Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ADS, W2KS, Richtlinien gesucht

Frage Microsoft Windows Server

Mitglied: redrum

redrum (Level 1) - Jetzt verbinden

20.05.2005, aktualisiert 26.05.2005, 4754 Aufrufe, 10 Kommentare

Entziehen von Aktionsmöglichkeiten bestimmter Benutzer auf Servern

Guten Morgen,

ich suche nach einer Möglichkeit bestimmten Benutzern auf Servern die Möglichkeit zu entziehen, dass diese den Server herunterfahren oder neustarten. Andere wiederum sollen dies können.
Mein Ansatz sieht eine Richtlinie in der ADS der Windows 2000 Domäne vor, jedoch finde ich einen entpsrechenden Eintrag in der Richtlinienübersicht nicht.
www.gruppenrichtlinien.de liefert zwar allgemein nette Informationen doch keine zu konkret diesem Fall.
Kann mir da jemand weiterhelfen?

gruß, redrum
Mitglied: 6035
20.05.2005 um 09:45 Uhr
wenn du ihnen erst mal das Recht nimmst die Verwaltung aufzurufen sollte dein Problem gelöst sein (vielleicht auch nur erst mal) bis du eine andere Lösung gefunden hast... das ist aber der einzige Weg wie ich mir das Vorstellen könnte
Bitte warten ..
Mitglied: redrum
20.05.2005 um 09:47 Uhr
Das bringt nicht wirklich viel. Die Benutzer, um die es mir geht müssen mit lokalen Administrations-Rechten arbeiten, sind jedoch nicht dafür zuständig das System zu warten und ggf. neuzustarten bzw. mir dann Bescheid zu geben.
Ziel ist es einem Benutzer lokale Adminrechte geben zu können, aber ihm nicht zu erlauben das System neuzustarten oder ähnlichen Unfug zu treiben.

gruß, redrum
Bitte warten ..
Mitglied: 6035
20.05.2005 um 09:57 Uhr
ok, Einverstanden... ich könnte mir denken daß das dann ein Eintrag in der Registry ist, auf den die Benutzer keinen Zugriff mehr haben dürfen.... einen direkten Eintrag in der Übersicht wirst du nicht finden.
Aber du kannst den Benutzern in der Systemsteuerung bestimmte Symbole ausblenden und den Zugriff auf die Verwaltung generell verbieten...
Aber wenn sie die Adminrechte Lokal brauchen, wieso melden die sich denn an deiner Domäne an? Wäre es nicht sinnvoller ihnen die Adminrechte auf den lokalen Maschinen zu geben aber in der Domäne nur Benutzer sind?
Bitte warten ..
Mitglied: redrum
20.05.2005 um 10:03 Uhr
Dem ist auch so.
Sie melden Sich mit ihrem Domänenbenutzer meist via rdp an der Maschine an und haben in dem Moment lokale Administratorrechte. Das heisst jedoch auch, dass Sie das Ding dann neustarten können.. und auch machen (gelegentlich).
Die Icons in der Verwaltung zu nehmen wird schwierig bis gar unmöglich. Irgendwann kommt der Moment, andem die wichtigen Icons (nicht Anzeige und Sound, etc) wieder benötigt werden. Es handelt sich bei der Benutzergruppe um die es mir geht um Datenbank-Administratoren, d.h. die Verwaltung sollte schon zugänglich sein (von wegen ODCB u.ä.).

gruß, redrum
Bitte warten ..
Mitglied: Enne
20.05.2005 um 10:12 Uhr
Hallo redrum,

Habe etwas in den lokalen Sicherheitsrichtlinien gefunden !

Unter dem Punkt Sicherheitseinstellungen->Lokale Richtlinien->Zuweisen von Benutzerrechten gibt es einen Punkt Herunterfahren des Systems. Hier kannst du einstellen wer diesen PC Herunterfahren darf und wer nicht.

Wie du den Punkt Lokale Sicherheitseinstellungen gesperrt bekommst guck ich mal nach ....

Gruß Enne



Nachtrag : beim Punkt lokale Sicherheitseinstellungen könntest du die %SystemRoot%\system32\secpol.msc /s mit Dateiberechtigung einschränken. Du setzt einfach bei der Datei verweigerungen für deine Helper-Admins ......

Korrigiert mich bitte wenn meine Idee nicht funktioniert !

