Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Berechtigungen auf lokale Gruppen setzten

Frage Microsoft Windows Userverwaltung

Mitglied: bludwig

bludwig (Level 1) - Jetzt verbinden

31.07.2012 um 09:28 Uhr, 2815 Aufrufe, 9 Kommentare

Hallo,

weiß jemand, ob es eine Möglichekeit gibt, in Windows 7 Berechtigungen auf lokale Gruppen zu setzten? Bei Gruppen im Active Directory geht dies in der Lasche Sicherheit.

Hintergrund meiner Frage ist folgender:
Um mehr Sicherheit gegen Viren zu gewährleisten, möchte ich unseren Usern keine Admin-Rechte mehr auf den Workstations geben. Nun gibt es aber immer wieder Situation, wo doch Admin-Rechte benötigt werden. Deshalb war meine Idee, einen lokalen Benutzer auf den Workstations anzulegen, der Admin-Rechte hat. Über die UAC-Abfrage kann dieser dann im Bedarfsfall vom Anwender verwendet werden. Damit ist es aber auch möglich, den Benutzer des Anwenders in die Gruppe der Administratoren aufzunehmen. Wenn man nun die Berechtigugen auf diese Gruppe anpassen könnte, könnte man solch ein Hintertürchen schließen.

Vielen Dank für euere Antworten
Mitglied: Penny.Cilin
31.07.2012 um 09:34 Uhr
halli hallo Hallöle

weiß jemand, ob es eine Möglichekeit gibt, in Windows 7 Berechtigungen auf lokale Gruppen zu setzten? Bei Gruppen im
Active Directory geht dies in der Lasche Sicherheit.

Warum sollte das nicht gehen? Wäre mir jetzt neu, das es nicht geht.

Hintergrund meiner Frage ist folgender:
Um mehr Sicherheit gegen Viren zu gewährleisten, möchte ich unseren Usern keine Admin-Rechte mehr auf den Workstations
geben. Nun gibt es aber immer wieder Situation, wo doch Admin-Rechte benötigt werden. Deshalb war meine Idee, einen lokalen
Benutzer auf den Workstations anzulegen, der Admin-Rechte hat. Über die UAC-Abfrage kann dieser dann im Bedarfsfall vom
Anwender verwendet werden. Damit ist es aber auch möglich, den Benutzer des Anwenders in die Gruppe der Administratoren
aufzunehmen. Wenn man nun die Berechtigugen auf diese Gruppe anpassen könnte, könnte man solch ein Hintertürchen
schließen.

Wenn Du einen Benutzer oder eine Gruppe aus dem AD in die lokale Benutzergruppe Administratoren aufnimmst hat er lokale Administratorenberechtigungen.


Gruss Penny.
Bitte warten ..
Mitglied: bludwig
31.07.2012 um 09:45 Uhr
Hi Penny,

Vielen Dank für deine schnelle Reaktion.

mein Problem ist nicht, einen Benuzer in die lokale Admingruppe aufzunehmen.
Ich möchte verhindern, dass jemand die Mitgliedschaften der lokalen Gruppe "Administratoren" verändert, selbst wenn ein Benutzer schon Mitglied dieser Gruppe ist. Indem Moment hat der Benutzer ja Admin-Rechte auf dem gesamten PC. Nun dachte ich, es wäre möglich die Sicherheitsberechtigungen der lokalen Gruppe "Administratoren" zu ändern, dass außer dem eigentlichen Administrator alle anderen Benutzer nur lesenden Zugriff auf die Gruppe erhalten. Somit wären sie Admins auf dem PC, können die Gruppe der Administratoren aber trotzdem nicht ändern. Dies kann man im Active Directory machen, indem man die Eigenschaften einer Gruppe aufruft und dort in der Lasche Sicherheit die Berechtigungen anpasst. Bei lokalen Gruppen gibt es aber die Lasche Sicherheit in den Eigenschaften aber nicht....
Vielleicht hat ja jemand auch noch einen anderen Ansatz mein Problem zu lösen?

Vielen Dank im Voraus
Björn
Bitte warten ..
Mitglied: Dani
31.07.2012, aktualisiert um 10:52 Uhr
Moin Björn,
einen wirkliche Lösung gibt es leider nicht.
Wir haben z.B. noch Programme im Einsatz die explizit einen Adminbenutzer benötigen.


