben tag abholen und er hat sogar einen kündigungsgrund für eine fristlose: nichtumsetzen von direkten dienstanweisungen und arbeitsverweigerung.

 

das das vorgehen so wie du es beschreibst absolut richtig ist brauchen wir alle nicht zu diskutieren, ich denke da gibt es keine zwei meinungen, aber.......... es lässt sich nicht immer realisieren.

Link zu diesem Kommentar

Moin Hirgelzwift,

 

ja du hast recht is manchmal ein bisserl schwierig rüberzubringen, hauptsächlich deswegen, weil sich keiner Traut zu sagen man hats bisher falsch gemacht.

 

Als Argumenationsstützen würde ich in der Privatwirtschaft foglende Dinge verwenden:

 

1. Das BSI Grundschutzhanbbuch (da es sich um eine grundlegende Securityregel handelt)

 

2. U. evtl. auch Basel II wobei ich mit dem kompletten Regelwerk u. deren Auslegung nicht 100 Prozentig vertraut bin, dass können andere besser beantworten.

 

LG Gadget

Link zu diesem Kommentar

um zum eigentlichen thema zurückzukehren: ich bin mir nicht ganz sicher weil ich es unter W2K nie gemacht haben.

 

@kerstel: beschäftige dich bitte mal mit dem thema "eingeschränkte gruppen". dazu gibt es hier im board ettliche threads. das sollte dir helfen können die benutzergruppen so zu setzen wie du es brauchst.

 

@kohn: ich habe mal für einen konzern gearbeitet die hatten weltweit 250.000 benutzer. ich war nur ein kleiner admin in einer frima in diesem geflecht von firmen aber dort war es konzernpolicy das alle benutzer auf ihren PC's lokale admin rechte haben. da gab es richtige security ausschüsse mit vielen mitgliedern, also den security managern aus allen geschäftsbereichen und und und. ob die das mittlerweile geändert haben weis ich aber auch nicht. nochmal: wie auch immer, ich gebe dir recht und wer recht hat zahlt......, oder? ach was, was trinkst du, ich gebe einen aus ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...