Weiterer Gruß Enne
Bitte warten ..
Mitglied: redrum
20.05.2005 um 10:15 Uhr
Hallo Enne,

Danke für den Hinweis. Ich werde das gleich mal testen.
Ich melde mich dann wieder.

gruß, redrum
Bitte warten ..
Mitglied: Metzger-MCP
20.05.2005 um 10:51 Uhr
Steinigt mich bitte nicht, aber warum darf ein User nicht seine Lokale Workstation Neustarten, Herrunterfahren, ... ? Dies kann ich nicht Nachvolziehen.
Du hast die Möglichkeit eine Gruppenrichtlinie einzurichten, das User sich nur noch an-abmelden können.

MFG Metzger
Bitte warten ..
Mitglied: redrum
20.05.2005 um 11:17 Uhr
Steinigt mich bitte nicht, aber warum darf
ein User nicht seine Lokale Workstation
Neustarten, Herrunterfahren, ... ?

*woistmeinStein?*
Es geht nicht im WS, sondern vielmehr um ein paar Server. Die Datenbankadministratoren arbeiten auf den Servern mit ihren Datenbanken. Ab und an müssen die Systeme neugestartet werden, sei es wg. Softwareeinspielungen oder ähnlichem. Die Verantwortung für die Funktionsfähigkeit der Systeme liegt jedoch nicht bei den DB-Admins, sondern bei mir (und anderen). Wenn die DB-Admins nun der Meinung sind sie müssen den Server neustarten dann machen die das einfach und ich bekomme es erst mit, wenn der Server down ist.
Da gutes Zureden nichts bringt und Dokumentation teilweise ein Fremdwort ist, muss es halt auf diese Weise gelöst werden.

Gruß, redrum
Bitte warten ..
Mitglied: gemini
20.05.2005 um 11:27 Uhr
@Metzger-MCP
Ich glaube er meint den Server auf dem sich die User via RDP anmelden.
Dann haben sie nämlich die Möglichkeit den Server runterzufahren.

Ingos Vorschlag in der Default Domain Controllers Policy umgesetzt sollte das verhindern.
Dann muss allerdings sichergestellt sein, dass den betreffenden Usern die Möglichkeit entzogen ist die Policy zu ändern
Bitte warten ..
Mitglied: redrum
26.05.2005 um 12:09 Uhr
So, Problem ist gelöst.

Ich habe endlich Zeit gefunden die Richtlinie durchzutesten und nun nur noch einzelnen Benutzern (systemadministratoren) die Möglichkeit gegeben die Server durchzustarten.

Vorgehensweise:
ADS
- Gruppenrichtlinie (Group Policy) erstellen auf der OU, die die Server-Objekte erhält
- Editiren der Richtlinie und unter "Computerkonfiguration/Windows Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Herunterfahren des Systems" aktivieren.
- Eine Gruppe, die alle berechtigten MA enthält, oder jeden MA einzeln der Richtlinie hinzufügen.
- Richtlinieneditor beenden und ggf. Vererbungsproblematiken prüfen.
- Warten bis die Server ihre neuen RIchtlinien sich abgeholt haben oder mit "secedit /refreshpolicy machine_policy /enforce" manuell anfordern.
- fertig.

Gruß, redrum
Bitte warten ..
Ähnliche Inhalte
Netzwerke
LAN2LAN Verbindung sehr langsam flaschenhals gesucht (27)

Frage von PixL86 zum Thema Netzwerke ...

Microsoft
PDF-Browserplugins für IRM-geschützte Inhalte gesucht (2)

Frage von DerWoWusste zum Thema Microsoft ...

Windows Server
Rat zu externen Dienstleister gesucht (8)

Frage von rocco61 zum Thema Windows Server ...

Sicherheits-Tools
gelöst Inhouse Passwortsafe für Unternehmen gesucht (4)

Frage von thaefliger zum Thema Sicherheits-Tools ...

Neue Wissensbeiträge
Administrator.de Feedback

Umgangsformen auf der Seite

(3)

Information von Frank zum Thema Administrator.de Feedback ...

Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(10)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Exchange Server
gelöst RU 17 Exchange 2010 . Erfahrungen? (11)

Frage von keine-ahnung zum Thema Exchange Server ...

Windows Server
Festplatten Ruhezustand Windows Server 2016 (10)

Frage von ahaeuser zum Thema Windows Server ...

Datenbanken
gelöst MySQL Zeiterfassungs-Problematik (wer ist eingecheckt) (9)

Frage von NativeMode zum Thema Datenbanken ...