Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ADS, W2KS, Richtlinien gesucht

Frage Microsoft Windows Server

Mitglied: redrum

redrum (Level 1) - Jetzt verbinden

20.05.2005, aktualisiert 26.05.2005, 4746 Aufrufe, 10 Kommentare

Entziehen von Aktionsmöglichkeiten bestimmter Benutzer auf Servern

Guten Morgen,

ich suche nach einer Möglichkeit bestimmten Benutzern auf Servern die Möglichkeit zu entziehen, dass diese den Server herunterfahren oder neustarten. Andere wiederum sollen dies können.
Mein Ansatz sieht eine Richtlinie in der ADS der Windows 2000 Domäne vor, jedoch finde ich einen entpsrechenden Eintrag in der Richtlinienübersicht nicht.
www.gruppenrichtlinien.de liefert zwar allgemein nette Informationen doch keine zu konkret diesem Fall.
Kann mir da jemand weiterhelfen?

gruß, redrum
Mitglied: 6035
20.05.2005 um 09:45 Uhr
wenn du ihnen erst mal das Recht nimmst die Verwaltung aufzurufen sollte dein Problem gelöst sein (vielleicht auch nur erst mal) bis du eine andere Lösung gefunden hast... das ist aber der einzige Weg wie ich mir das Vorstellen könnte
Bitte warten ..
Mitglied: redrum
20.05.2005 um 09:47 Uhr
Das bringt nicht wirklich viel. Die Benutzer, um die es mir geht müssen mit lokalen Administrations-Rechten arbeiten, sind jedoch nicht dafür zuständig das System zu warten und ggf. neuzustarten bzw. mir dann Bescheid zu geben.
Ziel ist es einem Benutzer lokale Adminrechte geben zu können, aber ihm nicht zu erlauben das System neuzustarten oder ähnlichen Unfug zu treiben.

gruß, redrum
Bitte warten ..
Mitglied: 6035
20.05.2005 um 09:57 Uhr
ok, Einverstanden... ich könnte mir denken daß das dann ein Eintrag in der Registry ist, auf den die Benutzer keinen Zugriff mehr haben dürfen.... einen direkten Eintrag in der Übersicht wirst du nicht finden.
Aber du kannst den Benutzern in der Systemsteuerung bestimmte Symbole ausblenden und den Zugriff auf die Verwaltung generell verbieten...
Aber wenn sie die Adminrechte Lokal brauchen, wieso melden die sich denn an deiner Domäne an? Wäre es nicht sinnvoller ihnen die Adminrechte auf den lokalen Maschinen zu geben aber in der Domäne nur Benutzer sind?
Bitte warten ..
Mitglied: redrum
20.05.2005 um 10:03 Uhr
Dem ist auch so.
Sie melden Sich mit ihrem Domänenbenutzer meist via rdp an der Maschine an und haben in dem Moment lokale Administratorrechte. Das heisst jedoch auch, dass Sie das Ding dann neustarten können.. und auch machen (gelegentlich).
Die Icons in der Verwaltung zu nehmen wird schwierig bis gar unmöglich. Irgendwann kommt der Moment, andem die wichtigen Icons (nicht Anzeige und Sound, etc) wieder benötigt werden. Es handelt sich bei der Benutzergruppe um die es mir geht um Datenbank-Administratoren, d.h. die Verwaltung sollte schon zugänglich sein (von wegen ODCB u.ä.).

gruß, redrum
Bitte warten ..
Mitglied: Enne
20.05.2005 um 10:12 Uhr
Hallo redrum,

Habe etwas in den lokalen Sicherheitsrichtlinien gefunden !

Unter dem Punkt Sicherheitseinstellungen->Lokale Richtlinien->Zuweisen von Benutzerrechten gibt es einen Punkt Herunterfahren des Systems. Hier kannst du einstellen wer diesen PC Herunterfahren darf und wer nicht.

Wie du den Punkt Lokale Sicherheitseinstellungen gesperrt bekommst guck ich mal nach ....

Gruß Enne



Nachtrag : beim Punkt lokale Sicherheitseinstellungen könntest du die %SystemRoot%\system32\secpol.msc /s mit Dateiberechtigung einschränken. Du setzt einfach bei der Datei verweigerungen für deine Helper-Admins ......

Korrigiert mich bitte wenn meine Idee nicht funktioniert !

