16
Alle User als lokale Administratoren?
Hallo zusammen,
bei dem einrichten der Domain wurden damals jeder User als lokaler Administrator angelegt.
Da sich unsere User oft auf anderen Rechnern anmelden, sehe ich hier Probleme. Denn Windows zieht bei jeder Anmeldung das Profil auf die Festplatte und auf diese Ordner hat jeder Zugriff.
So kann der User A auf die Eigenen Dateien, Cookies und evtl. sogar PST Datei von User B zugreifen, da die Dateien auf seiner Festplatte unter C:\Dok und Einst\ gespeichert sind.
Wenn ich die User aus der lokalen Admin Gruppe entferne, können die sich dann noch problemlos auf anderen Rechnern anmelden?
Danke
bei dem einrichten der Domain wurden damals jeder User als lokaler Administrator angelegt.
Da sich unsere User oft auf anderen Rechnern anmelden, sehe ich hier Probleme. Denn Windows zieht bei jeder Anmeldung das Profil auf die Festplatte und auf diese Ordner hat jeder Zugriff.
So kann der User A auf die Eigenen Dateien, Cookies und evtl. sogar PST Datei von User B zugreifen, da die Dateien auf seiner Festplatte unter C:\Dok und Einst\ gespeichert sind.
Wenn ich die User aus der lokalen Admin Gruppe entferne, können die sich dann noch problemlos auf anderen Rechnern anmelden?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 99278
Url: https://administrator.de/contentid/99278
Printed on: April 24, 2024 at 15:04 o'clock
16 Comments
Latest comment
Servus,
Yupp
Aber vorher den Grund herausfinden, warum das vorher jemand gemacht hat - evtl. läuft dann eine Software nicht mehr.
Was aber kein echter Grund ist - denn Registry (erst mit XP) und Ordner Berechtigungen kannst du auch "normalen" Domain Benutzern zukommen lassen - nur sind manche Admins dazu nicht in der Lage.
Ergo - probiere es erstmal bei 2-3 Kollegen aus - ob die Software noch läuft und wenn nicht, welche Änderungen du machen mußt.
PS: Im GPO für die User gibt es einen Reiter - dort kannst du auch einstellen, daß sich ein Benutzer nur an Maschine x y ud z anmelden darf - ist das leer - muß bei euch ja sein - dann kann der sich auch überall anmelden (außer auf einem Domaincontroller)
Gruß
Wenn ich die User aus der lokalen Admin Gruppe entferne, können die sich dann noch problemlos auf anderen Rechnern anmelden?
Yupp
Aber vorher den Grund herausfinden, warum das vorher jemand gemacht hat - evtl. läuft dann eine Software nicht mehr.
Was aber kein echter Grund ist - denn Registry (erst mit XP) und Ordner Berechtigungen kannst du auch "normalen" Domain Benutzern zukommen lassen - nur sind manche Admins dazu nicht in der Lage.
Ergo - probiere es erstmal bei 2-3 Kollegen aus - ob die Software noch läuft und wenn nicht, welche Änderungen du machen mußt.
PS: Im GPO für die User gibt es einen Reiter - dort kannst du auch einstellen, daß sich ein Benutzer nur an Maschine x y ud z anmelden darf - ist das leer - muß bei euch ja sein - dann kann der sich auch überall anmelden (außer auf einem Domaincontroller)
Gruß
Hallo,
zusätzlich zu Timos Ausführungen bleibt noch die Möglichkeit, die Profile beim Abmelden zu löschen. Mittelfristig sollten die Admin-Rechte aber wirklich weg.
Grüße, Steffen
zusätzlich zu Timos Ausführungen bleibt noch die Möglichkeit, die Profile beim Abmelden zu löschen. Mittelfristig sollten die Admin-Rechte aber wirklich weg.
Grüße, Steffen
Hallo Timo,
den Grund kenne ich. Als unsere Softwarefirma und bei dem Domainumzug half gab es eine Checkliste. Die User brauchten lokale Berechtigungen da eine Reihe Programme installiert werden musste. Ich vermute mal der Punkt "User als lokaler Admingruppe entfernen" wurde verschlampt.
Mein größtes Problem ist die Softwareinstallation, die dürfte ja dann nicht mehr möglich sein? Ich weiß das ist unüblich aber wir haben nur 20 User und Sicherheitseinstellungen, Passwörter etc. sind für die Firma fremd.
Nehmen wir also an ein User braucht ein Programm und kann es nicht installieren. Dann melde ich mich als Admin bei ihm an, installiere das.
