guggenbichler
Goto Top

Frage zu Erstellung einer lokalen Hauptbenutzergruppe mit vollständigen Installationsrechten

Kann mir jemand helfen??? Habe lange Zeit schon im Forum gesucht, aber für mein konretes Problem noch nichts gefunden. Es geht um die Erstellung einer persönlichen Benutzergruppe, welche quasi zwischen Hauptbenutzer und Admin liegt.

Wir betreiben einen Windows2008-Server (dezidiert, als Webserver) und möchten einem Partner eingeschränkte Adminrechte geben zur Installation, Pflege und für Updates einer Software geben, welche wir später nutzen möchten. Der Partner soll allerdings keinen Zugriff auf Benutzerkonten, Firewall etc. haben. Die beschränkten Installationsrechte eines Hauptbenutzers für die Installation seiner Software und der Pflege, Updates etc. (siehe unten stehende Auflistung aus www.gruppenrichtlinien.de) reichen bei dieser Software nicht aus.

Es geht nur um lokale Nutzer, da wir keinen Domänencontroller betreiben. Ich habe bereits eine lokale Nutzergruppe "Gast_ADM" erstellt, weiß aber nun nicht, welche ADM-Vorlage für die vollständigen Installationsrechte (analog einer Administrators) notwendig sind.
______________________________________________________________________________________________________________
Was darf ein Hauptbenutzer, ein Benutzer nicht?
• Erstellen von lokalen Gruppen und Benutzern
• Veränderung von Gruppen und Benutzern, die sie selber erstellt haben.
• Erstellen und Löschen von Nicht-Administrativen Freigaben
• Erstellen, verwalten, löschen und freigeben von lokalen Druckern
• Veränderung der Systemzeit (per Default)
• Stoppen und starten von Diensten, die nicht automatisch gestartet werden
• Ändern Recht im Ordner Programme
• Ändern Rechte in diversen Unterschlüsseln von HKEY_LOCAL_MACHINE \Software
• Schreibzugriff auf den meisten Systemverzeichnissen, inkl. %windir% und %windir%\system32.

Durch diese Rechte ergeben sich:
• Installation von diversen Programmen auf dem Lokalen System, die nicht auf Schlüssel unterhalb von HKEY_LOCAL_MACHINE \System zugreifen und dort Veränderungen benötigen
______________________________________________________________________________________________________________

Vielen Dank und Sorry, wenn meine Suche im Forum einen bereits bestehenden Beitrag übersehen haben sollte.

Content-Key: 179099

Url: https://administrator.de/contentid/179099

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 18.01.2012 um 15:00:04 Uhr
Goto Top
Moin.

Zunächst einmal: es gibt keine Hauptbenutzer mehr. Das sollte sich langsam rumsprechen, dass diese Gruppe seit Vista/2008 Server nur noch namentlich aufgeführt wird, um Abwärtskompatibilität zu gewährleisten. Mitglieder dieser Gruppe haben KEINE erweiterten Rechte gegenüber schwachen Nutzern.

Dann: wie genau nehmt Ihr es denn mit der Sicherheit des Unterfangens? Man kann einiges machen, aber ein findiger Mensch wird daraus IMMER volle Adminrechte machen können.
Mitglied: nikoatit
nikoatit 18.01.2012 um 15:08:45 Uhr
Goto Top
Hilft wohl nur das du ihn zum Admin machst und ihn per schriftlichen Vertrag einige Rechte aberkennst.
Wenn er sich nicht dran hält, dann gleich das richtige Strafmaß dazuschreiben face-wink
Also quasi aufschreiben was er darf und was net...Und das soll er dir dan schön unterschreiben.
Mitglied: DerWoWusste
DerWoWusste 18.01.2012 um 16:09:49 Uhr
Goto Top
Das würde ich auch vorschlagen. Dazu gehört natürlich noch ein Kontrollmechanismus, der Mails verschickt bei "privilege use" - das wird nicht immer einfach einzurichten sein.