Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ADS, W2KS, Richtlinien gesucht

Frage Microsoft Windows Server

Mitglied: redrum

redrum (Level 1) - Jetzt verbinden

20.05.2005, aktualisiert 26.05.2005, 4736 Aufrufe, 10 Kommentare

Entziehen von Aktionsmöglichkeiten bestimmter Benutzer auf Servern

Guten Morgen,

ich suche nach einer Möglichkeit bestimmten Benutzern auf Servern die Möglichkeit zu entziehen, dass diese den Server herunterfahren oder neustarten. Andere wiederum sollen dies können.
Mein Ansatz sieht eine Richtlinie in der ADS der Windows 2000 Domäne vor, jedoch finde ich einen entpsrechenden Eintrag in der Richtlinienübersicht nicht.
www.gruppenrichtlinien.de liefert zwar allgemein nette Informationen doch keine zu konkret diesem Fall.
Kann mir da jemand weiterhelfen?

gruß, redrum
Mitglied: 6035
20.05.2005 um 09:45 Uhr
wenn du ihnen erst mal das Recht nimmst die Verwaltung aufzurufen sollte dein Problem gelöst sein (vielleicht auch nur erst mal) bis du eine andere Lösung gefunden hast... das ist aber der einzige Weg wie ich mir das Vorstellen könnte
Bitte warten ..
Mitglied: redrum
20.05.2005 um 09:47 Uhr
Das bringt nicht wirklich viel. Die Benutzer, um die es mir geht müssen mit lokalen Administrations-Rechten arbeiten, sind jedoch nicht dafür zuständig das System zu warten und ggf. neuzustarten bzw. mir dann Bescheid zu geben.
Ziel ist es einem Benutzer lokale Adminrechte geben zu können, aber ihm nicht zu erlauben das System neuzustarten oder ähnlichen Unfug zu treiben.

gruß, redrum
Bitte warten ..
Mitglied: 6035
20.05.2005 um 09:57 Uhr
ok, Einverstanden... ich könnte mir denken daß das dann ein Eintrag in der Registry ist, auf den die Benutzer keinen Zugriff mehr haben dürfen.... einen direkten Eintrag in der Übersicht wirst du nicht finden.
Aber du kannst den Benutzern in der Systemsteuerung bestimmte Symbole ausblenden und den Zugriff auf die Verwaltung generell verbieten...
Aber wenn sie die Adminrechte Lokal brauchen, wieso melden die sich denn an deiner Domäne an? Wäre es nicht sinnvoller ihnen die Adminrechte auf den lokalen Maschinen zu geben aber in der Domäne nur Benutzer sind?
Bitte warten ..
Mitglied: redrum
20.05.2005 um 10:03 Uhr
Dem ist auch so.
Sie melden Sich mit ihrem Domänenbenutzer meist via rdp an der Maschine an und haben in dem Moment lokale Administratorrechte. Das heisst jedoch auch, dass Sie das Ding dann neustarten können.. und auch machen (gelegentlich).
Die Icons in der Verwaltung zu nehmen wird schwierig bis gar unmöglich. Irgendwann kommt der Moment, andem die wichtigen Icons (nicht Anzeige und Sound, etc) wieder benötigt werden. Es handelt sich bei der Benutzergruppe um die es mir geht um Datenbank-Administratoren, d.h. die Verwaltung sollte schon zugänglich sein (von wegen ODCB u.ä.).

gruß, redrum
Bitte warten ..
Mitglied: Enne
20.05.2005 um 10:12 Uhr
Hallo redrum,

Habe etwas in den lokalen Sicherheitsrichtlinien gefunden !

Unter dem Punkt Sicherheitseinstellungen->Lokale Richtlinien->Zuweisen von Benutzerrechten gibt es einen Punkt Herunterfahren des Systems. Hier kannst du einstellen wer diesen PC Herunterfahren darf und wer nicht.

Wie du den Punkt Lokale Sicherheitseinstellungen gesperrt bekommst guck ich mal nach ....

