8
ADministratoren haben Zugriff auf alle Benutzerprofile (das soll raus)
Hallo zusammen,
bei uns ist die Gruppe der Administratoren berechtigt alle Benutzerprofile zu öffnen (C:\Dokumenten und Einstellungen\....)
Dies soll und darf bei uns nicht so sein. Gibt es eine Möglichkeit dies schnell und Unkompliziert zu lösen ohne jedes Benutzerprofil einzeln anpacken zu müssen (dies wären über 150).
GPO Computerkonfiguration-Administrative Vorlagen-Benutzerprofile-"SIcherheitsgruppe Administratoren zu servergespeicherten Profilen hinzufügen" ist schon deaktiviert, hatte keinerlei Auswirkungen.
Vielen Dank schonmal für die Hilfe
bei uns ist die Gruppe der Administratoren berechtigt alle Benutzerprofile zu öffnen (C:\Dokumenten und Einstellungen\....)
Dies soll und darf bei uns nicht so sein. Gibt es eine Möglichkeit dies schnell und Unkompliziert zu lösen ohne jedes Benutzerprofil einzeln anpacken zu müssen (dies wären über 150).
GPO Computerkonfiguration-Administrative Vorlagen-Benutzerprofile-"SIcherheitsgruppe Administratoren zu servergespeicherten Profilen hinzufügen" ist schon deaktiviert, hatte keinerlei Auswirkungen.
Vielen Dank schonmal für die Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 108440
Url: https://administrator.de/contentid/108440
Printed on: April 23, 2024 at 13:04 o'clock
8 Comments
Latest comment
Hallo,
ich weiß nicht wozu das gut sein soll, aber dann müsstest du auch den Lokalen Admin entfernen...aber ansonsten solltest du das über die Rechtevergabe des betreffenden Ordners einstellen können..
lg casi
ich weiß nicht wozu das gut sein soll, aber dann müsstest du auch den Lokalen Admin entfernen...aber ansonsten solltest du das über die Rechtevergabe des betreffenden Ordners einstellen können..
lg casi
Hi,
es gibt einen Grund, warum Administratoren auf alles zugreifen koennen. Wenn dies nicht gewuenscht ist, habt ihr vermutlich eher ein organisatorisches Problem als denn ein technisches.
mfg, Tz
es gibt einen Grund, warum Administratoren auf alles zugreifen koennen. Wenn dies nicht gewuenscht ist, habt ihr vermutlich eher ein organisatorisches Problem als denn ein technisches.
mfg, Tz
Rein Datenschutztechnisch dürfen wir nicht in jedes Profil schauen. Ich könnte ja so sehen was meien Chefin so nettes schreibt über mich etc.
Das Problem stellt sich so da das aus irgendwelchen Gründen unsere alte Wartungsfirma normal sterbliche zu lokalen Administratoren ernannt hat und eben diese können nun überall stöbern.
Wenn ich die normal Sterblichen aus den lokalen ADmins nehme kriegen die USer Fehlermeldungen vorallem mit Office.
Da wir mit der Wartungsfirma im Prozess stehen ist Hilfe Ihrerseits nicht möglich! Schade hab gedacht eventuell gäbe es ne schnelle Lösung
Das Problem stellt sich so da das aus irgendwelchen Gründen unsere alte Wartungsfirma normal sterbliche zu lokalen Administratoren ernannt hat und eben diese können nun überall stöbern.
Wenn ich die normal Sterblichen aus den lokalen ADmins nehme kriegen die USer Fehlermeldungen vorallem mit Office.
Da wir mit der Wartungsfirma im Prozess stehen ist Hilfe Ihrerseits nicht möglich! Schade hab gedacht eventuell gäbe es ne schnelle Lösung
Zitat von @JodecPmP:
Wenn ich die normal Sterblichen aus den lokalen ADmins nehme kriegen
die USer Fehlermeldungen vorallem mit Office.
Wenn ich die normal Sterblichen aus den lokalen ADmins nehme kriegen
die USer Fehlermeldungen vorallem mit Office.