Dann meldet er sich wieder an und hat das Programm doch garnicht oder?
Und wie sieht das aus wenn ich an dem Client Änderungen vornehmen will? Als User habe ich keine Berechtigungen, als Admin bin ich nicht mehr in dem Userprofil
Danke!
den Grund kenne ich. Als unsere Softwarefirma und bei dem Domainumzug half gab es eine Checkliste. Die User brauchten lokale Berechtigungen da eine Reihe Programme installiert werden musste. Ich vermute mal der Punkt "User als lokaler Admingruppe entfernen" wurde verschlampt.
Mein größtes Problem ist die Softwareinstallation, die dürfte ja dann nicht mehr möglich sein? Ich weiß das ist unüblich aber wir haben nur 20 User und Sicherheitseinstellungen, Passwörter etc. sind für die Firma fremd.
Nehmen wir also an ein User braucht ein Programm und kann es nicht installieren. Dann melde ich mich als Admin bei ihm an, installiere das.
Dann meldet er sich wieder an und hat das Programm doch garnicht oder?
Und wie sieht das aus wenn ich an dem Client Änderungen vornehmen will? Als User habe ich keine Berechtigungen, als Admin bin ich nicht mehr in dem Userprofil
Danke!
Servus,
naja - so ganz pauschal ist eine Antwort nicht wirklich drin..
Manche Software legt den Link (Verknüpfung) nur fpür den User an, der Sie installiert hat - in dem Fall mußt du die Links im Startmenü zu "All Users" kopieren. Manche/die meiste macht es sowiso schon so.
Ganz brutal - ist es natürlich auch möglich, dem User zum Zeitpunkt der Software installation temporär zum Admin zu machen - aber den Notnagel würde ich nur für die Hinterhand benutzen.
Kannst du das noch mal genauer erklären?
Wenn du den Benutzer nur Rechte wegnimmst - änderst du nichts an seiner internen Nummer (SID) - außer der Benutzer meldet sich direkt an dem Rechner und nicht an der Domain an. - Aber das wäre ja Humbug
Gruß
naja - so ganz pauschal ist eine Antwort nicht wirklich drin..
Manche Software legt den Link (Verknüpfung) nur fpür den User an, der Sie installiert hat - in dem Fall mußt du die Links im Startmenü zu "All Users" kopieren. Manche/die meiste macht es sowiso schon so.
Ganz brutal - ist es natürlich auch möglich, dem User zum Zeitpunkt der Software installation temporär zum Admin zu machen - aber den Notnagel würde ich nur für die Hinterhand benutzen.
als Admin bin ich nicht mehr in dem Userprofil
? Die Zeile versteh ich nicht ..Kannst du das noch mal genauer erklären?
Wenn du den Benutzer nur Rechte wegnimmst - änderst du nichts an seiner internen Nummer (SID) - außer der Benutzer meldet sich direkt an dem Rechner und nicht an der Domain an. - Aber das wäre ja Humbug
Gruß
Ich bin mir da nicht sicher, aber Programme speichern doch auch Dateien/Einstellungen in dem Profil unter Anwendungsdaten oder lokale Einstellungen?
Naja ich werde es einfach mal wie empfohlen bei 1-2 testen.
Beispiel: Dem Benutzer sind verschiedene Laufwerke nicht eingebunden. Mit seinem Konto kann ich das nicht ändern, wenn ich mich als Administrator anmelde bringt mir ein verbinden nicht viel da der Benutzer die ja kriegen soll.
Kann man Benutzer aus der lokalen Gruppe rauskicken oder muss ich dafür an den Rechner ;)
Naja ich werde es einfach mal wie empfohlen bei 1-2 testen.
als Admin bin ich nicht mehr in dem Userprofil
Beispiel: Dem Benutzer sind verschiedene Laufwerke nicht eingebunden. Mit seinem Konto kann ich das nicht ändern, wenn ich mich als Administrator anmelde bringt mir ein verbinden nicht viel da der Benutzer die ja kriegen soll.