Gruß Enne



Nachtrag : beim Punkt lokale Sicherheitseinstellungen könntest du die %SystemRoot%\system32\secpol.msc /s mit Dateiberechtigung einschränken. Du setzt einfach bei der Datei verweigerungen für deine Helper-Admins ......

Korrigiert mich bitte wenn meine Idee nicht funktioniert !

Weiterer Gruß Enne
Bitte warten ..
Mitglied: redrum
20.05.2005 um 10:15 Uhr
Hallo Enne,

Danke für den Hinweis. Ich werde das gleich mal testen.
Ich melde mich dann wieder.

gruß, redrum
Bitte warten ..
Mitglied: Metzger-MCP
20.05.2005 um 10:51 Uhr
Steinigt mich bitte nicht, aber warum darf ein User nicht seine Lokale Workstation Neustarten, Herrunterfahren, ... ? Dies kann ich nicht Nachvolziehen.
Du hast die Möglichkeit eine Gruppenrichtlinie einzurichten, das User sich nur noch an-abmelden können.

Mit freundlichen Grüßen Metzger
Bitte warten ..
Mitglied: redrum
20.05.2005 um 11:17 Uhr
Steinigt mich bitte nicht, aber warum darf
ein User nicht seine Lokale Workstation
Neustarten, Herrunterfahren, ... ?

*woistmeinStein?*
Es geht nicht im WS, sondern vielmehr um ein paar Server. Die Datenbankadministratoren arbeiten auf den Servern mit ihren Datenbanken. Ab und an müssen die Systeme neugestartet werden, sei es wg. Softwareeinspielungen oder ähnlichem. Die Verantwortung für die Funktionsfähigkeit der Systeme liegt jedoch nicht bei den DB-Admins, sondern bei mir (und anderen). Wenn die DB-Admins nun der Meinung sind sie müssen den Server neustarten dann machen die das einfach und ich bekomme es erst mit, wenn der Server down ist.
Da gutes Zureden nichts bringt und Dokumentation teilweise ein Fremdwort ist, muss es halt auf diese Weise gelöst werden.

Gruß, redrum
Bitte warten ..
Mitglied: gemini
20.05.2005 um 11:27 Uhr
@Metzger-MCP
Ich glaube er meint den Server auf dem sich die User via RDP anmelden.
Dann haben sie nämlich die Möglichkeit den Server runterzufahren.

Ingos Vorschlag in der Default Domain Controllers Policy umgesetzt sollte das verhindern.
Dann muss allerdings sichergestellt sein, dass den betreffenden Usern die Möglichkeit entzogen ist die Policy zu ändern
Bitte warten ..
Mitglied: redrum
26.05.2005 um 12:09 Uhr
So, Problem ist gelöst.

Ich habe endlich Zeit gefunden die Richtlinie durchzutesten und nun nur noch einzelnen Benutzern (systemadministratoren) die Möglichkeit gegeben die Server durchzustarten.

Vorgehensweise:
ADS
- Gruppenrichtlinie (Group Policy) erstellen auf der OU, die die Server-Objekte erhält
- Editiren der Richtlinie und unter "Computerkonfiguration/Windows Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Herunterfahren des Systems" aktivieren.
- Eine Gruppe, die alle berechtigten MA enthält, oder jeden MA einzeln der Richtlinie hinzufügen.
- Richtlinieneditor beenden und ggf. Vererbungsproblematiken prüfen.
- Warten bis die Server ihre neuen RIchtlinien sich abgeholt haben oder mit "secedit /refreshpolicy machine_policy /enforce" manuell anfordern.
- fertig.

Gruß, redrum
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
Software für Backup oder Datensynchronisation über WAN gesucht (3)

Frage von Rubiks zum Thema LAN, WAN, Wireless ...

Batch & Shell
Script zum Auflösen einer Ordnerstruktur und zurück gesucht (12)

Frage von websolutions zum Thema Batch & Shell ...

Multimedia
Alternative für Flickr gesucht (1)

Frage von honeybee zum Thema Multimedia ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...