10
ADS, W2KS, Richtlinien gesucht
Entziehen von Aktionsmöglichkeiten bestimmter Benutzer auf Servern
Guten Morgen,
ich suche nach einer Möglichkeit bestimmten Benutzern auf Servern die Möglichkeit zu entziehen, dass diese den Server herunterfahren oder neustarten. Andere wiederum sollen dies können.
Mein Ansatz sieht eine Richtlinie in der ADS der Windows 2000 Domäne vor, jedoch finde ich einen entpsrechenden Eintrag in der Richtlinienübersicht nicht.
www.gruppenrichtlinien.de liefert zwar allgemein nette Informationen doch keine zu konkret diesem Fall.
Kann mir da jemand weiterhelfen?
gruß, redrum
ich suche nach einer Möglichkeit bestimmten Benutzern auf Servern die Möglichkeit zu entziehen, dass diese den Server herunterfahren oder neustarten. Andere wiederum sollen dies können.
Mein Ansatz sieht eine Richtlinie in der ADS der Windows 2000 Domäne vor, jedoch finde ich einen entpsrechenden Eintrag in der Richtlinienübersicht nicht.
www.gruppenrichtlinien.de liefert zwar allgemein nette Informationen doch keine zu konkret diesem Fall.
Kann mir da jemand weiterhelfen?
gruß, redrum
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 10914
Url: https://administrator.de/contentid/10914
Printed on: April 24, 2024 at 12:04 o'clock
10 Comments
Latest comment
wenn du ihnen erst mal das Recht nimmst die Verwaltung aufzurufen sollte dein Problem gelöst sein (vielleicht auch nur erst mal) bis du eine andere Lösung gefunden hast... das ist aber der einzige Weg wie ich mir das Vorstellen könnte
Das bringt nicht wirklich viel. Die Benutzer, um die es mir geht müssen mit lokalen Administrations-Rechten arbeiten, sind jedoch nicht dafür zuständig das System zu warten und ggf. neuzustarten bzw. mir dann Bescheid zu geben.
Ziel ist es einem Benutzer lokale Adminrechte geben zu können, aber ihm nicht zu erlauben das System neuzustarten oder ähnlichen Unfug zu treiben.
gruß, redrum
Ziel ist es einem Benutzer lokale Adminrechte geben zu können, aber ihm nicht zu erlauben das System neuzustarten oder ähnlichen Unfug zu treiben.
gruß, redrum
ok, Einverstanden... ich könnte mir denken daß das dann ein Eintrag in der Registry ist, auf den die Benutzer keinen Zugriff mehr haben dürfen.... einen direkten Eintrag in der Übersicht wirst du nicht finden.
Aber du kannst den Benutzern in der Systemsteuerung bestimmte Symbole ausblenden und den Zugriff auf die Verwaltung generell verbieten...
Aber wenn sie die Adminrechte Lokal brauchen, wieso melden die sich denn an deiner Domäne an? Wäre es nicht sinnvoller ihnen die Adminrechte auf den lokalen Maschinen zu geben aber in der Domäne nur Benutzer sind?
Aber du kannst den Benutzern in der Systemsteuerung bestimmte Symbole ausblenden und den Zugriff auf die Verwaltung generell verbieten...
Aber wenn sie die Adminrechte Lokal brauchen, wieso melden die sich denn an deiner Domäne an? Wäre es nicht sinnvoller ihnen die Adminrechte auf den lokalen Maschinen zu geben aber in der Domäne nur Benutzer sind?
Dem ist auch so.
Sie melden Sich mit ihrem Domänenbenutzer meist via rdp an der Maschine an und haben in dem Moment lokale Administratorrechte. Das heisst jedoch auch, dass Sie das Ding dann neustarten können.. und auch machen (gelegentlich).
Die Icons in der Verwaltung zu nehmen wird schwierig bis gar unmöglich. Irgendwann kommt der Moment, andem die wichtigen Icons (nicht Anzeige und Sound, etc) wieder benötigt werden. Es handelt sich bei der Benutzergruppe um die es mir geht um Datenbank-Administratoren, d.h. die Verwaltung sollte schon zugänglich sein (von wegen ODCB u.ä.).
gruß, redrum
Sie melden Sich mit ihrem Domänenbenutzer meist via rdp an der Maschine an und haben in dem Moment lokale Administratorrechte. Das heisst jedoch auch, dass Sie das Ding dann neustarten können.. und auch machen (gelegentlich).
Die Icons in der Verwaltung zu nehmen wird schwierig bis gar unmöglich. Irgendwann kommt der Moment, andem die wichtigen Icons (nicht Anzeige und Sound, etc) wieder benötigt werden. Es handelt sich bei der Benutzergruppe um die es mir geht um Datenbank-Administratoren, d.h. die Verwaltung sollte schon zugänglich sein (von wegen ODCB u.ä.).
gruß, redrum
Hallo redrum,
Habe etwas in den lokalen Sicherheitsrichtlinien gefunden !
Unter dem Punkt Sicherheitseinstellungen->Lokale Richtlinien->Zuweisen von Benutzerrechten gibt es einen Punkt Herunterfahren des Systems. Hier kannst du einstellen wer diesen PC Herunterfahren darf und wer nicht.
Wie du den Punkt Lokale Sicherheitseinstellungen gesperrt bekommst guck ich mal nach ....