Grüße,
Dani
Bitte warten ..
Mitglied: catachan
31.07.2012 um 10:48 Uhr
Hi

das funktioniert so nicht. Sobald einer lokaler Admins ist kann er alles ändern. Du kannst aber eine neue Gruppe anlegen und dieser Gruppe die benötigten Rechte konfigurieren. Dann die USer in die Gruppe hinzufügen.
Kommt halt drauf an wop genau du Adminrechte brauchst (software installieren, etc..)

LG
Bitte warten ..
Mitglied: DerWoWusste
31.07.2012, aktualisiert um 13:44 Uhr
Moin.
Einzige Lösung: Schalte die Überwachung ein. So bekommst Du mit, wenn die Gruppenmitgliedschaft geändert wird. Admins können zwar das Logging abschalten, jedoch wird auch dies bemerkt und geloggt und die Überwachung ist somit wasserdicht.
Weg: ->secpol.msc->lok. Richtlinie->Überwachungsrichtlinie->Kontenverwaltung überwachen->aktivieren (Haken bei erfolgreich)
Damit man es auch mitbekommt, schalte ein, dass Du eventgetriggert Mails bekommst.
Weg: ->oberen Weg durchführen, dann ein Adminkonto erzeugen, dann das zugehörige Ereignis im Sicherheitseventlog raussuchen und rechtsklicken ->Aufgabe an dieses Ereignis anfügen->E-Mail senden (Mailkonfig setzen).
So wirst Du sofort informiert, wenn der Rechner am Netz ist (um Domänenkonten zur lokalen Admingruppe hinzuzufügen, muss er am Netz sein).

Edit: ACLs auf die Gruppe setzen (Deine eigentliche Anforderung) geht nicht.
Bitte warten ..
Mitglied: bludwig
31.07.2012 um 13:31 Uhr
Vielen dank für eure zahlreichen Antworten. ich habe mir jetzt mit einer Gruppenrichtlinie beholfen und über "Computer Configuration - Policies - Windows Settings - Security Settings - Restricted Groups" die Mitglieder der Administratoren vorgegeben. Für meine Anforderungen reicht das als Lösung aus.
Bitte warten ..
Mitglied: DerWoWusste
31.07.2012 um 13:43 Uhr
Es stellt kein Problem dar, das wieder zurück zu ändern. Du verbesserst Deine Situation auf diese Weise nicht.
Bitte warten ..
Mitglied: bludwig
31.07.2012 um 13:48 Uhr
naja...bei der nächsten Umsetzung der Gruppenrichtlinie werden die Mitgliedschaften aber wieder überschrieben, sofern der Anwender diese zuvor geändert hat. Damit erreiche ich, dass der Anwender nicht unter einem Account mit Admin-Rechten arbeitet, kann ihm gleichzeitig aber einen lokalen Account mit Admin-Rechten bereitstellen, der in der UAC-Abfrage verwendet werden kann.
Bitte warten ..
Mitglied: DerWoWusste
31.07.2012 um 14:02 Uhr
Ein lokaler Admin kann, wenn er böswillig und versiert ist (und das unterstellst Du mit der Anfrage), die Übernahme dieser Gruppenrichtlinie stoppen. Meinen Vorschlag kann er nicht stoppen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Keine Berechtigungen für Gruppen
gelöst Frage von mbrinkmannWindows Server7 Kommentare

Hallo Zusammen, auf den Systemen, die ich im Büro verwalte habe ich ein Phänomen, dass ich mir nicht ganz ...

Ubuntu
Ubuntu 16.04 LDAP und lokale Gruppen-Berechtigungen
Frage von adm2015Ubuntu

Ich habe ein Problem zbw. weiß nicht wo ich ansetzen soll. Ich habe einen LDAP Server (Ubuntu 16.04) und ...

Ubuntu
Ubuntu 16.04 LDAP USER-GRUPPEN und lokale Gruppen Berechtigungen
Frage von adm2015Ubuntu8 Kommentare

Ich habe ein Problem zbw. weiß nicht wo ich ansetzen soll. Ich habe einen LDAP Server (Ubuntu 16.04) und ...

Batch & Shell
Batch, die Ordner erstellt und Berechtigungen setzt
gelöst Frage von lordofremixesBatch & Shell12 Kommentare

Hallo zusammen, ich brauche eine Batch, die folgendes macht: - Auf C:\ einen Ordner Beispielordner erstellen (C:\Beispielordner) - Diesen ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 18 MinutenWindows 10

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 16 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 19 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...