Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Berechtigungen auf lokale Gruppen setzten

Frage Microsoft Windows Userverwaltung

Mitglied: bludwig

bludwig (Level 1) - Jetzt verbinden

31.07.2012 um 09:28 Uhr, 2788 Aufrufe, 9 Kommentare

Hallo,

weiß jemand, ob es eine Möglichekeit gibt, in Windows 7 Berechtigungen auf lokale Gruppen zu setzten? Bei Gruppen im Active Directory geht dies in der Lasche Sicherheit.

Hintergrund meiner Frage ist folgender:
Um mehr Sicherheit gegen Viren zu gewährleisten, möchte ich unseren Usern keine Admin-Rechte mehr auf den Workstations geben. Nun gibt es aber immer wieder Situation, wo doch Admin-Rechte benötigt werden. Deshalb war meine Idee, einen lokalen Benutzer auf den Workstations anzulegen, der Admin-Rechte hat. Über die UAC-Abfrage kann dieser dann im Bedarfsfall vom Anwender verwendet werden. Damit ist es aber auch möglich, den Benutzer des Anwenders in die Gruppe der Administratoren aufzunehmen. Wenn man nun die Berechtigugen auf diese Gruppe anpassen könnte, könnte man solch ein Hintertürchen schließen.

Vielen Dank für euere Antworten
Mitglied: Penny.Cilin
31.07.2012 um 09:34 Uhr
halli hallo Hallöle

weiß jemand, ob es eine Möglichekeit gibt, in Windows 7 Berechtigungen auf lokale Gruppen zu setzten? Bei Gruppen im
Active Directory geht dies in der Lasche Sicherheit.

Warum sollte das nicht gehen? Wäre mir jetzt neu, das es nicht geht.

Hintergrund meiner Frage ist folgender:
Um mehr Sicherheit gegen Viren zu gewährleisten, möchte ich unseren Usern keine Admin-Rechte mehr auf den Workstations
geben. Nun gibt es aber immer wieder Situation, wo doch Admin-Rechte benötigt werden. Deshalb war meine Idee, einen lokalen
Benutzer auf den Workstations anzulegen, der Admin-Rechte hat. Über die UAC-Abfrage kann dieser dann im Bedarfsfall vom
Anwender verwendet werden. Damit ist es aber auch möglich, den Benutzer des Anwenders in die Gruppe der Administratoren
aufzunehmen. Wenn man nun die Berechtigugen auf diese Gruppe anpassen könnte, könnte man solch ein Hintertürchen
schließen.

Wenn Du einen Benutzer oder eine Gruppe aus dem AD in die lokale Benutzergruppe Administratoren aufnimmst hat er lokale Administratorenberechtigungen.


Gruss Penny.
Bitte warten ..
Mitglied: bludwig
31.07.2012 um 09:45 Uhr
Hi Penny,

Vielen Dank für deine schnelle Reaktion.

mein Problem ist nicht, einen Benuzer in die lokale Admingruppe aufzunehmen.
Ich möchte verhindern, dass jemand die Mitgliedschaften der lokalen Gruppe "Administratoren" verändert, selbst wenn ein Benutzer schon Mitglied dieser Gruppe ist. Indem Moment hat der Benutzer ja Admin-Rechte auf dem gesamten PC. Nun dachte ich, es wäre möglich die Sicherheitsberechtigungen der lokalen Gruppe "Administratoren" zu ändern, dass außer dem eigentlichen Administrator alle anderen Benutzer nur lesenden Zugriff auf die Gruppe erhalten. Somit wären sie Admins auf dem PC, können die Gruppe der Administratoren aber trotzdem nicht ändern. Dies kann man im Active Directory machen, indem man die Eigenschaften einer Gruppe aufruft und dort in der Lasche Sicherheit die Berechtigungen anpasst. Bei lokalen Gruppen gibt es aber die Lasche Sicherheit in den Eigenschaften aber nicht....
Vielleicht hat ja jemand auch noch einen anderen Ansatz mein Problem zu lösen?