Gruß Enne
Nachtrag : beim Punkt lokale Sicherheitseinstellungen könntest du die %SystemRoot%\system32\secpol.msc /s mit Dateiberechtigung einschränken. Du setzt einfach bei der Datei verweigerungen für deine Helper-Admins ......
Korrigiert mich bitte wenn meine Idee nicht funktioniert !
Weiterer Gruß Enne
Habe etwas in den lokalen Sicherheitsrichtlinien gefunden !
Unter dem Punkt Sicherheitseinstellungen->Lokale Richtlinien->Zuweisen von Benutzerrechten gibt es einen Punkt Herunterfahren des Systems. Hier kannst du einstellen wer diesen PC Herunterfahren darf und wer nicht.
Wie du den Punkt Lokale Sicherheitseinstellungen gesperrt bekommst guck ich mal nach ....
Gruß Enne
Nachtrag : beim Punkt lokale Sicherheitseinstellungen könntest du die %SystemRoot%\system32\secpol.msc /s mit Dateiberechtigung einschränken. Du setzt einfach bei der Datei verweigerungen für deine Helper-Admins ......
Korrigiert mich bitte wenn meine Idee nicht funktioniert !
Weiterer Gruß Enne
Hallo Enne,
Danke für den Hinweis. Ich werde das gleich mal testen.
Ich melde mich dann wieder.
gruß, redrum
Danke für den Hinweis. Ich werde das gleich mal testen.
Ich melde mich dann wieder.
gruß, redrum
Steinigt mich bitte nicht, aber warum darf ein User nicht seine Lokale Workstation Neustarten, Herrunterfahren, ... ? Dies kann ich nicht Nachvolziehen.
Du hast die Möglichkeit eine Gruppenrichtlinie einzurichten, das User sich nur noch an-abmelden können.
MFG Metzger
Du hast die Möglichkeit eine Gruppenrichtlinie einzurichten, das User sich nur noch an-abmelden können.
MFG Metzger
Steinigt mich bitte nicht, aber warum darf
ein User nicht seine Lokale Workstation
Neustarten, Herrunterfahren, ... ?
ein User nicht seine Lokale Workstation
Neustarten, Herrunterfahren, ... ?
*woistmeinStein?*
Es geht nicht im WS, sondern vielmehr um ein paar Server. Die Datenbankadministratoren arbeiten auf den Servern mit ihren Datenbanken. Ab und an müssen die Systeme neugestartet werden, sei es wg. Softwareeinspielungen oder ähnlichem. Die Verantwortung für die Funktionsfähigkeit der Systeme liegt jedoch nicht bei den DB-Admins, sondern bei mir (und anderen). Wenn die DB-Admins nun der Meinung sind sie müssen den Server neustarten dann machen die das einfach und ich bekomme es erst mit, wenn der Server down ist.
Da gutes Zureden nichts bringt und Dokumentation teilweise ein Fremdwort ist, muss es halt auf diese Weise gelöst werden.
Gruß, redrum
@Metzger-MCP
Ich glaube er meint den Server auf dem sich die User via RDP anmelden.
Dann haben sie nämlich die Möglichkeit den Server runterzufahren.
Ingos Vorschlag in der Default Domain Controllers Policy umgesetzt sollte das verhindern.
Dann muss allerdings sichergestellt sein, dass den betreffenden Usern die Möglichkeit entzogen ist die Policy zu ändern
Ich glaube er meint den Server auf dem sich die User via RDP anmelden.
Dann haben sie nämlich die Möglichkeit den Server runterzufahren.
Ingos Vorschlag in der Default Domain Controllers Policy umgesetzt sollte das verhindern.
Dann muss allerdings sichergestellt sein, dass den betreffenden Usern die Möglichkeit entzogen ist die Policy zu ändern
So, Problem ist gelöst.
Ich habe endlich Zeit gefunden die Richtlinie durchzutesten und nun nur noch einzelnen Benutzern (systemadministratoren) die Möglichkeit gegeben die Server durchzustarten.
Vorgehensweise:
ADS
- Gruppenrichtlinie (Group Policy) erstellen auf der OU, die die Server-Objekte erhält
- Editiren der Richtlinie und unter "Computerkonfiguration/Windows Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Herunterfahren des Systems" aktivieren.
- Eine Gruppe, die alle berechtigten MA enthält, oder jeden MA einzeln der Richtlinie hinzufügen.
- Richtlinieneditor beenden und ggf. Vererbungsproblematiken prüfen.
- Warten bis die Server ihre neuen RIchtlinien sich abgeholt haben oder mit "secedit /refreshpolicy machine_policy /enforce" manuell anfordern.
- fertig.
Gruß, redrum
Ich habe endlich Zeit gefunden die Richtlinie durchzutesten und nun nur noch einzelnen Benutzern (systemadministratoren) die Möglichkeit gegeben die Server durchzustarten.
Vorgehensweise:
ADS
- Gruppenrichtlinie (Group Policy) erstellen auf der OU, die die Server-Objekte erhält
- Editiren der Richtlinie und unter "Computerkonfiguration/Windows Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Herunterfahren des Systems" aktivieren.
- Eine Gruppe, die alle berechtigten MA enthält, oder jeden MA einzeln der Richtlinie hinzufügen.
- Richtlinieneditor beenden und ggf. Vererbungsproblematiken prüfen.
- Warten bis die Server ihre neuen RIchtlinien sich abgeholt haben oder mit "secedit /refreshpolicy machine_policy /enforce" manuell anfordern.
- fertig.
Gruß, redrum
