16
XP-Netzwerk - Als admin diverse ausgegraute Einstellungen ändern
Hallo,
ich bin offizieller Betreuer eines XP-Netzwerks mit 40 Workstations und einem Windows 2003-Fileserver (aber kein Chefprogrammierer).
Das Netzwerk hat auch eine active Directory-Verwaltung, die zentral in einem Rechenzentrum geführt wird.
Im Gegensatz zu den normalen Usern habe ich deutlich höhere Netzwerk-Rechte, z.B. kann ich mit regedit fast alles ändern oder systemverändernde Programme (Treiber...) installieren.
Einige Windows-Einstellungen sind aber auch bei mir ausgegraut.
- Die Einstellungen des Bildschirmschoners
- Die Karte Sicherheitseinstellungen beim IE8
Ich würde dort gerne ein paar Kleinigkeiten ändern, z.B. sollen Dateidownloads nicht automatisch blockiert werden.
Ich würde das gerne für mein Kennzeichen ändern und evtl. auch für ein paar User. Z.B. können einige nicht damit leben, daß schon nach 5 Minuten der Bildschirmschoner einsetzt und sie so ständig ihr Passwort eingeben müssen, obwohl sie auf keinerlei sicherheitsrelevante Daten Zugriff haben.
Die Frage ist nun, wie ich für mich und wie ich für andere User solche Einstellungen setzen kann ober ob dies "dank active directory system" gar nicht möglich ist.
ich bin offizieller Betreuer eines XP-Netzwerks mit 40 Workstations und einem Windows 2003-Fileserver (aber kein Chefprogrammierer).
Das Netzwerk hat auch eine active Directory-Verwaltung, die zentral in einem Rechenzentrum geführt wird.
Im Gegensatz zu den normalen Usern habe ich deutlich höhere Netzwerk-Rechte, z.B. kann ich mit regedit fast alles ändern oder systemverändernde Programme (Treiber...) installieren.
Einige Windows-Einstellungen sind aber auch bei mir ausgegraut.
- Die Einstellungen des Bildschirmschoners
- Die Karte Sicherheitseinstellungen beim IE8
Ich würde dort gerne ein paar Kleinigkeiten ändern, z.B. sollen Dateidownloads nicht automatisch blockiert werden.
Ich würde das gerne für mein Kennzeichen ändern und evtl. auch für ein paar User. Z.B. können einige nicht damit leben, daß schon nach 5 Minuten der Bildschirmschoner einsetzt und sie so ständig ihr Passwort eingeben müssen, obwohl sie auf keinerlei sicherheitsrelevante Daten Zugriff haben.
Die Frage ist nun, wie ich für mich und wie ich für andere User solche Einstellungen setzen kann ober ob dies "dank active directory system" gar nicht möglich ist.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 183701
Url: https://administrator.de/contentid/183701
Printed on: April 25, 2024 at 22:04 o'clock
16 Comments
Latest comment
Hallo,
wie du bereits teilweise richtig erkannt hast, werden die Einstellungen per GPO angewandt (Richtlinien, durch Active Directory). Dort solltest du auch mal ansetzen, relativ leicht zu finden und lässt sich auch schnell abändern.
Zur kleinen Hilfe noch:
http://www.gruppenrichtlinien.de/
wie du bereits teilweise richtig erkannt hast, werden die Einstellungen per GPO angewandt (Richtlinien, durch Active Directory). Dort solltest du auch mal ansetzen, relativ leicht zu finden und lässt sich auch schnell abändern.
Zur kleinen Hilfe noch:
http://www.gruppenrichtlinien.de/
Wenn ich dich richtig verstehe, hast du keinen Zugriff auf die Active Directory und somit auch nicht auf die Gruppenrichtlinien die für das ganze Unternehmen gelten. Sofern der Sicherheits- und oder Serveradmin kein Vollpfosten ist, wirst du kaum eine Chance haben.
Aber versuchen kann man es ja.
