Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

administrator mit eingeschränkten rechten einrichten, nur wie bzw. wo

Frage Microsoft Windows Userverwaltung

Mitglied: john-long

john-long (Level 1) - Jetzt verbinden

20.05.2008, aktualisiert 20:59 Uhr, 6450 Aufrufe, 8 Kommentare

keine registry-änderungen, keine neuen nutzer, keine änderungen an den netzwerkeinstellungen

hallo erstmal,

wir haben in unserer firma ein grosses sicherheitsproblem, dessen ich mich angenommen habe.

unsere techniker brauchen für ihre arbeit zwingend admin-rechte.
das ist in einer grossen firma aber immer problematisch, weshalb wir jetzt ihre rechte einschränken wollen, admins müssen sie aber bleiben.

sie sind keine lokalen benutzer, sondern melden sich über die domaine an.

folgende sachen wollen wir verbieten:

- sie sollen keine änderungen an der registry durchführen können. zur not reicht hier aber auch eine sperrung von regedit.

- PC-Name, ip, gateway, dns-server dürfen nicht verändert werden. ebenso änderungen an der domaine-zugehörigkeit.

- sie sollen keine neuen nutzer anlegen können.


habe schon auf gruppenrichtlinie.de nachgesehen, mit fehlt aber nach wie vor der durchblick. zudem weiss ich nicht ob so weitgehende beschneidungen der admin-rechte überhaupt möglich sind und wenn, wo ich dies einstellen kann.
hoffe auf eure mithilfe, ist mein erster auftrag dieser art (fange im september in dieser firma eine ausbildung an und arbeite jetzt seit 4 monaten im user-support). habe ende der woche ein meeting und soll dort berichten wie/ob eine verbesserung möglich ist - wäre natürlich schön wenn ich da was präsentieren könnte.

edit: unsere techniker haben auf allen PC´s WinXP, eine vista-migration ist nicht geplant
Mitglied: thekingofqueens
20.05.2008 um 11:43 Uhr
Für was benötigen sie den Adminrechte? Zum Installieren von Programmen? Würde es nicht reichen sie zu Hauptbenutzern zu machen? Was für ein Server verwaltet die Domain?
Bitte warten ..
Mitglied: bytecounter
20.05.2008 um 11:51 Uhr
Hallo john-long,

Du solltest dies mit Gruppenrichtlinien umsetzen können. Als ersten für die Techniker eine neue Benutzergruppe anlegen und dieser dann die entsprechenden Rechte geben / nehmen. Schau Dir mal den folgenden Link an, das sollte Dir weiterhelfen:
http://www.galileocomputing.de/openbook/microsoft_netzwerk/microsoft_ne ...

vg
Bytecounter
Bitte warten ..
Mitglied: SarekHL
20.05.2008 um 13:32 Uhr
Microsofts Sicherheitskonzept sieht eigentlich vor, daß der Administrator-Account so gut wie nie verwendet wird. Man kann mittels Gruppenrichtlinien ganz gezielt jedem Benutzer die Rechte geben, die er braucht, auch für einzelne administrative Aufgaben. Man kann auch die Bearbeitungsrechte im AD an Benutzer delegieren, sogar wenn es sein muß für einzelne OUs.

Das ist zwar ein riesiger Aufwand, das alles so einzurichten, aber wenn man tatsächlich ein Sicherheitsproblem hat, muß man da wohl ran.

Siehe auch: http://www.microsoft.com/germany/technet/datenbank/articles/600379.mspx
Bitte warten ..
Mitglied: john-long
20.05.2008 um 14:14 Uhr
servus,

die techniker reparieren handys für einen grossen deutschen mobilfunkbetreiber. sie müssen software sowie hardware ständig installieren und deinstallieren. auch meine idee war es, ihnen die rechte zu geben die sie dafür brauchen, aber halt als hauptbenutzer. da wurde mir aber ne absage erteilt - warum auch immer. ich seh zwar nicht wo der unterschied ist zwischen admins "downgraden" und alle in eine neue gruppe und die dann rechtemässig "upgraden", aber das soll hier auch nicht das problem sein. das kommt von oben und ich bin wohl kaum in der position, da was zu machen - werde es beim meeting aber auf jedenfall nochmal ansprechen.
wie man regedit sperrt weiss ich jetzt. Benutzerkonfiguration/Administrative Vorlagen/System muss eine einstellung aktiviert werden.
zu den restlichen punkten bin ich leider noch nicht fündig geworden, aber ich werde mich weiter durchkämpfen. tipps bzw wenn einer weiss, wo das zeug deaktiviert, sind natürlich weiterhin willkommen
Bitte warten ..
Mitglied: bytecounter
20.05.2008 um 14:25 Uhr
Hallo,

andere Idee: Die Techniker bekommen für Ihre Tests einen eigenen Testrechner. Muss ja nicht jeder Techniker seinen eigenen Testrechner haben, je nach Auslastung eben.

Vor allem: Testrechner, an die fremde Geräte angeschlossen werden, in einem Firmennetzwerk zu betreiben, finde ich schon aus Gründen der Netzwerksicherheit nicht so pralle...

vg
Bytecounter
Bitte warten ..
Mitglied: john-long
20.05.2008 um 15:35 Uhr
danke für die tipps, aber wie gesagt, ich hab momentan nichtmal ne ausbildung. ich soll nur infos zusammentragen.

habe nurmehr 1 problem: den reiter "computername" bei den systemeigenschaften deaktivieren, damit man an der domaine und dem pc-namen nichtmehr rumspielen kannfür hilfe bin ich aber nach wie vor offen, denke hier haben schon einige sowas schonmal gemacht.
Bitte warten ..
Mitglied: thekingofqueens
20.05.2008 um 15:39 Uhr
Schon mal SteadyState ausprobiert?
Bitte warten ..
Mitglied: 51705
20.05.2008 um 20:59 Uhr
Hallo,

ich seh zwar nicht wo der unterschied ist zwischen
admins "downgraden" und alle in eine neue gruppe
und die dann rechtemässig "upgraden"

Der Unterschied ist, Admins können sich selbst 'upgraden'.

Grüße, Steffen
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Domänenuser mit sehr eingeschränkten Rechten
Frage von shadow.swissWindows Userverwaltung3 Kommentare

Hallo zusammen Ich möchte einen User erstellen der in der Domäne sehr eingeschränkte Rechte besitzt. Gibt es da irgendwelche ...

Windows Userverwaltung
Administrator hat alle Rechte verloren
gelöst Frage von mrdeadWindows Userverwaltung10 Kommentare

Hallo zusammen, ich befinde mich aktuell in einer etwas verzwickten Situation: Ich bin Student und fange daher gerade an ...

Windows 7
Administrator-Rechte bzw. Passwort
gelöst Frage von hanni123Windows 72 Kommentare

Hallo zusammen, wäre nett, wenn mir jemand helfen könnte. Folgende Frage: Wie kann ich ein Administrator-Kennwort (in Windows 7) ...

Visual Studio
Wo für braucht eine Anwendung Administrator Rechte
Frage von Herbrich19Visual Studio23 Kommentare

Hallo, Meine tolle Herbrich Software braucht immer Administrator Rechte. Ich möchte gerne wissen wo für um diese Funktionen (Code ...

Neue Wissensbeiträge
Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 3 MinutenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 14 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 17 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 18 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...