9
Computerverwaltung sperren
Hi, ich hoffe ihr könnt mir helfen,
wir haben bei uns im Netz einen Windows 2000 Server und Windows 2000 clients. Alle haben ein Servergespeichertes Profil. Einige der Netzer brauchen lokale Adminrechte am Client. Ich habe nun über die Gruppenrichtlinie eingestellt, dass zb. Diese Nutzer keinen zugriff auf die regedit haben bzw am eigentlichen Netzwerk nix ändern können.
Mein problem ist, mann kann sich weiterhin über die Computerverwaltung (rechtsklick auf Arbeitsplatz --> Verwaltung) ein Account erstellen, bzw. das Adminkennwort ändern. Dies möchte ich umgehen, da dort niemand was zu suchen hat.
Ich hab schon probiert die zu verweigern in dem ich in der Gruppenrichtlinie verschiedene systemsteuerungs sachen zu deaktivieren / sperren. Ich bekomm alles gesperrt was ich nicht sperren will. wie zb. Uhrzeit, System, Anzeige... aber nicht diese Computerverwaltung. Ich möchte aber auch nicht die ganze Systemsteuerung sperren, da die benötigt wird.
Ich habe auch noch nicht den richtigen namen (name.cpl) gefunden. Aber irgendwie muss das doch gehen.
Ich danke euch schonmal
wir haben bei uns im Netz einen Windows 2000 Server und Windows 2000 clients. Alle haben ein Servergespeichertes Profil. Einige der Netzer brauchen lokale Adminrechte am Client. Ich habe nun über die Gruppenrichtlinie eingestellt, dass zb. Diese Nutzer keinen zugriff auf die regedit haben bzw am eigentlichen Netzwerk nix ändern können.
Mein problem ist, mann kann sich weiterhin über die Computerverwaltung (rechtsklick auf Arbeitsplatz --> Verwaltung) ein Account erstellen, bzw. das Adminkennwort ändern. Dies möchte ich umgehen, da dort niemand was zu suchen hat.
Ich hab schon probiert die zu verweigern in dem ich in der Gruppenrichtlinie verschiedene systemsteuerungs sachen zu deaktivieren / sperren. Ich bekomm alles gesperrt was ich nicht sperren will. wie zb. Uhrzeit, System, Anzeige... aber nicht diese Computerverwaltung. Ich möchte aber auch nicht die ganze Systemsteuerung sperren, da die benötigt wird.
Ich habe auch noch nicht den richtigen namen (name.cpl) gefunden. Aber irgendwie muss das doch gehen.
Ich danke euch schonmal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 126732
Url: https://administrator.de/contentid/126732
Printed on: April 25, 2024 at 08:04 o'clock
9 Comments
Latest comment
Servus,
mein Angebot - gegen nennung der Gründe - warum es User mit Adminrechten geben "muß":
Lass uns das Problem dort beseitigen, wo es Sinn macht.
In gaanz seltenen Fällen ist das "wirklich" so - bisher hab ich noch jede Anwendung auch ohne Adminrechte zum funktionieren gebracht.
Das "verbiegen" ist - wenn überhaupt - nur temporär erfolgreich, bzw: einmal Adminrechte - immer Adminrechte - wie Du schon geschrieben hast.
Gruß
mein Angebot - gegen nennung der Gründe - warum es User mit Adminrechten geben "muß":
Lass uns das Problem dort beseitigen, wo es Sinn macht.
In gaanz seltenen Fällen ist das "wirklich" so - bisher hab ich noch jede Anwendung auch ohne Adminrechte zum funktionieren gebracht.
Das "verbiegen" ist - wenn überhaupt - nur temporär erfolgreich, bzw: einmal Adminrechte - immer Adminrechte - wie Du schon geschrieben hast.