Hier mal Beispiel für den Bildschirmschoner:
http://support.microsoft.com/kb/272304/de
Greetz
Aber versuchen kann man es ja.
Hier mal Beispiel für den Bildschirmschoner:
http://support.microsoft.com/kb/272304/de
Greetz
Vielen Dank für Eure Antworten.
Ich habe ein active-directory-tool, mit dem ich User anlegen und verwalten kann (Gruppenzugehörigkeit, Anmeldezeiten...):
Microsoft Management Console 3.0 Version 5.1 built 2600
Aber betreffs Software-Sicherheitseinstellungen habe ich dort nichts gefunden.
Als Admin kann ich auch gpedit.msc aufrufen und da diverse Einstellungen tätigen. Aber anscheinend komme ich da nicht an die Punkte ran, die man bräuchte?
Gibt es evtl. ein anderes tool?
Die obersten Admins sind mit Sicherheit sehr fähig, aber mit denen kann man über solche kleinen Marscherleichterungen nicht verhandeln. Mir gehts z.B. darum, daß die kleine Sekretärin verzweifelt, weil die nach jedem Telefonat ihr PW neu eingeben muß und man zu allem Überdruß per globaler Richtlinie jetzt lange komplexe Passwörter verordnet hat...
Ich habe ein active-directory-tool, mit dem ich User anlegen und verwalten kann (Gruppenzugehörigkeit, Anmeldezeiten...):
Microsoft Management Console 3.0 Version 5.1 built 2600
Aber betreffs Software-Sicherheitseinstellungen habe ich dort nichts gefunden.
Als Admin kann ich auch gpedit.msc aufrufen und da diverse Einstellungen tätigen. Aber anscheinend komme ich da nicht an die Punkte ran, die man bräuchte?
Gibt es evtl. ein anderes tool?
Die obersten Admins sind mit Sicherheit sehr fähig, aber mit denen kann man über solche kleinen Marscherleichterungen nicht verhandeln. Mir gehts z.B. darum, daß die kleine Sekretärin verzweifelt, weil die nach jedem Telefonat ihr PW neu eingeben muß und man zu allem Überdruß per globaler Richtlinie jetzt lange komplexe Passwörter verordnet hat...
Schau mal, was in dem Fenster steht, wenn du
GPOs spielen in der Sicherheit von heutigen Unternehmensnetzwerken eine riesige Rolle, da wirst du nicht drum herum kommen, dich mit dem Admin in Verbindung setzen zu müssen. So wie du es beschrieben hast, scheinen ja bei euch noch einige Dinge zu tun. Mein Vorschlag: Sprich es mit dem "Chefprogrammierer" ab, dann gibt es die Chance, dass es geändert wird. Versuchst du es hintenrum auf eigene Faust, könnten andere davon hören und es auch probieren, bis sich am Ende jeder alles selber macht und rumprobiert. Dein Admin will sicher niemanden ärgern oder behindern, sondern nur für Sicherheit sorgen. Wenn da die Arbeitseffizienz der User drunter leidet, muss das eben gesagt werden und der Admin drum gebeten werden, die GPO anzupassen.
Gruß Scriptex
gpedit.msc aufrufst: Editor für lokale Gruppenrichtlinien. Das bedeutet, mit gpedit.msc hast du nur die Möglichkeit(!), lokal etwas zu bewirken. Es ist aber davon auszugehen dass das Verwalten von lokalen Gruppenrichtlinien durch die bei euch allgemein geltenden GPOs deaktivert wurde. Das ist dann eine Einstellung, die der/die Admin(s) vorgenommen hat/haben.GPOs spielen in der Sicherheit von heutigen Unternehmensnetzwerken eine riesige Rolle, da wirst du nicht drum herum kommen, dich mit dem Admin in Verbindung setzen zu müssen. So wie du es beschrieben hast, scheinen ja bei euch noch einige Dinge zu tun. Mein Vorschlag: Sprich es mit dem "Chefprogrammierer" ab, dann gibt es die Chance, dass es geändert wird. Versuchst du es hintenrum auf eigene Faust, könnten andere davon hören und es auch probieren, bis sich am Ende jeder alles selber macht und rumprobiert. Dein Admin will sicher niemanden ärgern oder behindern, sondern nur für Sicherheit sorgen. Wenn da die Arbeitseffizienz der User drunter leidet, muss das eben gesagt werden und der Admin drum gebeten werden, die GPO anzupassen.
