8
administrator mit eingeschränkten rechten einrichten, nur wie bzw. wo
keine registry-änderungen, keine neuen nutzer, keine änderungen an den netzwerkeinstellungen
hallo erstmal,
wir haben in unserer firma ein grosses sicherheitsproblem, dessen ich mich angenommen habe.
unsere techniker brauchen für ihre arbeit zwingend admin-rechte.
das ist in einer grossen firma aber immer problematisch, weshalb wir jetzt ihre rechte einschränken wollen, admins müssen sie aber bleiben.
sie sind keine lokalen benutzer, sondern melden sich über die domaine an.
folgende sachen wollen wir verbieten:
- sie sollen keine änderungen an der registry durchführen können. zur not reicht hier aber auch eine sperrung von regedit.
- PC-Name, ip, gateway, dns-server dürfen nicht verändert werden. ebenso änderungen an der domaine-zugehörigkeit.
- sie sollen keine neuen nutzer anlegen können.
habe schon auf gruppenrichtlinie.de nachgesehen, mit fehlt aber nach wie vor der durchblick. zudem weiss ich nicht ob so weitgehende beschneidungen der admin-rechte überhaupt möglich sind und wenn, wo ich dies einstellen kann.
hoffe auf eure mithilfe, ist mein erster auftrag dieser art (fange im september in dieser firma eine ausbildung an und arbeite jetzt seit 4 monaten im user-support). habe ende der woche ein meeting und soll dort berichten wie/ob eine verbesserung möglich ist - wäre natürlich schön wenn ich da was präsentieren könnte.
edit: unsere techniker haben auf allen PC´s WinXP, eine vista-migration ist nicht geplant
wir haben in unserer firma ein grosses sicherheitsproblem, dessen ich mich angenommen habe.
unsere techniker brauchen für ihre arbeit zwingend admin-rechte.
das ist in einer grossen firma aber immer problematisch, weshalb wir jetzt ihre rechte einschränken wollen, admins müssen sie aber bleiben.
sie sind keine lokalen benutzer, sondern melden sich über die domaine an.
folgende sachen wollen wir verbieten:
- sie sollen keine änderungen an der registry durchführen können. zur not reicht hier aber auch eine sperrung von regedit.
- PC-Name, ip, gateway, dns-server dürfen nicht verändert werden. ebenso änderungen an der domaine-zugehörigkeit.
- sie sollen keine neuen nutzer anlegen können.
habe schon auf gruppenrichtlinie.de nachgesehen, mit fehlt aber nach wie vor der durchblick. zudem weiss ich nicht ob so weitgehende beschneidungen der admin-rechte überhaupt möglich sind und wenn, wo ich dies einstellen kann.
hoffe auf eure mithilfe, ist mein erster auftrag dieser art (fange im september in dieser firma eine ausbildung an und arbeite jetzt seit 4 monaten im user-support). habe ende der woche ein meeting und soll dort berichten wie/ob eine verbesserung möglich ist - wäre natürlich schön wenn ich da was präsentieren könnte.
edit: unsere techniker haben auf allen PC´s WinXP, eine vista-migration ist nicht geplant
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 88050
Url: https://administrator.de/contentid/88050
Printed on: April 23, 2024 at 18:04 o'clock
8 Comments
Latest comment
Für was benötigen sie den Adminrechte? Zum Installieren von Programmen? Würde es nicht reichen sie zu Hauptbenutzern zu machen? Was für ein Server verwaltet die Domain?
Hallo john-long,
Du solltest dies mit Gruppenrichtlinien umsetzen können. Als ersten für die Techniker eine neue Benutzergruppe anlegen und dieser dann die entsprechenden Rechte geben / nehmen. Schau Dir mal den folgenden Link an, das sollte Dir weiterhelfen:
http://www.galileocomputing.de/openbook/microsoft_netzwerk/microsoft_ne ...
vg
Bytecounter
Du solltest dies mit Gruppenrichtlinien umsetzen können. Als ersten für die Techniker eine neue Benutzergruppe anlegen und dieser dann die entsprechenden Rechte geben / nehmen. Schau Dir mal den folgenden Link an, das sollte Dir weiterhelfen:
http://www.galileocomputing.de/openbook/microsoft_netzwerk/microsoft_ne ...
vg
Bytecounter
Microsofts Sicherheitskonzept sieht eigentlich vor, daß der Administrator-Account so gut wie nie verwendet wird. Man kann mittels Gruppenrichtlinien ganz gezielt jedem Benutzer die Rechte geben, die er braucht, auch für einzelne administrative Aufgaben. Man kann auch die Bearbeitungsrechte im AD an Benutzer delegieren, sogar wenn es sein muß für einzelne OUs.