Weiterer Gruß Enne
Bitte warten ..
Mitglied: redrum
20.05.2005 um 10:15 Uhr
Hallo Enne,

Danke für den Hinweis. Ich werde das gleich mal testen.
Ich melde mich dann wieder.

gruß, redrum
Bitte warten ..
Mitglied: Metzger-MCP
20.05.2005 um 10:51 Uhr
Steinigt mich bitte nicht, aber warum darf ein User nicht seine Lokale Workstation Neustarten, Herrunterfahren, ... ? Dies kann ich nicht Nachvolziehen.
Du hast die Möglichkeit eine Gruppenrichtlinie einzurichten, das User sich nur noch an-abmelden können.

MFG Metzger
Bitte warten ..
Mitglied: redrum
20.05.2005 um 11:17 Uhr
Steinigt mich bitte nicht, aber warum darf
ein User nicht seine Lokale Workstation
Neustarten, Herrunterfahren, ... ?

*woistmeinStein?*
Es geht nicht im WS, sondern vielmehr um ein paar Server. Die Datenbankadministratoren arbeiten auf den Servern mit ihren Datenbanken. Ab und an müssen die Systeme neugestartet werden, sei es wg. Softwareeinspielungen oder ähnlichem. Die Verantwortung für die Funktionsfähigkeit der Systeme liegt jedoch nicht bei den DB-Admins, sondern bei mir (und anderen). Wenn die DB-Admins nun der Meinung sind sie müssen den Server neustarten dann machen die das einfach und ich bekomme es erst mit, wenn der Server down ist.
Da gutes Zureden nichts bringt und Dokumentation teilweise ein Fremdwort ist, muss es halt auf diese Weise gelöst werden.

Gruß, redrum
Bitte warten ..
Mitglied: gemini
20.05.2005 um 11:27 Uhr
@Metzger-MCP
Ich glaube er meint den Server auf dem sich die User via RDP anmelden.
Dann haben sie nämlich die Möglichkeit den Server runterzufahren.

Ingos Vorschlag in der Default Domain Controllers Policy umgesetzt sollte das verhindern.
Dann muss allerdings sichergestellt sein, dass den betreffenden Usern die Möglichkeit entzogen ist die Policy zu ändern
Bitte warten ..
Mitglied: redrum
26.05.2005 um 12:09 Uhr
So, Problem ist gelöst.

Ich habe endlich Zeit gefunden die Richtlinie durchzutesten und nun nur noch einzelnen Benutzern (systemadministratoren) die Möglichkeit gegeben die Server durchzustarten.

Vorgehensweise:
ADS
- Gruppenrichtlinie (Group Policy) erstellen auf der OU, die die Server-Objekte erhält
- Editiren der Richtlinie und unter "Computerkonfiguration/Windows Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Herunterfahren des Systems" aktivieren.
- Eine Gruppe, die alle berechtigten MA enthält, oder jeden MA einzeln der Richtlinie hinzufügen.
- Richtlinieneditor beenden und ggf. Vererbungsproblematiken prüfen.
- Warten bis die Server ihre neuen RIchtlinien sich abgeholt haben oder mit "secedit /refreshpolicy machine_policy /enforce" manuell anfordern.
- fertig.

Gruß, redrum
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Peripheriegeräte
gelöst Barcodescanner LongRange für ca. 3m gesucht (4)

Frage von TiCar zum Thema Peripheriegeräte ...

Backup
Backupkonzept gesucht, bzw. Frage zum Beispiel (9)

Frage von DeathNote zum Thema Backup ...

Peripheriegeräte
IP Kamera für QNAP oder Synology Surveillance gesucht (2)

Frage von puerto zum Thema Peripheriegeräte ...

Drucker und Scanner
Handheld-Zeilendrucker gesucht (3)

Frage von zimbosmurf zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
DSL, VDSL
gelöst DSL 200m verlängern (15)

Frage von Angela44 zum Thema DSL, VDSL ...

LAN, WAN, Wireless
Per Script auf UniFi-controller zugreifen und WPA2-Key ändern (11)

Frage von Winfried-HH zum Thema LAN, WAN, Wireless ...

Windows Server
SBS 2011 Standard virtualisieren (11)

Frage von HeinrichM zum Thema Windows Server ...

Exchange Server
gelöst DHCP Sever MS Server 2012 Problem (10)

Frage von Florian86 zum Thema Exchange Server ...