Gruß Scriptex
Vielen Dank für Deine Antwort. Ja, wenn man gpedit aufruft, heißt es ganz oben "Richtlinien für lokale Computer" und damit habe ich wohl keine Chance.
Ja, unmöglich ist es nicht, mit den obersten Hohenpriestern zu diskutieren, aber erfahrungsgemäß kriegt man bei 90% der Wünsche ein Nein, weil die deutschlandweit eine generelle Politik fahren wollen und ihnen die Zeit zu schade ist, sich mit Microbedürfnissen zu befassen.
Ja, unmöglich ist es nicht, mit den obersten Hohenpriestern zu diskutieren, aber erfahrungsgemäß kriegt man bei 90% der Wünsche ein Nein, weil die deutschlandweit eine generelle Politik fahren wollen und ihnen die Zeit zu schade ist, sich mit Microbedürfnissen zu befassen.
Denke aber mal, dass deine Administratoren deinen Wünschen schon nachgehen werden. Wenn die Einstellungen per GPO gesetzt wurden, brauchen keine erstellt, sondern nur noch bearbeitet werden.
Die paar Sachen die du oben genannt hast, hat man in einer Minute fertig - wenn man dann damit argumentiert, wie lange die User brauchen, jedes Mal Ihr Passwort neu eingeben zu müssen etc.
Die paar Sachen die du oben genannt hast, hat man in einer Minute fertig - wenn man dann damit argumentiert, wie lange die User brauchen, jedes Mal Ihr Passwort neu eingeben zu müssen etc.
Ich werde mich wohl durchringen, nach oben betteln zu gehen, aber ich mache das sehr ungern, weil ich schon öfters eine Abfuhr "geht nicht wegen ist nicht" bekommen habe.
Ich würde ja ganz gern irgendwas probieren zum Test, ob ich was einstellen kann, habe aber keine Vorstellung, was ich brauche.
Ist es so, daß kennzeichenabhängig die Microsoft-Management-Console viel mehr Optionen zeigen kann als ich sehe oder wie ist das?
Auch mit einem bessen Verständnis der Dinge wäre mir schon geholfen.
Ich würde ja ganz gern irgendwas probieren zum Test, ob ich was einstellen kann, habe aber keine Vorstellung, was ich brauche.
Ist es so, daß kennzeichenabhängig die Microsoft-Management-Console viel mehr Optionen zeigen kann als ich sehe oder wie ist das?
Auch mit einem bessen Verständnis der Dinge wäre mir schon geholfen.
Weiß jetzt nicht genau was du meinst...
Der Windows Server bietet die Möglichkeit eine Active Directory zu verwenden und diese zu verwalten. Diese ist dafür da, um Benutzer-/ und Gruppenrechte einheitlich und schnell zu vergeben (nur ein Beispiel).
Dort kann man die schon angesprochenen Gruppenrichtlinien erstellen oder bearbeiten. Mit diesen GPO's kann man so ziemlich alles einstellen, was jeder Benutzer sonst auch einzeln einstellen könnte. Die GPO's kann man auf alle Benutzer anwenden, auf Gruppen, oder einzelne Benutzer - wie man es eben brauch.
Unterschieden wird dort noch unter der Benutzer-/ und der Computerkonfiguration.
Es bietet halt den Vorteil, dass man einmal eine solche Richtlinie erstellt und diese automatisch an die autorisierten Personen verteilt. Das führt dazu, dass der administrative Aufwand um einiges abnimmt, gerade bei größeren Betrieben.