Kann man Benutzer aus der lokalen Gruppe rauskicken oder muss ich dafür an den Rechner ;)
Kann man Benutzer aus der lokalen Gruppe rauskicken
Schau dir malnet user /?
an Dem Benutzer sind verschiedene Laufwerke nicht eingebunden
Habt Ihr ein Login script - oder wird das mappen "böse böse" über den Explorer erledigt?gruß
danke für den Tip 
Alle User haben ein persönliches Laufwerk gemappt, das habe ich im active directory hinterlegt
Dann gibt es einige User die auf spezielle Verzeichnisse müssen die habe ich dann per böseböse Explorer gemappt
Alle User haben ein persönliches Laufwerk gemappt, das habe ich im active directory hinterlegt
Dann gibt es einige User die auf spezielle Verzeichnisse müssen die habe ich dann per böseböse Explorer gemappt
Zitat von @nachtfuchs:
Ich weiß das ist unüblich aber wir haben nur 20 User und Sicherheitseinstellungen, Passwörter etc.
sind für die Firma fremd.
Ich weiß das ist unüblich aber wir haben nur 20 User und Sicherheitseinstellungen, Passwörter etc.
sind für die Firma fremd.
Das ist genau der Punkt warum so viele kleine Firmen so grosse Probleme mit Ihrer IT-Sicherheit haben.
Solange sich dieses Bewusstsein nicht aendert muss man damit auch leben das solche Firmen einer gewissen natuerlichen Auslese anheimfallen und vom Markt verschwinden. Jedenfalls nach dem ersten Sicherheitsvorfall.
Ich versuche es Schritt für Schritt zu verbessern, ich bin kein Systemadministrator, ich mache das nebenbei.
Einen Zusammenhang von IT-Sicherheit und einer Unternehmenspositionierung am Markt gibt es natürlich nicht. Hier spielen Faktoren wie Angebot & Nachfrage und die Leistungsfähigkeit des Kerngeschäftes eine Rolle.
Die IT-Sicherheit ist "nur" eine von verschiedenen Faktoren die die Infrastruktur definieren. Mehr nicht, es gibt viele existenzielle Gefahren. Eine Bombe kann auch jedes Unternehmen auslöschen, trotzdem sind Spürhunde keine zwingende Voraussetzung um Marktführer zu werden.
Einen Zusammenhang von IT-Sicherheit und einer Unternehmenspositionierung am Markt gibt es natürlich nicht. Hier spielen Faktoren wie Angebot & Nachfrage und die Leistungsfähigkeit des Kerngeschäftes eine Rolle.
Die IT-Sicherheit ist "nur" eine von verschiedenen Faktoren die die Infrastruktur definieren. Mehr nicht, es gibt viele existenzielle Gefahren. Eine Bombe kann auch jedes Unternehmen auslöschen, trotzdem sind Spürhunde keine zwingende Voraussetzung um Marktführer zu werden.
Da IT-Sicherheit fuer jedes Unternehmen ein kritischer Punkt ist besteht ein direkter Zusammenhang zwischen der Faehigkeit selbige umzusetzen und am Markt zu existieren.
Was nutzt es wenn ein Unternehmen im Kerngeschaeft leistungsfaehig war, es aber nach einem IT-Sicherheitsvorfall nicht mehr ist da die kritischen IT-Systeme nicht mehr verfuegbar sind?
Die Spuerhunde sind natuerlich eine Frage des Risikomanagments und demnach ist eine Bombe (im Moment) sicherlich nich sehr wahrscheinlich, die Weitergabe von Unternehmenskritischen Daten durch einen Mitarbeiter an den Konkurenten schon eher.
Desweiteren muss man es natuerlich auch kritisch sehen wenn die IT eben mal nebenbei gemacht wird. Man laesst ja seine Gas-/Wasserleitungen auch nicht von irgendjemanden nebenbei legen oder?
IT ist ein Kostenfaktor, IT-Sicherheit ist auch einer, aber es kostet doch fast nichts die elementaren Sicherheitsrichtlinien zu implementieren.
Solange dieses Denken anhaelt werden wir jeden Tag in den Nachrichten lesen koennen das "ploetzlich" Milionen von Datensaetzen in der Offentlichkeit zugaenglich sind.
Was nutzt es wenn ein Unternehmen im Kerngeschaeft leistungsfaehig war, es aber nach einem IT-Sicherheitsvorfall nicht mehr ist da die kritischen IT-Systeme nicht mehr verfuegbar sind?
Die Spuerhunde sind natuerlich eine Frage des Risikomanagments und demnach ist eine Bombe (im Moment) sicherlich nich sehr wahrscheinlich, die Weitergabe von Unternehmenskritischen Daten durch einen Mitarbeiter an den Konkurenten schon eher.
Desweiteren muss man es natuerlich auch kritisch sehen wenn die IT eben mal nebenbei gemacht wird. Man laesst ja seine Gas-/Wasserleitungen auch nicht von irgendjemanden nebenbei legen oder?
