Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

User mit lokalen Adminrechten in eingeschränkten User ändern !?

Mitglied: markus-sinzig

markus-sinzig (Level 1) - Jetzt verbinden

17.10.2011 um 09:43 Uhr, 4139 Aufrufe, 9 Kommentare

Hallo zusammen,

folgende Situation:

Wir haben bei uns in der Firma ca. 40 User-Accounts die alle über lokale Adminrechte verfügen.

Dies würde ich gerne ändern und den Usern nur noch eingeschränkten Zugriff gewähren.

Kann ich einfach hingehen und an den betreffenden Rechnern die Gruppe von Administrator in Standardbenutzer ändern ?!

Welche Auswirkungen könnte dies auf die User haben.

Hauptziel ist natürlich die Benutzer in Ihrer Handlungsfreiheit zu beschränken und Ihnen nicht jegliche Installation von Software zu ermöglichen.
Außerdem ist es wohl der größte Fehler eines Admins, den Usern lokale Adminrechte zu geben.

Wie würdet ihr vorgehen, bzw. was gibt es zu beachten.

Vielen Dank im voraus für eure Hilfe !

Grüße
Markus
Mitglied: Robobob
17.10.2011 um 09:51 Uhr
Guten morgen,

verstehe ich das richtig, die User sind überall auf ihren Clients in der lokalen Gruppe Administratoren?
Das darf ja nicht sein. Böse ;)

Du kannst jetzt folgendes tun;
Erstelle eine GPO die die User permanent in die lokale Gruppe Benutzer hinzufügt und eine weitere,
die sie aus der lokalen Gruppe Administratoren entfernt.

hier ein kleines how-to
http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene ...

bedenke so würde ich es jetzt machen.

gibt best. noch andere Möglichkeiten.

gruß
Bitte warten ..
Mitglied: ChrisDynamite
17.10.2011 um 10:17 Uhr
Hi

ja es gibt noch die Turnschuh-Admin möglichkeit


jeden angemeldeten Benutzer (domänenbenutzer) in die lokale Gruppe "Benutzer" aufnehmen. viel Spass

das ist natürlich die aufwändigste Art, aber sie funktioniert
Bitte warten ..
Mitglied: markus-sinzig
17.10.2011 um 10:20 Uhr
Hallo Robobob,

vielen Dank für die schnelle Antwort.

Ja, du hast richtig gelesen ! Wirklich böse.
Dafür wollen wir es ja auch ändern.

Mit Gruppenrichtlinien habe ich bisher noch nichts gemacht.
Ich werde mich wohl heute Mittag in das Thema mal reinlesen.

Vielen Dank für deinen Link. Werde es mir mal anschauen.

Werde es aber wohl mal bei einzelnen Usern testen und schauen wie die Auswirkungen auf den Arbeitsalltag ausfallen.

Ich berichte dann noch über erfolge und misserfolge !

Noch jemand eine Idee ?

Danke und Gruß
Bitte warten ..
Mitglied: Ravers
17.10.2011 um 11:30 Uhr
Moinsen!

Überlege ob auch wirklich alle Anwendungen dann noch funktionieren. Als ich meinen Job antrat, wollte ich das auch machen, da sehr viele lokale Admins waren. Jedoch fiel dann in der Vorbereitung auf, das einige Programme sonst nicht lauffähig sind. Fängt an bei Nero, was man jedoch mit einem Nero-Tool einstellen kann (unter XP); jedoch unsere Konstruktionssoftware klappte nicht.

Also nicht mal eben schnell machen, sondern genau checken warum Sie lokale Admin-Rechte haben!

Greetz
ravers
Bitte warten ..
Mitglied: markus-sinzig
17.10.2011 um 11:42 Uhr
Hallo Ravers,

genau das ist das Ding.
Muss nun erstmal testen was eventuell nicht mehr funktioniert.

Irgendwann ist mal damit angefangen worden den Usern, die nach der PC-einrichtung vergebenen Rechte, zu belassen.

Die User haben bisher auch meist nix verkehrt gemacht.
Möchte das ganze aber trotzdem gerne mehr einschränken.

Wir haben da so unsere Spezies die mir ein bisschen zuviel "rumspielen".
Bitte warten ..
Mitglied: cardisch
17.10.2011 um 12:55 Uhr
Mahlzeit,

dann würd eich zuerst eine Übersicht der installierten Programme erstellen und beim Hersteller anfragen, ob die OHNE Admin-Rechte läuft (kannst da in einem Abwasch auch noch nach Win7-Fähigkeit - auch mit 64 bit- nachfragen, dann lohnt sich das E-Mail-Schreiben schon eher).
Danach würde ich mir eine Testumgebung erstellen und das verifizieren, vor allem ob Updates der Software noch gehen...
Ansonsten geht das "gefrickel" mit dem Processexplorer los, welche Rechte der User innerhalb der Registry und innerhalb des Dateisystems benötigt.

Gruß

Carsten
Bitte warten ..
Mitglied: dualhead
17.10.2011 um 16:49 Uhr
Hi,

mal ganz neutral gerfragt, was ist denn daran so schlimm? Ich würde das gerne mal mit Euch diskutieren, denn ich sehe das ehrlich gesagt nicht so eng. Was kann denn ein Nutzer maximal anrichten, außer seine eigene Maschine zu vergurken? Vernünftig konfigurierte Server, Virenscanner, Firewall, etc. im Netz mal vorausgesetzt. Und vor allem, läßt sich denn auch der Chef in seinen lokalen Rechten einschränken? Gerade in kleineren Firmen habe ich da schon einiges erlebt ("Ich brauche das aber, keine Diskussion!!!").

