Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

administrator mit eingeschränkten rechten einrichten, nur wie bzw. wo

Frage Microsoft Windows Userverwaltung

Mitglied: john-long

john-long (Level 1) - Jetzt verbinden

20.05.2008, aktualisiert 20:59 Uhr, 6162 Aufrufe, 8 Kommentare

keine registry-änderungen, keine neuen nutzer, keine änderungen an den netzwerkeinstellungen

hallo erstmal,

wir haben in unserer firma ein grosses sicherheitsproblem, dessen ich mich angenommen habe.

unsere techniker brauchen für ihre arbeit zwingend admin-rechte.
das ist in einer grossen firma aber immer problematisch, weshalb wir jetzt ihre rechte einschränken wollen, admins müssen sie aber bleiben.

sie sind keine lokalen benutzer, sondern melden sich über die domaine an.

folgende sachen wollen wir verbieten:

- sie sollen keine änderungen an der registry durchführen können. zur not reicht hier aber auch eine sperrung von regedit.

- PC-Name, ip, gateway, dns-server dürfen nicht verändert werden. ebenso änderungen an der domaine-zugehörigkeit.

- sie sollen keine neuen nutzer anlegen können.


habe schon auf gruppenrichtlinie.de nachgesehen, mit fehlt aber nach wie vor der durchblick. zudem weiss ich nicht ob so weitgehende beschneidungen der admin-rechte überhaupt möglich sind und wenn, wo ich dies einstellen kann.
hoffe auf eure mithilfe, ist mein erster auftrag dieser art (fange im september in dieser firma eine ausbildung an und arbeite jetzt seit 4 monaten im user-support). habe ende der woche ein meeting und soll dort berichten wie/ob eine verbesserung möglich ist - wäre natürlich schön wenn ich da was präsentieren könnte.

edit: unsere techniker haben auf allen PC´s WinXP, eine vista-migration ist nicht geplant
Mitglied: thekingofqueens
20.05.2008 um 11:43 Uhr
Für was benötigen sie den Adminrechte? Zum Installieren von Programmen? Würde es nicht reichen sie zu Hauptbenutzern zu machen? Was für ein Server verwaltet die Domain?
Bitte warten ..
Mitglied: bytecounter
20.05.2008 um 11:51 Uhr
Hallo john-long,

Du solltest dies mit Gruppenrichtlinien umsetzen können. Als ersten für die Techniker eine neue Benutzergruppe anlegen und dieser dann die entsprechenden Rechte geben / nehmen. Schau Dir mal den folgenden Link an, das sollte Dir weiterhelfen:
http://www.galileocomputing.de/openbook/microsoft_netzwerk/microsoft_ne ...

vg
Bytecounter
Bitte warten ..
Mitglied: SarekHL
20.05.2008 um 13:32 Uhr
Microsofts Sicherheitskonzept sieht eigentlich vor, daß der Administrator-Account so gut wie nie verwendet wird. Man kann mittels Gruppenrichtlinien ganz gezielt jedem Benutzer die Rechte geben, die er braucht, auch für einzelne administrative Aufgaben. Man kann auch die Bearbeitungsrechte im AD an Benutzer delegieren, sogar wenn es sein muß für einzelne OUs.

Das ist zwar ein riesiger Aufwand, das alles so einzurichten, aber wenn man tatsächlich ein Sicherheitsproblem hat, muß man da wohl ran.

Siehe auch: http://www.microsoft.com/germany/technet/datenbank/articles/600379.mspx
Bitte warten ..
Mitglied: john-long
20.05.2008 um 14:14 Uhr
servus,

die techniker reparieren handys für einen grossen deutschen mobilfunkbetreiber. sie müssen software sowie hardware ständig installieren und deinstallieren. auch meine idee war es, ihnen die rechte zu geben die sie dafür brauchen, aber halt als hauptbenutzer. da wurde mir aber ne absage erteilt - warum auch immer. ich seh zwar nicht wo der unterschied ist zwischen admins "downgraden" und alle in eine neue gruppe und die dann rechtemässig "upgraden", aber das soll hier auch nicht das problem sein. das kommt von oben und ich bin wohl kaum in der position, da was zu machen - werde es beim meeting aber auf jedenfall nochmal ansprechen.
wie man regedit sperrt weiss ich jetzt. Benutzerkonfiguration/Administrative Vorlagen/System muss eine einstellung aktiviert werden.
zu den restlichen punkten bin ich leider noch nicht fündig geworden, aber ich werde mich weiter durchkämpfen. tipps bzw wenn einer weiss, wo das zeug deaktiviert, sind natürlich weiterhin willkommen
Bitte warten ..
Mitglied: bytecounter
20.05.2008 um 14:25 Uhr
Hallo,

andere Idee: Die Techniker bekommen für Ihre Tests einen eigenen Testrechner. Muss ja nicht jeder Techniker seinen eigenen Testrechner haben, je nach Auslastung eben.

Vor allem: Testrechner, an die fremde Geräte angeschlossen werden, in einem Firmennetzwerk zu betreiben, finde ich schon aus Gründen der Netzwerksicherheit nicht so pralle...

vg
Bytecounter
Bitte warten ..
Mitglied: john-long
20.05.2008 um 15:35 Uhr
danke für die tipps, aber wie gesagt, ich hab momentan nichtmal ne ausbildung. ich soll nur infos zusammentragen.

habe nurmehr 1 problem: den reiter "computername" bei den systemeigenschaften deaktivieren, damit man an der domaine und dem pc-namen nichtmehr rumspielen kannfür hilfe bin ich aber nach wie vor offen, denke hier haben schon einige sowas schonmal gemacht.
Bitte warten ..
Mitglied: thekingofqueens
20.05.2008 um 15:39 Uhr
Schon mal SteadyState ausprobiert?
Bitte warten ..
Mitglied: 51705
20.05.2008 um 20:59 Uhr
Hallo,

ich seh zwar nicht wo der unterschied ist zwischen
admins "downgraden" und alle in eine neue gruppe
und die dann rechtemässig "upgraden"

Der Unterschied ist, Admins können sich selbst 'upgraden'.

Grüße, Steffen
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows 7
gelöst Windows Administrator-Konto wieder aktivieren (13)

Frage von Fenris14 zum Thema Windows 7 ...

LAN, WAN, Wireless
gelöst TP-Link WA501G als Client einrichten - Keine IP Adresse wir bezogen (14)

Frage von bestelitt zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...