IT ist ein Kostenfaktor, IT-Sicherheit ist auch einer, aber es kostet doch fast nichts die elementaren Sicherheitsrichtlinien zu implementieren.
Solange dieses Denken anhaelt werden wir jeden Tag in den Nachrichten lesen koennen das "ploetzlich" Milionen von Datensaetzen in der Offentlichkeit zugaenglich sind.
(Bezieht sich nicht auf deinen Beitrag, Gagarin, der ist i.O.)
Genau solche Aussagen halte ich für kontraproduktiv. IT (-Sicherheit) verursacht hohe Kosten - daß muß den Leuten gesagt werden, bevor der erste Computer angeschafft wird.
Erst die Computer verkaufen und dann sagen, daß nun auch noch in Sicherheit investiert werden muß, scheint aber aktuell üblich...
Grüße, Steffen
... aber es kostet doch fast nichts die elementaren
Sicherheitsrichtlinien zu implementieren.
Sicherheitsrichtlinien zu implementieren.
Genau solche Aussagen halte ich für kontraproduktiv. IT (-Sicherheit) verursacht hohe Kosten - daß muß den Leuten gesagt werden, bevor der erste Computer angeschafft wird.
Erst die Computer verkaufen und dann sagen, daß nun auch noch in Sicherheit investiert werden muß, scheint aber aktuell üblich...
Grüße, Steffen
Ich glaube kaum das die Telekom eine andere Stellung am Markt hat nur weil Millionen von Datensätzen geknackt wurden.
Ich halte diese Diskussion für nicht sinnvoll. Es gibt wie gesagt wichtigere Faktoren für ein Unternehmen.
Das IT-Sicherheit unwichtig ist, hat keiner gesagt, sonst würde ich ja nicht diese Fragen stellen. Man kann aber nicht von heute auf Morgen alles umstellen und was in der Vergangenheit war interessiert mich nicht.
Ich halte diese Diskussion für nicht sinnvoll. Es gibt wie gesagt wichtigere Faktoren für ein Unternehmen.
Das IT-Sicherheit unwichtig ist, hat keiner gesagt, sonst würde ich ja nicht diese Fragen stellen. Man kann aber nicht von heute auf Morgen alles umstellen und was in der Vergangenheit war interessiert mich nicht.
Ignoranz ist natuerlich natuerlich auch eine Methode um mit Sicherheit umzugehen.
Man kann genau so sagen das es fuer ein Unternehmen wichtigere Dinge gibt als die Tueren vom Geschaeft abzuschliessen, aber dann darf man sicher hinterher nicht beschweren wenn am naechsten Tag der Laden leer ist.
Ich denke es kann nicht bestritten werden das der Wert der Marke "Deutsche Telekom" sehr gelitten. Wie viele Kunden haben denn Aufgrund der Vorfaelle gewechselt?
Lernen durch Schmerzen, das wird dann auch diejenigen ueberzeugen die heute zu faul sind die einfachsten Massnahmen durchzufuehren.
Der Gesetzgeber sollte erzwingen das solche Firmen, wenn Sie denn mit Kundendaten arbeiten, zertifiziert sein muessen.
Man kann genau so sagen das es fuer ein Unternehmen wichtigere Dinge gibt als die Tueren vom Geschaeft abzuschliessen, aber dann darf man sicher hinterher nicht beschweren wenn am naechsten Tag der Laden leer ist.
Ich denke es kann nicht bestritten werden das der Wert der Marke "Deutsche Telekom" sehr gelitten. Wie viele Kunden haben denn Aufgrund der Vorfaelle gewechselt?
Lernen durch Schmerzen, das wird dann auch diejenigen ueberzeugen die heute zu faul sind die einfachsten Massnahmen durchzufuehren.
Der Gesetzgeber sollte erzwingen das solche Firmen, wenn Sie denn mit Kundendaten arbeiten, zertifiziert sein muessen.
ich wiederhole nochmal meine Aussage "das IT-Sicherheit unwichtig ist, hat keiner gesagt, sonst würde ich ja nicht diese Fragen stellen."
Ich verstehe nicht warum diese Diskussion hier aufkommt. In unserer Firma ist die IT-Security eher locker, ich versuche sie nach und nach aufzubessern und stelle dazu hier fragen. Man muss jedoch hinterfragen welche Maßnahmen wirklich erforderlich sind und welche eher Schnick-Schnack sind die nur aufhalten.
