Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ADS, W2KS, Richtlinien gesucht

Mitglied: redrum

redrum (Level 1) - Jetzt verbinden

20.05.2005, aktualisiert 26.05.2005, 4771 Aufrufe, 10 Kommentare

Entziehen von Aktionsmöglichkeiten bestimmter Benutzer auf Servern

Guten Morgen,

ich suche nach einer Möglichkeit bestimmten Benutzern auf Servern die Möglichkeit zu entziehen, dass diese den Server herunterfahren oder neustarten. Andere wiederum sollen dies können.
Mein Ansatz sieht eine Richtlinie in der ADS der Windows 2000 Domäne vor, jedoch finde ich einen entpsrechenden Eintrag in der Richtlinienübersicht nicht.
www.gruppenrichtlinien.de liefert zwar allgemein nette Informationen doch keine zu konkret diesem Fall.
Kann mir da jemand weiterhelfen?

gruß, redrum
Mitglied: 6035
20.05.2005 um 09:45 Uhr
wenn du ihnen erst mal das Recht nimmst die Verwaltung aufzurufen sollte dein Problem gelöst sein (vielleicht auch nur erst mal) bis du eine andere Lösung gefunden hast... das ist aber der einzige Weg wie ich mir das Vorstellen könnte
Bitte warten ..
Mitglied: redrum
20.05.2005 um 09:47 Uhr
Das bringt nicht wirklich viel. Die Benutzer, um die es mir geht müssen mit lokalen Administrations-Rechten arbeiten, sind jedoch nicht dafür zuständig das System zu warten und ggf. neuzustarten bzw. mir dann Bescheid zu geben.
Ziel ist es einem Benutzer lokale Adminrechte geben zu können, aber ihm nicht zu erlauben das System neuzustarten oder ähnlichen Unfug zu treiben.

gruß, redrum
Bitte warten ..
Mitglied: 6035
20.05.2005 um 09:57 Uhr
ok, Einverstanden... ich könnte mir denken daß das dann ein Eintrag in der Registry ist, auf den die Benutzer keinen Zugriff mehr haben dürfen.... einen direkten Eintrag in der Übersicht wirst du nicht finden.
Aber du kannst den Benutzern in der Systemsteuerung bestimmte Symbole ausblenden und den Zugriff auf die Verwaltung generell verbieten...
Aber wenn sie die Adminrechte Lokal brauchen, wieso melden die sich denn an deiner Domäne an? Wäre es nicht sinnvoller ihnen die Adminrechte auf den lokalen Maschinen zu geben aber in der Domäne nur Benutzer sind?
Bitte warten ..
Mitglied: redrum
20.05.2005 um 10:03 Uhr
Dem ist auch so.
Sie melden Sich mit ihrem Domänenbenutzer meist via rdp an der Maschine an und haben in dem Moment lokale Administratorrechte. Das heisst jedoch auch, dass Sie das Ding dann neustarten können.. und auch machen (gelegentlich).
Die Icons in der Verwaltung zu nehmen wird schwierig bis gar unmöglich. Irgendwann kommt der Moment, andem die wichtigen Icons (nicht Anzeige und Sound, etc) wieder benötigt werden. Es handelt sich bei der Benutzergruppe um die es mir geht um Datenbank-Administratoren, d.h. die Verwaltung sollte schon zugänglich sein (von wegen ODCB u.ä.).

gruß, redrum
Bitte warten ..
Mitglied: Enne
20.05.2005 um 10:12 Uhr
Hallo redrum,

Habe etwas in den lokalen Sicherheitsrichtlinien gefunden !

Unter dem Punkt Sicherheitseinstellungen->Lokale Richtlinien->Zuweisen von Benutzerrechten gibt es einen Punkt Herunterfahren des Systems. Hier kannst du einstellen wer diesen PC Herunterfahren darf und wer nicht.

Wie du den Punkt Lokale Sicherheitseinstellungen gesperrt bekommst guck ich mal nach ....

Gruß Enne



Nachtrag : beim Punkt lokale Sicherheitseinstellungen könntest du die %SystemRoot%\system32\secpol.msc /s mit Dateiberechtigung einschränken. Du setzt einfach bei der Datei verweigerungen für deine Helper-Admins ......

Korrigiert mich bitte wenn meine Idee nicht funktioniert !