Vielen Dank im Voraus
Björn
Bitte warten ..
Mitglied: Dani
31.07.2012, aktualisiert um 10:52 Uhr
Moin Björn,
einen wirkliche Lösung gibt es leider nicht.
Wir haben z.B. noch Programme im Einsatz die explizit einen Adminbenutzer benötigen.


Grüße,
Dani
Bitte warten ..
Mitglied: catachan
31.07.2012 um 10:48 Uhr
Hi

das funktioniert so nicht. Sobald einer lokaler Admins ist kann er alles ändern. Du kannst aber eine neue Gruppe anlegen und dieser Gruppe die benötigten Rechte konfigurieren. Dann die USer in die Gruppe hinzufügen.
Kommt halt drauf an wop genau du Adminrechte brauchst (software installieren, etc..)

LG
Bitte warten ..
Mitglied: DerWoWusste
31.07.2012, aktualisiert um 13:44 Uhr
Moin.
Einzige Lösung: Schalte die Überwachung ein. So bekommst Du mit, wenn die Gruppenmitgliedschaft geändert wird. Admins können zwar das Logging abschalten, jedoch wird auch dies bemerkt und geloggt und die Überwachung ist somit wasserdicht.
Weg: ->secpol.msc->lok. Richtlinie->Überwachungsrichtlinie->Kontenverwaltung überwachen->aktivieren (Haken bei erfolgreich)
Damit man es auch mitbekommt, schalte ein, dass Du eventgetriggert Mails bekommst.
Weg: ->oberen Weg durchführen, dann ein Adminkonto erzeugen, dann das zugehörige Ereignis im Sicherheitseventlog raussuchen und rechtsklicken ->Aufgabe an dieses Ereignis anfügen->E-Mail senden (Mailkonfig setzen).
So wirst Du sofort informiert, wenn der Rechner am Netz ist (um Domänenkonten zur lokalen Admingruppe hinzuzufügen, muss er am Netz sein).

Edit: ACLs auf die Gruppe setzen (Deine eigentliche Anforderung) geht nicht.
Bitte warten ..
Mitglied: bludwig
31.07.2012 um 13:31 Uhr
Vielen dank für eure zahlreichen Antworten. ich habe mir jetzt mit einer Gruppenrichtlinie beholfen und über "Computer Configuration - Policies - Windows Settings - Security Settings - Restricted Groups" die Mitglieder der Administratoren vorgegeben. Für meine Anforderungen reicht das als Lösung aus.
Bitte warten ..
Mitglied: DerWoWusste
31.07.2012 um 13:43 Uhr
Es stellt kein Problem dar, das wieder zurück zu ändern. Du verbesserst Deine Situation auf diese Weise nicht.
Bitte warten ..
Mitglied: bludwig
31.07.2012 um 13:48 Uhr
naja...bei der nächsten Umsetzung der Gruppenrichtlinie werden die Mitgliedschaften aber wieder überschrieben, sofern der Anwender diese zuvor geändert hat. Damit erreiche ich, dass der Anwender nicht unter einem Account mit Admin-Rechten arbeitet, kann ihm gleichzeitig aber einen lokalen Account mit Admin-Rechten bereitstellen, der in der UAC-Abfrage verwendet werden kann.
Bitte warten ..
Mitglied: DerWoWusste
31.07.2012 um 14:02 Uhr
Ein lokaler Admin kann, wenn er böswillig und versiert ist (und das unterstellst Du mit der Anfrage), die Übernahme dieser Gruppenrichtlinie stoppen. Meinen Vorschlag kann er nicht stoppen.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (21)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
Lokale Serveranmeldung via RDP? (9)

Frage von ooAlbert zum Thema Windows Server ...

Windows Server
gelöst Einzelne Dateien auf einem Server haben auf einmal keine Berechtigungen mehr (7)

Frage von StefanKittel zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...