9
Berechtigungen auf lokale Gruppen setzten
Hallo,
weiß jemand, ob es eine Möglichekeit gibt, in Windows 7 Berechtigungen auf lokale Gruppen zu setzten? Bei Gruppen im Active Directory geht dies in der Lasche Sicherheit.
Hintergrund meiner Frage ist folgender:
Um mehr Sicherheit gegen Viren zu gewährleisten, möchte ich unseren Usern keine Admin-Rechte mehr auf den Workstations geben. Nun gibt es aber immer wieder Situation, wo doch Admin-Rechte benötigt werden. Deshalb war meine Idee, einen lokalen Benutzer auf den Workstations anzulegen, der Admin-Rechte hat. Über die UAC-Abfrage kann dieser dann im Bedarfsfall vom Anwender verwendet werden. Damit ist es aber auch möglich, den Benutzer des Anwenders in die Gruppe der Administratoren aufzunehmen. Wenn man nun die Berechtigugen auf diese Gruppe anpassen könnte, könnte man solch ein Hintertürchen schließen.
Vielen Dank für euere Antworten
weiß jemand, ob es eine Möglichekeit gibt, in Windows 7 Berechtigungen auf lokale Gruppen zu setzten? Bei Gruppen im Active Directory geht dies in der Lasche Sicherheit.
Hintergrund meiner Frage ist folgender:
Um mehr Sicherheit gegen Viren zu gewährleisten, möchte ich unseren Usern keine Admin-Rechte mehr auf den Workstations geben. Nun gibt es aber immer wieder Situation, wo doch Admin-Rechte benötigt werden. Deshalb war meine Idee, einen lokalen Benutzer auf den Workstations anzulegen, der Admin-Rechte hat. Über die UAC-Abfrage kann dieser dann im Bedarfsfall vom Anwender verwendet werden. Damit ist es aber auch möglich, den Benutzer des Anwenders in die Gruppe der Administratoren aufzunehmen. Wenn man nun die Berechtigugen auf diese Gruppe anpassen könnte, könnte man solch ein Hintertürchen schließen.
Vielen Dank für euere Antworten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 188861
Url: https://administrator.de/contentid/188861
Printed on: April 16, 2024 at 16:04 o'clock
9 Comments
Latest comment
halli hallo Hallöle
Warum sollte das nicht gehen? Wäre mir jetzt neu, das es nicht geht.
Wenn Du einen Benutzer oder eine Gruppe aus dem AD in die lokale Benutzergruppe Administratoren aufnimmst hat er lokale Administratorenberechtigungen.
Gruss Penny.
weiß jemand, ob es eine Möglichekeit gibt, in Windows 7 Berechtigungen auf lokale Gruppen zu setzten? Bei Gruppen im
Active Directory geht dies in der Lasche Sicherheit.
Active Directory geht dies in der Lasche Sicherheit.
Warum sollte das nicht gehen? Wäre mir jetzt neu, das es nicht geht.
Hintergrund meiner Frage ist folgender:
Um mehr Sicherheit gegen Viren zu gewährleisten, möchte ich unseren Usern keine Admin-Rechte mehr auf den Workstations
geben. Nun gibt es aber immer wieder Situation, wo doch Admin-Rechte benötigt werden. Deshalb war meine Idee, einen lokalen
Benutzer auf den Workstations anzulegen, der Admin-Rechte hat. Über die UAC-Abfrage kann dieser dann im Bedarfsfall vom
Anwender verwendet werden. Damit ist es aber auch möglich, den Benutzer des Anwenders in die Gruppe der Administratoren
aufzunehmen. Wenn man nun die Berechtigugen auf diese Gruppe anpassen könnte, könnte man solch ein Hintertürchen
schließen.
Um mehr Sicherheit gegen Viren zu gewährleisten, möchte ich unseren Usern keine Admin-Rechte mehr auf den Workstations
geben. Nun gibt es aber immer wieder Situation, wo doch Admin-Rechte benötigt werden. Deshalb war meine Idee, einen lokalen
Benutzer auf den Workstations anzulegen, der Admin-Rechte hat. Über die UAC-Abfrage kann dieser dann im Bedarfsfall vom
Anwender verwendet werden. Damit ist es aber auch möglich, den Benutzer des Anwenders in die Gruppe der Administratoren
aufzunehmen. Wenn man nun die Berechtigugen auf diese Gruppe anpassen könnte, könnte man solch ein Hintertürchen
schließen.
Wenn Du einen Benutzer oder eine Gruppe aus dem AD in die lokale Benutzergruppe Administratoren aufnimmst hat er lokale Administratorenberechtigungen.
Gruss Penny.
Hi Penny,
Vielen Dank für deine schnelle Reaktion.
mein Problem ist nicht, einen Benuzer in die lokale Admingruppe aufzunehmen.
Ich möchte verhindern, dass jemand die Mitgliedschaften der lokalen Gruppe "Administratoren" verändert, selbst wenn ein Benutzer schon Mitglied dieser Gruppe ist. Indem Moment hat der Benutzer ja Admin-Rechte auf dem gesamten PC. Nun dachte ich, es wäre möglich die Sicherheitsberechtigungen der lokalen Gruppe "Administratoren" zu ändern, dass außer dem eigentlichen Administrator alle anderen Benutzer nur lesenden Zugriff auf die Gruppe erhalten. Somit wären sie Admins auf dem PC, können die Gruppe der Administratoren aber trotzdem nicht ändern. Dies kann man im Active Directory machen, indem man die Eigenschaften einer Gruppe aufruft und dort in der Lasche Sicherheit die Berechtigungen anpasst. Bei lokalen Gruppen gibt es aber die Lasche Sicherheit in den Eigenschaften aber nicht....