Weiterer Gruß Enne
Bitte warten ..
Mitglied: redrum
20.05.2005 um 10:15 Uhr
Hallo Enne,

Danke für den Hinweis. Ich werde das gleich mal testen.
Ich melde mich dann wieder.

gruß, redrum
Bitte warten ..
Mitglied: Metzger-MCP
20.05.2005 um 10:51 Uhr
Steinigt mich bitte nicht, aber warum darf ein User nicht seine Lokale Workstation Neustarten, Herrunterfahren, ... ? Dies kann ich nicht Nachvolziehen.
Du hast die Möglichkeit eine Gruppenrichtlinie einzurichten, das User sich nur noch an-abmelden können.

MFG Metzger
Bitte warten ..
Mitglied: redrum
20.05.2005 um 11:17 Uhr
Steinigt mich bitte nicht, aber warum darf
ein User nicht seine Lokale Workstation
Neustarten, Herrunterfahren, ... ?

*woistmeinStein?*
Es geht nicht im WS, sondern vielmehr um ein paar Server. Die Datenbankadministratoren arbeiten auf den Servern mit ihren Datenbanken. Ab und an müssen die Systeme neugestartet werden, sei es wg. Softwareeinspielungen oder ähnlichem. Die Verantwortung für die Funktionsfähigkeit der Systeme liegt jedoch nicht bei den DB-Admins, sondern bei mir (und anderen). Wenn die DB-Admins nun der Meinung sind sie müssen den Server neustarten dann machen die das einfach und ich bekomme es erst mit, wenn der Server down ist.
Da gutes Zureden nichts bringt und Dokumentation teilweise ein Fremdwort ist, muss es halt auf diese Weise gelöst werden.

Gruß, redrum
Bitte warten ..
Mitglied: gemini
20.05.2005 um 11:27 Uhr
@Metzger-MCP
Ich glaube er meint den Server auf dem sich die User via RDP anmelden.
Dann haben sie nämlich die Möglichkeit den Server runterzufahren.

Ingos Vorschlag in der Default Domain Controllers Policy umgesetzt sollte das verhindern.
Dann muss allerdings sichergestellt sein, dass den betreffenden Usern die Möglichkeit entzogen ist die Policy zu ändern
Bitte warten ..
Mitglied: redrum
26.05.2005 um 12:09 Uhr
So, Problem ist gelöst.

Ich habe endlich Zeit gefunden die Richtlinie durchzutesten und nun nur noch einzelnen Benutzern (systemadministratoren) die Möglichkeit gegeben die Server durchzustarten.

Vorgehensweise:
ADS
- Gruppenrichtlinie (Group Policy) erstellen auf der OU, die die Server-Objekte erhält
- Editiren der Richtlinie und unter "Computerkonfiguration/Windows Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Herunterfahren des Systems" aktivieren.
- Eine Gruppe, die alle berechtigten MA enthält, oder jeden MA einzeln der Richtlinie hinzufügen.
- Richtlinieneditor beenden und ggf. Vererbungsproblematiken prüfen.
- Warten bis die Server ihre neuen RIchtlinien sich abgeholt haben oder mit "secedit /refreshpolicy machine_policy /enforce" manuell anfordern.
- fertig.

Gruß, redrum
Bitte warten ..
Ähnliche Inhalte
Windows Server
Richtlinien: Outlook Richtlinien fehlen?
gelöst Frage von Thomas2Windows Server1 Kommentar

Hallo zusammen, ich möchte Richtlinien für Outlook festlegen, jedoch kann ich keine Einträge am Domänencontroller finden, die dafür zuständig ...

Erkennung und -Abwehr

Richtlinien für Softwareeinschränkungen

Frage von 127944Erkennung und -Abwehr3 Kommentare

Hallo zusammen, ich habe mich bisher mit dem Thema "Richtlinien für Softwareeinschränkungen" noch nicht beschäftigt. Aufgrund der ganzen aktuellen ...

Samba

Verknüpfung von ADS- und Linux Gruppen

gelöst Frage von 98500Samba19 Kommentare

Hey@ALL Folgende Frage. Ich habe in meinem ADS diverse Gruppen angelegt: Beispiel: - ADS_01_Leitung - ADS_02_Vertrieb - ADS_03_ Buchhaltung ...

Windows Userverwaltung

Welche Richtlinien zieht sich User XYZ

gelöst Frage von Julian92Windows Userverwaltung3 Kommentare

Hallo zusammen, wenn man eine GPO erstellt, dann legt man fest für welche User/Gruppen die Richtlinie gilt. Wie kann ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 14 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 20 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 1 TagSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server25 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless22 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

SAN, NAS, DAS
Qnap TS-453S Pro - Anbindung Active Directory
Frage von JuckieSAN, NAS, DAS13 Kommentare

Hallo zusammen, ich habe hier eine Qnap TS-453S Pro die sich mal so absolut gar nicht in das Active ...