Das ist zwar ein riesiger Aufwand, das alles so einzurichten, aber wenn man tatsächlich ein Sicherheitsproblem hat, muß man da wohl ran.
Siehe auch: http://www.microsoft.com/germany/technet/datenbank/articles/600379.mspx
Das ist zwar ein riesiger Aufwand, das alles so einzurichten, aber wenn man tatsächlich ein Sicherheitsproblem hat, muß man da wohl ran.
Siehe auch: http://www.microsoft.com/germany/technet/datenbank/articles/600379.mspx
servus,
die techniker reparieren handys für einen grossen deutschen mobilfunkbetreiber. sie müssen software sowie hardware ständig installieren und deinstallieren. auch meine idee war es, ihnen die rechte zu geben die sie dafür brauchen, aber halt als hauptbenutzer. da wurde mir aber ne absage erteilt - warum auch immer. ich seh zwar nicht wo der unterschied ist zwischen admins "downgraden" und alle in eine neue gruppe und die dann rechtemässig "upgraden", aber das soll hier auch nicht das problem sein. das kommt von oben und ich bin wohl kaum in der position, da was zu machen - werde es beim meeting aber auf jedenfall nochmal ansprechen.
wie man regedit sperrt weiss ich jetzt. Benutzerkonfiguration/Administrative Vorlagen/System muss eine einstellung aktiviert werden.
zu den restlichen punkten bin ich leider noch nicht fündig geworden, aber ich werde mich weiter durchkämpfen. tipps bzw wenn einer weiss, wo das zeug deaktiviert, sind natürlich weiterhin willkommen
die techniker reparieren handys für einen grossen deutschen mobilfunkbetreiber. sie müssen software sowie hardware ständig installieren und deinstallieren. auch meine idee war es, ihnen die rechte zu geben die sie dafür brauchen, aber halt als hauptbenutzer. da wurde mir aber ne absage erteilt - warum auch immer. ich seh zwar nicht wo der unterschied ist zwischen admins "downgraden" und alle in eine neue gruppe und die dann rechtemässig "upgraden", aber das soll hier auch nicht das problem sein. das kommt von oben und ich bin wohl kaum in der position, da was zu machen - werde es beim meeting aber auf jedenfall nochmal ansprechen.
wie man regedit sperrt weiss ich jetzt. Benutzerkonfiguration/Administrative Vorlagen/System muss eine einstellung aktiviert werden.
zu den restlichen punkten bin ich leider noch nicht fündig geworden, aber ich werde mich weiter durchkämpfen. tipps bzw wenn einer weiss, wo das zeug deaktiviert, sind natürlich weiterhin willkommen
Hallo,
andere Idee: Die Techniker bekommen für Ihre Tests einen eigenen Testrechner. Muss ja nicht jeder Techniker seinen eigenen Testrechner haben, je nach Auslastung eben.
Vor allem: Testrechner, an die fremde Geräte angeschlossen werden, in einem Firmennetzwerk zu betreiben, finde ich schon aus Gründen der Netzwerksicherheit nicht so pralle...
vg
Bytecounter
andere Idee: Die Techniker bekommen für Ihre Tests einen eigenen Testrechner. Muss ja nicht jeder Techniker seinen eigenen Testrechner haben, je nach Auslastung eben.
Vor allem: Testrechner, an die fremde Geräte angeschlossen werden, in einem Firmennetzwerk zu betreiben, finde ich schon aus Gründen der Netzwerksicherheit nicht so pralle...
vg
Bytecounter
danke für die tipps, aber wie gesagt, ich hab momentan nichtmal ne ausbildung. ich soll nur infos zusammentragen.
habe nurmehr 1 problem: den reiter "computername" bei den systemeigenschaften deaktivieren, damit man an der domaine und dem pc-namen nichtmehr rumspielen kannfür hilfe bin ich aber nach wie vor offen, denke hier haben schon einige sowas schonmal gemacht.
habe nurmehr 1 problem: den reiter "computername" bei den systemeigenschaften deaktivieren, damit man an der domaine und dem pc-namen nichtmehr rumspielen kannfür hilfe bin ich aber nach wie vor offen, denke hier haben schon einige sowas schonmal gemacht.
Schon mal SteadyState ausprobiert?
Hallo,
Der Unterschied ist, Admins können sich selbst 'upgraden'.
Grüße, Steffen
ich seh zwar nicht wo der unterschied ist zwischen
admins "downgraden" und alle in eine neue gruppe
und die dann rechtemässig "upgraden"
admins "downgraden" und alle in eine neue gruppe
und die dann rechtemässig "upgraden"
Der Unterschied ist, Admins können sich selbst 'upgraden'.
Grüße, Steffen