Vielleicht hat ja jemand auch noch einen anderen Ansatz mein Problem zu lösen?
Vielen Dank im Voraus
Björn
Vielen Dank für deine schnelle Reaktion.
mein Problem ist nicht, einen Benuzer in die lokale Admingruppe aufzunehmen.
Ich möchte verhindern, dass jemand die Mitgliedschaften der lokalen Gruppe "Administratoren" verändert, selbst wenn ein Benutzer schon Mitglied dieser Gruppe ist. Indem Moment hat der Benutzer ja Admin-Rechte auf dem gesamten PC. Nun dachte ich, es wäre möglich die Sicherheitsberechtigungen der lokalen Gruppe "Administratoren" zu ändern, dass außer dem eigentlichen Administrator alle anderen Benutzer nur lesenden Zugriff auf die Gruppe erhalten. Somit wären sie Admins auf dem PC, können die Gruppe der Administratoren aber trotzdem nicht ändern. Dies kann man im Active Directory machen, indem man die Eigenschaften einer Gruppe aufruft und dort in der Lasche Sicherheit die Berechtigungen anpasst. Bei lokalen Gruppen gibt es aber die Lasche Sicherheit in den Eigenschaften aber nicht....
Vielleicht hat ja jemand auch noch einen anderen Ansatz mein Problem zu lösen?
Vielen Dank im Voraus
Björn
Moin Björn,
einen wirkliche Lösung gibt es leider nicht.
Wir haben z.B. noch Programme im Einsatz die explizit einen Adminbenutzer benötigen.
Grüße,
Dani
einen wirkliche Lösung gibt es leider nicht.
Wir haben z.B. noch Programme im Einsatz die explizit einen Adminbenutzer benötigen.
Grüße,
Dani
Hi
das funktioniert so nicht. Sobald einer lokaler Admins ist kann er alles ändern. Du kannst aber eine neue Gruppe anlegen und dieser Gruppe die benötigten Rechte konfigurieren. Dann die USer in die Gruppe hinzufügen.
Kommt halt drauf an wop genau du Adminrechte brauchst (software installieren, etc..)
LG
das funktioniert so nicht. Sobald einer lokaler Admins ist kann er alles ändern. Du kannst aber eine neue Gruppe anlegen und dieser Gruppe die benötigten Rechte konfigurieren. Dann die USer in die Gruppe hinzufügen.
Kommt halt drauf an wop genau du Adminrechte brauchst (software installieren, etc..)
LG
Moin.
Einzige Lösung: Schalte die Überwachung ein. So bekommst Du mit, wenn die Gruppenmitgliedschaft geändert wird. Admins können zwar das Logging abschalten, jedoch wird auch dies bemerkt und geloggt und die Überwachung ist somit wasserdicht.
Weg: ->secpol.msc->lok. Richtlinie->Überwachungsrichtlinie->Kontenverwaltung überwachen->aktivieren (Haken bei erfolgreich)
Damit man es auch mitbekommt, schalte ein, dass Du eventgetriggert Mails bekommst.
Weg: ->oberen Weg durchführen, dann ein Adminkonto erzeugen, dann das zugehörige Ereignis im Sicherheitseventlog raussuchen und rechtsklicken ->Aufgabe an dieses Ereignis anfügen->E-Mail senden (Mailkonfig setzen).
So wirst Du sofort informiert, wenn der Rechner am Netz ist (um Domänenkonten zur lokalen Admingruppe hinzuzufügen, muss er am Netz sein).
Edit: ACLs auf die Gruppe setzen (Deine eigentliche Anforderung) geht nicht.
Einzige Lösung: Schalte die Überwachung ein. So bekommst Du mit, wenn die Gruppenmitgliedschaft geändert wird. Admins können zwar das Logging abschalten, jedoch wird auch dies bemerkt und geloggt und die Überwachung ist somit wasserdicht.
Weg: ->secpol.msc->lok. Richtlinie->Überwachungsrichtlinie->Kontenverwaltung überwachen->aktivieren (Haken bei erfolgreich)
Damit man es auch mitbekommt, schalte ein, dass Du eventgetriggert Mails bekommst.
Weg: ->oberen Weg durchführen, dann ein Adminkonto erzeugen, dann das zugehörige Ereignis im Sicherheitseventlog raussuchen und rechtsklicken ->Aufgabe an dieses Ereignis anfügen->E-Mail senden (Mailkonfig setzen).
So wirst Du sofort informiert, wenn der Rechner am Netz ist (um Domänenkonten zur lokalen Admingruppe hinzuzufügen, muss er am Netz sein).
Edit: ACLs auf die Gruppe setzen (Deine eigentliche Anforderung) geht nicht.
Vielen dank für eure zahlreichen Antworten. ich habe mir jetzt mit einer Gruppenrichtlinie beholfen und über "Computer Configuration - Policies - Windows Settings - Security Settings - Restricted Groups" die Mitglieder der Administratoren vorgegeben. Für meine Anforderungen reicht das als Lösung aus.
Es stellt kein Problem dar, das wieder zurück zu ändern. Du verbesserst Deine Situation auf diese Weise nicht.
naja...bei der nächsten Umsetzung der Gruppenrichtlinie werden die Mitgliedschaften aber wieder überschrieben, sofern der Anwender diese zuvor geändert hat. Damit erreiche ich, dass der Anwender nicht unter einem Account mit Admin-Rechten arbeitet, kann ihm gleichzeitig aber einen lokalen Account mit Admin-Rechten bereitstellen, der in der UAC-Abfrage verwendet werden kann.
Ein lokaler Admin kann, wenn er böswillig und versiert ist (und das unterstellst Du mit der Anfrage), die Übernahme dieser Gruppenrichtlinie stoppen. Meinen Vorschlag kann er nicht stoppen.