Gruß D.

PS: Ist natürlich alles immer abhängig von der Größe des Netzwerks und dem Sicherheitsbedürfnis der Firma.
Bitte warten ..
Mitglied: Logan000
18.10.2011 um 09:09 Uhr
Moin Moin

.... was ist denn daran so schlimm?
Schlimm ist das falsche wort.
Was kann denn ein Nutzer maximal anrichten, außer seine eigene Maschine zu vergurken?
Nichts, aber das reicht doch. Wer fix die? Du.
...und dann kommt noch:
"Ich brauche das aber, keine Diskussion!!!"
Meist gefolgt von einem "Sofort!".

läßt sich denn auch der Chef in seinen lokalen Rechten einschränken?
Na Klar. Er leitet (nur) das Unternehmen. Ich vergebe die Rechte.

Natürlich sind Lokale Adminrechte für User denkbar.
Allerding solte man diese von Know How abhängig machen und nicht von der Position.

Zu diesem Thema habe ich ein Blogeintrag eines "Kollegen" gefunden. den ich euch hier nicht vorenthalten möchte.

Gruß L.
Bitte warten ..
Mitglied: dualhead
18.10.2011 um 10:12 Uhr
Moin,

Natürlich sind Lokale Adminrechte für User denkbar.
Allerding solte man diese von Know How abhängig machen und nicht von der Position.
Klar, es gibt ja auch Leute, die sind mit 'nem Toaster überfordert. Aber wenn's der Chef ist, in seiner grenzenlosen Weisheit, dann dumm gelaufen.

Zu diesem Thema habe ich ein [http://fieser-admin.de/2008/nein-ihr-kriegt-keine-admin-rechte/ Blogeintrag eines
"Kollegen"] gefunden. den ich euch hier nicht vorenthalten möchte.
Da hat sich aber jemand den Frust runtergeschrieben.... Aber genau das ist der Punkt. Wenn man User hat, die vernünftig damit umgehen und keinen Blödsinn machen, dann klappt das. Wenn man allerdings "Power User" hat, die die komplette Computer-Bild Beilagen-CD installieren, dann muß man die natürlich ein wenig einbremsen (Keine Rechte für nix!).

Gruß D.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
Lokale Adminrechte holen verhindern
Frage von CharlyXLSicherheitsgrundlagen5 Kommentare

Hallo zusammen, bei Windows kann man ja relativ problemlos sich Adminrechte holen. Anleitung dazu gibt es genügend im Netz. ...

Windows Userverwaltung

Programmupdates ohne Adminrechte für die User einer Domäne

gelöst Frage von M.MarzWindows Userverwaltung3 Kommentare

Hallo zusammen, momentan sind in unserer Domäne mehrer User die lokale Admin Rechte haben. Diese will ich denen entnehmen ...

Installation

Visual Studio 2017 ohne lokale Adminrechte

gelöst Frage von Pakko0Installation6 Kommentare

Hallo zusammen, ich werde vor der Herausforderung gestellt eine AD in einem Unternehmen einzuführen, welches in den letzten Jahren ...

Windows Server

Lokale Adminrechte per GPO Funktioniert nicht! (AD)

gelöst Frage von firevegetaWindows Server5 Kommentare

Hallo zusammen, wie im Titel schon beschrieben, versuche ich mittels GPO in meiner AD, die User Lokale Adminrechte zu ...

Neue Wissensbeiträge
E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 1 TagE-Mail7 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 1 TagHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Server-Hardware

Lösung für Ersatz eines defekter Raid-Controllers

Anleitung von wellknown vor 2 TagenServer-Hardware4 Kommentare

Hallo, da ich nichts gefunden habe und selbst eine Lösung brauchte, hier eine kleine Anleitung für alle die vor ...

Heiß diskutierte Inhalte
Windows Server
Mit der alten Domäneprofil anmelden ohne Server
gelöst Frage von SyosseWindows Server37 Kommentare

Hallo Jungs Folgendes Szenario: Ich habe bei einem sehr kleinen Unternehmen (2Personen) den Server migriert, soweit hat alles geklappt. ...

Sicherheits-Tools
Virenprogramm lässt Programme nicht starten
Frage von SurferGirlSicherheits-Tools23 Kommentare

Hallo, ich bin neu hier, ich hoffe ich habe die richtige Rubrik gewählt. Falls nicht, tut es mir leid. ...

Windows Server
SQL Server Instanz (Eplan) auf WIN 2008 RC2 Server frisst RAM ohne Limit
Frage von derinderinderinWindows Server17 Kommentare

Hallo Zusammen, Wir haben hier einen Windows 2008 RC2 Server. Darauf läuft ein SQL Server Express 2014 Version 12.0.4232.0. ...

Windows 10
Best Practice für Schulungsräume
Frage von Sn0wFoxWindows 1016 Kommentare

Hallo, leider bin ich auch nach langer Suche nicht auf eine zufriedenstellende Nicht-Cloud-Lösung gestoßen und wollte mal Fragen ob ...