Außerdem macht eine solche Diskussion in diesem Forum keinen Sinn, da die User hier nicht objektiv genug sind.
Einige Mitarbeiter kennen die Passwörter ihrer Kollegen, wir ändern diese auch nicht alle 4 Wochen. Trotzdem wird die Firma nicht daran zugrunde gehen.
Die wichtigen Daten sind geschützt. Und wenn ein Mitarbeiter auf dem Gruppenlaufwerk Daten löscht, merken wir das am nächsten Tag und importieren die Daten von der Sicherung.
Es gab einen großen Prozess um einen Mitarbeiter der Kinderpornos auf die Firmenserver heruntergeladen hat. Ich glaube die Firma musste richtig zahlen, aber meint ihr ernsthaft das Firmen auf soetwas reagieren und alle Websites sperren und nur gezielt freigeben? Niemals!
Ohne naiv zu sein sorgen übertriebene Sicherheitssysteme nur für ein schlechtes Arbeitsklima. Es gibt nichts schlimmeres als unmotivierte Mitarbeiter, daran kann eine Unternehmung scheitern. Denn dann werden Fehler in die Arbeit eingebaut, die kann selbst das beste Tool weder finden noch verhindern.
Man muss nicht immer alles machen, nur weil es geht. Man muss rational handeln, Vor- Nachteile und Risiken und deren Wahrscheinlichkeit abwägen.
Eine Tür 4-fach zu verstärken nur weil man Angst hat das ein Massenmörder durch die Tür kommen könnte ist genauso sinnlos wie übertriebene IT-Security die Mitarbeiter behindert und bremst.
Ich verstehe nicht warum diese Diskussion hier aufkommt. In unserer Firma ist die IT-Security eher locker, ich versuche sie nach und nach aufzubessern und stelle dazu hier fragen. Man muss jedoch hinterfragen welche Maßnahmen wirklich erforderlich sind und welche eher Schnick-Schnack sind die nur aufhalten.
Außerdem macht eine solche Diskussion in diesem Forum keinen Sinn, da die User hier nicht objektiv genug sind.
Einige Mitarbeiter kennen die Passwörter ihrer Kollegen, wir ändern diese auch nicht alle 4 Wochen. Trotzdem wird die Firma nicht daran zugrunde gehen.
Die wichtigen Daten sind geschützt. Und wenn ein Mitarbeiter auf dem Gruppenlaufwerk Daten löscht, merken wir das am nächsten Tag und importieren die Daten von der Sicherung.
Es gab einen großen Prozess um einen Mitarbeiter der Kinderpornos auf die Firmenserver heruntergeladen hat. Ich glaube die Firma musste richtig zahlen, aber meint ihr ernsthaft das Firmen auf soetwas reagieren und alle Websites sperren und nur gezielt freigeben? Niemals!
Ohne naiv zu sein sorgen übertriebene Sicherheitssysteme nur für ein schlechtes Arbeitsklima. Es gibt nichts schlimmeres als unmotivierte Mitarbeiter, daran kann eine Unternehmung scheitern. Denn dann werden Fehler in die Arbeit eingebaut, die kann selbst das beste Tool weder finden noch verhindern.
Man muss nicht immer alles machen, nur weil es geht. Man muss rational handeln, Vor- Nachteile und Risiken und deren Wahrscheinlichkeit abwägen.
Eine Tür 4-fach zu verstärken nur weil man Angst hat das ein Massenmörder durch die Tür kommen könnte ist genauso sinnlos wie übertriebene IT-Security die Mitarbeiter behindert und bremst.
Es macht auch keinen Sinn, eine Tür zu sichern und drei weitere offen zu lassen... Dein Konzept ist fehlerhaft.
Grüße, Steffen
Grüße, Steffen
Du schließt wohl auch dein Lenkrad und das Handschuhfach immer ab?
Langsam wirds albern. Ich habe den Thread bereits als gelöst markiert.
An einer off topic Diskussion bin ich nicht interessiert, es ist ein Administrator Forum.
Meine Fragen wurden alle sehr gut beantwortet, aber gemäß dem Motto
"Schuster bleib bei deinen Leisten" sollten wir es dabei belassen, vielen Dank.
Langsam wirds albern. Ich habe den Thread bereits als gelöst markiert.
An einer off topic Diskussion bin ich nicht interessiert, es ist ein Administrator Forum.
Meine Fragen wurden alle sehr gut beantwortet, aber gemäß dem Motto
"Schuster bleib bei deinen Leisten" sollten wir es dabei belassen, vielen Dank.