Generell kannst du ja auch mal nach Active Directory googeln, um zu verstehen was genau dieses tut. Ansich ist die AD eine Datenbank.
Ein Beispiel wäre z. B. eine GPO zum deaktivieren des Bildschirmschoners:
Man öffnet die "Gruppenrichtlinienverwaltung", erstellt eine neue GPO Namens "Bildschirmschoner deaktivieren" (Namen kann man sich aussuchen, sollte aber kurz beschreiben welche Einstellungen dort getroffen werden sollen) und geht wie folgt vor:
Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Systemsteuerung/Anpassung -> Bildschirmschoner aktivieren = Deaktiviert
Durch diese Einstellung werden die Bildschirmschoner deaktiviert für sämtliche Benutzer. Die Gruppenrichtlinien werden automatisch alle 90 Minuten aktualisiert, nach Neustart oder durch den Befehl "gpupdate /force".
Mit dem Befehl "gpresult" kann man sich anzeigen lassen, welche Gruppenrichtlinien angewandt werden.
Der Windows Server bietet die Möglichkeit eine Active Directory zu verwenden und diese zu verwalten. Diese ist dafür da, um Benutzer-/ und Gruppenrechte einheitlich und schnell zu vergeben (nur ein Beispiel).
Dort kann man die schon angesprochenen Gruppenrichtlinien erstellen oder bearbeiten. Mit diesen GPO's kann man so ziemlich alles einstellen, was jeder Benutzer sonst auch einzeln einstellen könnte. Die GPO's kann man auf alle Benutzer anwenden, auf Gruppen, oder einzelne Benutzer - wie man es eben brauch.
Unterschieden wird dort noch unter der Benutzer-/ und der Computerkonfiguration.
Es bietet halt den Vorteil, dass man einmal eine solche Richtlinie erstellt und diese automatisch an die autorisierten Personen verteilt. Das führt dazu, dass der administrative Aufwand um einiges abnimmt, gerade bei größeren Betrieben.
Generell kannst du ja auch mal nach Active Directory googeln, um zu verstehen was genau dieses tut. Ansich ist die AD eine Datenbank.
Ein Beispiel wäre z. B. eine GPO zum deaktivieren des Bildschirmschoners:
Man öffnet die "Gruppenrichtlinienverwaltung", erstellt eine neue GPO Namens "Bildschirmschoner deaktivieren" (Namen kann man sich aussuchen, sollte aber kurz beschreiben welche Einstellungen dort getroffen werden sollen) und geht wie folgt vor:
Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Systemsteuerung/Anpassung -> Bildschirmschoner aktivieren = Deaktiviert
Durch diese Einstellung werden die Bildschirmschoner deaktiviert für sämtliche Benutzer. Die Gruppenrichtlinien werden automatisch alle 90 Minuten aktualisiert, nach Neustart oder durch den Befehl "gpupdate /force".
Mit dem Befehl "gpresult" kann man sich anzeigen lassen, welche Gruppenrichtlinien angewandt werden.
Moin,
Ergo: rede mit den Admins oder deinem oder deren Vorgesetzten, wenn die nicht wollen/dürfen/können => Pech!
lg,
Slainte
Die obersten Admins sind mit Sicherheit sehr fähig, aber mit denen kann man über solche kleinen Marscherleichterungen nicht verhandeln. Mir gehts z.B.
darum, daß die kleine Sekretärin verzweifelt, weil die nach jedem Telefonat ihr PW neu eingeben muß und man zu allem Überdruß per globaler Richtlinie
jetzt lange komplexe Passwörter verordnet hat...
Kleiner Tipp von einem "obersten Admin": Wenn Du versuchst die Sicherheitsrichtlinien zu umgeben, die von den AD-Admin(s) verordnet wurden gibts i.d.R. Ärger bis hin zur Abmahnung.darum, daß die kleine Sekretärin verzweifelt, weil die nach jedem Telefonat ihr PW neu eingeben muß und man zu allem Überdruß per globaler Richtlinie
jetzt lange komplexe Passwörter verordnet hat...
