5
Gegenseitigen Zugriff von Benutzern in Administratorengruppe auf lokale Kopien der Serverprofile sperren
Ich betreue einen Windows 2008 Domain-Server mit einigen XP-Clients.
Hallo,
nachdem die Benutzer der XP-Clients in einer Win2008-Server-Domain, für die ich zuständig bin, ständig neue Software installieren wollten, habe ich mich entschlossen die Nutzer zu der jeweils lokalen Administrator-Gruppe der Clients hinzuzufügen. Die Nutzer sind nun zufrieden, allerdings sind alle Profile jetzt von allen Benutzern lesbar. Ich würde gerne den Zustand wiederherstellen, in dem Versuche auf anderer Benutzer Profile zu klicken mit einer Fehlermeldung beantwortet wurden.
(Die Benutzer sind alles fähige Leute und insofern geht das mit den Admin-Rechten auch in Ordnung.)
Hat jemand eine Idee, wie ich dies erreichen kann?
Gruß, johhcc
nachdem die Benutzer der XP-Clients in einer Win2008-Server-Domain, für die ich zuständig bin, ständig neue Software installieren wollten, habe ich mich entschlossen die Nutzer zu der jeweils lokalen Administrator-Gruppe der Clients hinzuzufügen. Die Nutzer sind nun zufrieden, allerdings sind alle Profile jetzt von allen Benutzern lesbar. Ich würde gerne den Zustand wiederherstellen, in dem Versuche auf anderer Benutzer Profile zu klicken mit einer Fehlermeldung beantwortet wurden.
(Die Benutzer sind alles fähige Leute und insofern geht das mit den Admin-Rechten auch in Ordnung.)
Hat jemand eine Idee, wie ich dies erreichen kann?
Gruß, johhcc
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 126347
Url: https://administrator.de/contentid/126347
Printed on: April 16, 2024 at 23:04 o'clock
5 Comments
Latest comment
Nimm die Administratorengruppe aus den Sicherheitseinstellungen raus
LG
Edit: Das ist aber überflüssig, weil der Admin sich die Rechte wieder geben kann: Ergo würde ich meinen: Sinnlos und geht nicht
LG
Edit: Das ist aber überflüssig, weil der Admin sich die Rechte wieder geben kann: Ergo würde ich meinen: Sinnlos und geht nicht
Moin!
Nimm doch EFS - jeder verschlüsselt sein eigenes Profl.
Als Alternative solltest Du Dir mal die Möglichkeiten des Veröffentlichen von Softwares über eine GPO ansehen. Schwache Benutzer können so bei Bedarf veröff. Software nachinstallieren.
Nimm doch EFS - jeder verschlüsselt sein eigenes Profl.
Als Alternative solltest Du Dir mal die Möglichkeiten des Veröffentlichen von Softwares über eine GPO ansehen. Schwache Benutzer können so bei Bedarf veröff. Software nachinstallieren.
Hallo,
eine Möglichkeit wäre halt die Profile lokal per GPO zu löschen. Damit wäre das Problem eigentlich gelöst, denn auf die Profile auf dem Server kommen die Nutzer nicht unauthorisiert rauf. Allerdings ist es dann ziemlich unglücklich, wenn es Probleme mit dem Profilabgleich gibt oder der Server nicht verfügbar ist.
Gibt es noch eine andere Möglichkeit? Ich meine, dass bevor ich diese Änderung durchgeführt habe, man als lokaler Admin die Domain-Nutzer-Profile garnicht öffnen konnte, zumindest nicht indem man einfach den Ordner öffnete. Gibt es evtl. eine GPO zur Rechtevergabe bei Benutzerprofilen? Oder evtl. die Möglichkeit, dass nur Domain-Admins darauf Zugriff haben.
Verschlüsselung wäre schön, aber ich denke es nervt die Benutzer und das möchte ich vermeiden.
Das Veröffentlichen von Software werde ich mir bei Gelegenheit mal anschauen.
Danke für die Antworten,
johhcc
eine Möglichkeit wäre halt die Profile lokal per GPO zu löschen. Damit wäre das Problem eigentlich gelöst, denn auf die Profile auf dem Server kommen die Nutzer nicht unauthorisiert rauf. Allerdings ist es dann ziemlich unglücklich, wenn es Probleme mit dem Profilabgleich gibt oder der Server nicht verfügbar ist.
Gibt es noch eine andere Möglichkeit? Ich meine, dass bevor ich diese Änderung durchgeführt habe, man als lokaler Admin die Domain-Nutzer-Profile garnicht öffnen konnte, zumindest nicht indem man einfach den Ordner öffnete. Gibt es evtl. eine GPO zur Rechtevergabe bei Benutzerprofilen? Oder evtl. die Möglichkeit, dass nur Domain-Admins darauf Zugriff haben.
Verschlüsselung wäre schön, aber ich denke es nervt die Benutzer und das möchte ich vermeiden.
Das Veröffentlichen von Software werde ich mir bei Gelegenheit mal anschauen.
Danke für die Antworten,
johhcc
Verschlüsselung nervt? Und wieso? Das ist für den Benutzer komplett transparent, keine zusätzliche Kennworteingabe.
Danke für den Hinweis. Encryption File System scheint auch über Gruppenrichtlinien konfigurierbar zu sein und so Bestandteil von Windows zu sein. Das war mir nicht bewusst.
MFG, johhcc
MFG, johhcc
