Berechtigungen auf lokale Gruppen setzten
Hallo,
weiß jemand, ob es eine Möglichekeit gibt, in Windows 7 Berechtigungen auf lokale Gruppen zu setzten? Bei Gruppen im Active Directory geht dies in der Lasche Sicherheit.
Hintergrund meiner Frage ist folgender:
Um mehr Sicherheit gegen Viren zu gewährleisten, möchte ich unseren Usern keine Admin-Rechte mehr auf den Workstations geben. Nun gibt es aber immer wieder Situation, wo doch Admin-Rechte benötigt werden. Deshalb war meine Idee, einen lokalen Benutzer auf den Workstations anzulegen, der Admin-Rechte hat. Über die UAC-Abfrage kann dieser dann im Bedarfsfall vom Anwender verwendet werden. Damit ist es aber auch möglich, den Benutzer des Anwenders in die Gruppe der Administratoren aufzunehmen. Wenn man nun die Berechtigugen auf diese Gruppe anpassen könnte, könnte man solch ein Hintertürchen schließen.
Vielen Dank für euere Antworten
weiß jemand, ob es eine Möglichekeit gibt, in Windows 7 Berechtigungen auf lokale Gruppen zu setzten? Bei Gruppen im Active Directory geht dies in der Lasche Sicherheit.
Hintergrund meiner Frage ist folgender:
Um mehr Sicherheit gegen Viren zu gewährleisten, möchte ich unseren Usern keine Admin-Rechte mehr auf den Workstations geben. Nun gibt es aber immer wieder Situation, wo doch Admin-Rechte benötigt werden. Deshalb war meine Idee, einen lokalen Benutzer auf den Workstations anzulegen, der Admin-Rechte hat. Über die UAC-Abfrage kann dieser dann im Bedarfsfall vom Anwender verwendet werden. Damit ist es aber auch möglich, den Benutzer des Anwenders in die Gruppe der Administratoren aufzunehmen. Wenn man nun die Berechtigugen auf diese Gruppe anpassen könnte, könnte man solch ein Hintertürchen schließen.
Vielen Dank für euere Antworten
Please also mark the comments that contributed to the solution of the article
Content-Key: 188861
Url: https://administrator.de/contentid/188861
Printed on: April 25, 2024 at 22:04 o'clock
9 Comments
Latest comment
halli hallo Hallöle
Warum sollte das nicht gehen? Wäre mir jetzt neu, das es nicht geht.
Wenn Du einen Benutzer oder eine Gruppe aus dem AD in die lokale Benutzergruppe Administratoren aufnimmst hat er lokale Administratorenberechtigungen.
Gruss Penny.
weiß jemand, ob es eine Möglichekeit gibt, in Windows 7 Berechtigungen auf lokale Gruppen zu setzten? Bei Gruppen im
Active Directory geht dies in der Lasche Sicherheit.
Active Directory geht dies in der Lasche Sicherheit.
Warum sollte das nicht gehen? Wäre mir jetzt neu, das es nicht geht.
Hintergrund meiner Frage ist folgender:
Um mehr Sicherheit gegen Viren zu gewährleisten, möchte ich unseren Usern keine Admin-Rechte mehr auf den Workstations
geben. Nun gibt es aber immer wieder Situation, wo doch Admin-Rechte benötigt werden. Deshalb war meine Idee, einen lokalen
Benutzer auf den Workstations anzulegen, der Admin-Rechte hat. Über die UAC-Abfrage kann dieser dann im Bedarfsfall vom
Anwender verwendet werden. Damit ist es aber auch möglich, den Benutzer des Anwenders in die Gruppe der Administratoren
aufzunehmen. Wenn man nun die Berechtigugen auf diese Gruppe anpassen könnte, könnte man solch ein Hintertürchen
schließen.
Um mehr Sicherheit gegen Viren zu gewährleisten, möchte ich unseren Usern keine Admin-Rechte mehr auf den Workstations
geben. Nun gibt es aber immer wieder Situation, wo doch Admin-Rechte benötigt werden. Deshalb war meine Idee, einen lokalen
Benutzer auf den Workstations anzulegen, der Admin-Rechte hat. Über die UAC-Abfrage kann dieser dann im Bedarfsfall vom
Anwender verwendet werden. Damit ist es aber auch möglich, den Benutzer des Anwenders in die Gruppe der Administratoren
aufzunehmen. Wenn man nun die Berechtigugen auf diese Gruppe anpassen könnte, könnte man solch ein Hintertürchen
schließen.
Wenn Du einen Benutzer oder eine Gruppe aus dem AD in die lokale Benutzergruppe Administratoren aufnimmst hat er lokale Administratorenberechtigungen.
Gruss Penny.
Hi
das funktioniert so nicht. Sobald einer lokaler Admins ist kann er alles ändern. Du kannst aber eine neue Gruppe anlegen und dieser Gruppe die benötigten Rechte konfigurieren. Dann die USer in die Gruppe hinzufügen.
Kommt halt drauf an wop genau du Adminrechte brauchst (software installieren, etc..)
LG
das funktioniert so nicht. Sobald einer lokaler Admins ist kann er alles ändern. Du kannst aber eine neue Gruppe anlegen und dieser Gruppe die benötigten Rechte konfigurieren. Dann die USer in die Gruppe hinzufügen.
Kommt halt drauf an wop genau du Adminrechte brauchst (software installieren, etc..)
LG
Moin.
Einzige Lösung: Schalte die Überwachung ein. So bekommst Du mit, wenn die Gruppenmitgliedschaft geändert wird. Admins können zwar das Logging abschalten, jedoch wird auch dies bemerkt und geloggt und die Überwachung ist somit wasserdicht.
Weg: ->secpol.msc->lok. Richtlinie->Überwachungsrichtlinie->Kontenverwaltung überwachen->aktivieren (Haken bei erfolgreich)
Damit man es auch mitbekommt, schalte ein, dass Du eventgetriggert Mails bekommst.
Weg: ->oberen Weg durchführen, dann ein Adminkonto erzeugen, dann das zugehörige Ereignis im Sicherheitseventlog raussuchen und rechtsklicken ->Aufgabe an dieses Ereignis anfügen->E-Mail senden (Mailkonfig setzen).
So wirst Du sofort informiert, wenn der Rechner am Netz ist (um Domänenkonten zur lokalen Admingruppe hinzuzufügen, muss er am Netz sein).
Edit: ACLs auf die Gruppe setzen (Deine eigentliche Anforderung) geht nicht.
Einzige Lösung: Schalte die Überwachung ein. So bekommst Du mit, wenn die Gruppenmitgliedschaft geändert wird. Admins können zwar das Logging abschalten, jedoch wird auch dies bemerkt und geloggt und die Überwachung ist somit wasserdicht.
Weg: ->secpol.msc->lok. Richtlinie->Überwachungsrichtlinie->Kontenverwaltung überwachen->aktivieren (Haken bei erfolgreich)
Damit man es auch mitbekommt, schalte ein, dass Du eventgetriggert Mails bekommst.
Weg: ->oberen Weg durchführen, dann ein Adminkonto erzeugen, dann das zugehörige Ereignis im Sicherheitseventlog raussuchen und rechtsklicken ->Aufgabe an dieses Ereignis anfügen->E-Mail senden (Mailkonfig setzen).
So wirst Du sofort informiert, wenn der Rechner am Netz ist (um Domänenkonten zur lokalen Admingruppe hinzuzufügen, muss er am Netz sein).
Edit: ACLs auf die Gruppe setzen (Deine eigentliche Anforderung) geht nicht.