Die Administratorengruppe kannst Du theoretisch schon rausnehmen, aber das löst Dein Problem ja nicht wirklich.
Versuch doch mal die "Normal-User" aus den lokalen Admins rauszunehmen aber bei den Hauptbenutzern hinzuzufügen. Das müsste ausreichen und damit haben sie keine Rechte auf fremde Profile.
Gruß
Jürgen
Moin Moin
Gruß L.
GPO Computerkonfiguration-Administrative Vorlagen-Benutzerprofile-"SIcherheitsgruppe Administratoren zu servergespeicherten Profilen hinzufügen" ist schon deaktiviert, hatte keinerlei Auswirkungen.
Ist nicht überraschend, da diese Einstellung nur Servergespeicherte Profile betrifft bzw. durch das "deaktivieren des hinzufügens" ja noch lange nichts entfernt wird.Rein Datenschutztechnisch dürfen wir nicht in jedes Profil schauen. Ich könnte ja so sehen was meien Chefin so nettes schreibt über mich etc.
Zumindest für Domänen Admin wirst du das nicht wirklich verhindern können.Das Problem stellt sich so da das aus irgendwelchen Gründen unsere alte Wartungsfirma normal sterbliche zu lokalen Administratoren ernannt hat und eben diese können nun überall stöbern.
Das ist natürlich totaler Mist. Und das soltest Du auch ändern.Wenn ich die normal Sterblichen aus den lokalen ADmins nehme kriegen die USer Fehlermeldungen vorallem mit Office.
Das halte ich für leichter zu lösen. Welche Office Version setzt Ihr ein?Gruß L.
Zitat von @JodecPmP:
Rein Datenschutztechnisch dürfen wir nicht in jedes Profil
schauen. Ich könnte ja so sehen was meien Chefin so nettes
schreibt über mich etc.
Rein Datenschutztechnisch dürfen wir nicht in jedes Profil
schauen. Ich könnte ja so sehen was meien Chefin so nettes
schreibt über mich etc.
Dürfen und können sind zwei Paar Schuhe. Das wissen auch die meisten Arbeitgeber. Wenn dieser den Administratoren nicht soweit vertrauen kann, muss eine der beiden Parteien gehen.
Wenn ich die normal Sterblichen aus den lokalen ADmins nehme kriegen
die USer Fehlermeldungen vorallem mit Office.
die USer Fehlermeldungen vorallem mit Office.
Dann würde ich mich hinsetzen und versuchen herauszufinden, wo die Zugriffsbeschränken auftreten und notwendig sind. Oder den Tipp von Logan000 umsetzen.
Tz
Danke für deine Mühe
Office 2003 wird eingesetzt
Office 2003 wird eingesetzt
Moin Moin
So wie ich das sehe hast 2 Möglichkeiten:
1. An jedem PC dem lokalen Admin die Rechte an dem Profilen entziehen.
Das ist mühsam und auch etwas sinnlos das der lokale Admin sich diese rechte zurückholen kann.
2. Du nimmst den Anwendern die lokalen Adminrechte und arbeitest die erwähnten Fehlermneldungen ab. Diese Möglichkeit ist aus meiner Sicht klar vorzuziehen. Denn nur so kannst du sicherstellen das die Anwender sich nicht in die Profile schauen.
Office 2003 läuft auch ganz hervorragend ohne Adminrechte. Wie fast alle Programme.
Gruß L.
So wie ich das sehe hast 2 Möglichkeiten:
1. An jedem PC dem lokalen Admin die Rechte an dem Profilen entziehen.
Das ist mühsam und auch etwas sinnlos das der lokale Admin sich diese rechte zurückholen kann.
2. Du nimmst den Anwendern die lokalen Adminrechte und arbeitest die erwähnten Fehlermneldungen ab. Diese Möglichkeit ist aus meiner Sicht klar vorzuziehen. Denn nur so kannst du sicherstellen das die Anwender sich nicht in die Profile schauen.
Office 2003 läuft auch ganz hervorragend ohne Adminrechte. Wie fast alle Programme.
Gruß L.