Ergo: rede mit den Admins oder deinem oder deren Vorgesetzten, wenn die nicht wollen/dürfen/können => Pech!
lg,
Slainte
Hi,
das "Problem" mit dem Bildschirmschoner und dem Passwort ist doch vorgeschoben. Das lässt sich ganz einfach umgehen, indem man vor Ablauf der 5 Minuten irgendeine der Tasten STRG, UMSCHALT oder ALT kurz betätigt oder mal kurz an der Maus ruckelt, oder muss die Sekretärin oder müssen andere User zum Telefonieren den Raum, in dem auch ihr PC steht verlassen?
Gruß
das "Problem" mit dem Bildschirmschoner und dem Passwort ist doch vorgeschoben. Das lässt sich ganz einfach umgehen, indem man vor Ablauf der 5 Minuten irgendeine der Tasten STRG, UMSCHALT oder ALT kurz betätigt oder mal kurz an der Maus ruckelt, oder muss die Sekretärin oder müssen andere User zum Telefonieren den Raum, in dem auch ihr PC steht verlassen?
Gruß
Hallo, d4shoerncheN
Vielen Dank für Deine ausführliche Antwort. Mir ist jetzt schon einiges klarer und der Befehl gpresult bringt eine Menge interessante Info.
Ich gehe also davon aus, daß ich in der Sache nix machen kann. Mein AD-tool trägt die Überschrift "Active Directory User und Computer". An was anderes komme ich nicht ran und neue Objekte außer User kann ich dort auch nicht erstellen.
Werde mich also auf den umständlichen Dienstweg begeben müssen.
Sache ist damit erledigt.
Vielen Dank für Deine ausführliche Antwort. Mir ist jetzt schon einiges klarer und der Befehl gpresult bringt eine Menge interessante Info.
Ich gehe also davon aus, daß ich in der Sache nix machen kann. Mein AD-tool trägt die Überschrift "Active Directory User und Computer". An was anderes komme ich nicht ran und neue Objekte außer User kann ich dort auch nicht erstellen.
Werde mich also auf den umständlichen Dienstweg begeben müssen.
Sache ist damit erledigt.
Ist nix vorgeschoben, habe die Sache nur nicht in epischer Breite geschildert. Wenn ein Telefonat stört, muß man einfach drandenken, den PC wach zu halten, was lästig ist. Aber es gibt ja 100 andere Fälle: Sekretärin wird von einem Mitarbeiter angesprochen oder sucht was im Schrank oder geht aufs WC oder Raucherpause oder oder. Und wie schon gesagt wurde gehts nicht nur um den Bildschirmschoner sondern ich wollte allgemein den fachlichen Background um die ausgegrauten Felder verstehen und auch sonst noch ein paar unnötige Schikanen wie den Downloadblocker für manche Kollegen, die drunter leiden, entschärfen. Aber die Sache ist jetzt erledigt, da keine Änderungsmöglichkeit.
Vorgeschoben würde ich nicht sagen, denn ich kenne seine Problematik. Bei mir in der Firma war es auch gewünscht, den Intervall zu erhöhen oder zu deaktivieren. Da es doch mal häufiger vorkommt, dass die Mitarbeiter mal nicht am Platz (z. B. Raucherpause, Mitarbeitergespräche mündlich etc.) und jedes Mal das Passwort eingeben müssen.
Es hat sicher alles einen Sinn, dass die Restriktionen vorhanden sind.
Es gäbe aber eine simple Möglichkeit, den Bildschirmschoner zu überlisten, doch die werde ich hier nicht nennen.
Es gäbe aber eine simple Möglichkeit, den Bildschirmschoner zu überlisten, doch die werde ich hier nicht nennen.
Ist mir schon klar, daß man das scr-File direkt aus dem Weg räumen könnte, aber so tiefgreifend wollte ich den Schutz nicht aushebeln.
Von einem Eingriff habe werder geschrieben noch habe ich das angedacht. 