Gruß
die adminrechte sind bei uns schon erforderlich sei es schon wie mal schnell plugins zu installieren beim mozilla oder mal schnell ein programm lokal zu installieren. der Netzadmin ist nicht immer zur verfügung.
gibt es dafür keine cpl?
gibt es dafür keine cpl?
Moin Moin
Gruß L.
Ich habe auch noch nicht den richtigen namen (name.cpl) gefunden.
Das könnte daran liegt das es keine .clp ist sondern die compmgmt.msc.Aber irgendwie muss das doch gehen.
Warum? Wer behauptet denn sowas?Gruß L.
Schade,
wieder ein Administrator, der seine User mit Adminrechten im weltweiten Web surfen läßt.
btw: Ich bin nur im Administrator Forum Administrator - und krieg trotzdem alles hin, was ich brauche
Kekspackung wieder ganz nach oben stell - wo die arme Armee ohne Arme - nicht dran kommt
wieder ein Administrator, der seine User mit Adminrechten im weltweiten Web surfen läßt.
btw: Ich bin nur im Administrator Forum Administrator - und krieg trotzdem alles hin, was ich brauche
Kekspackung wieder ganz nach oben stell - wo die arme Armee ohne Arme - nicht dran kommt
die "compmgmt.msc" hatte ich auch schon ausprobiert in der Gruppenrichtlinie, bringt aber nix. es geht trotzdem.
Warum und weshalb die Adminrechte haben/brauchen, sei dahingestellt und muss auch nicht groß ausdikutiert werden, die frage ist, wie kann man diese Computerverwaltung Sperren?
Warum und weshalb die Adminrechte haben/brauchen, sei dahingestellt und muss auch nicht groß ausdikutiert werden, die frage ist, wie kann man diese Computerverwaltung Sperren?
Zitat von @lorenzstraus:
Warum und weshalb die Adminrechte haben/brauchen, sei dahingestellt und muss auch nicht groß ausdikutiert werden, die frage ist, wie kann man diese Computerverwaltung Sperren?
Warum und weshalb die Adminrechte haben/brauchen, sei dahingestellt und muss auch nicht groß ausdikutiert werden, die frage ist, wie kann man diese Computerverwaltung Sperren?
Sorry ich "wollte" dir helfen - und nicht diskustieren.
Mein problem ist, mann kann sich weiterhin über die Computerverwaltung (rechtsklick auf Arbeitsplatz --> Verwaltung) ein Account erstellen, bzw. das Adminkennwort ändern.
Dies möchte ich umgehen, da dort niemand was zu suchen hat.
Dies möchte ich umgehen, da dort niemand was zu suchen hat.
"Wenn" man seinen Usern soweit traut, dass diese Adminrechte haben - warum traut man denen dann nicht, dass sie Ihre Rechte nicht ausnutzen - einen (nutzlosen) zusätzlichen lokalen Account anzulegen?
Die Rechte vom Admin haben die doch eh schon, was stört dann 1,2,3 oder 99 weitere?
Und da ein "richtiger" Admin eh immer den Domainadmin nimmt - um Software zu installieren, ist das mit dem ändern des lokalen Adminpasswortes ja auch nicht sooo das Ding.
Also Klartext:
Entweder, du läßt dir helfen - oder du findest eine Lösung, wie die User trotz Adminrechten schwarz auf weiß in den Unterlagen - die die Personalabteilung in deren Akte legt - dass diese User mit den Rechten, die du Ihnen gegeben hast - nix schlimmes anstellen.
Btw: Wer das Recht hat, die Uhrzeit zu ändern und das "richtig" macht - der kann sehr viel zur allgemeinen Belustigung innerhalb des Firmennetzwerkes beitragen
"Sooo" trivial, ist auch dieses Recht in einer Domain nicht - dass hat schon einen grund, dass dieses per GPO abschaltbar ist.
Aber mach mal. Find ich zwar traurig, aber wir wollen ja in die Disko und nicht diskutieren.
Moin
Nun ist es aber so, das die Lösung auf die Frage
Um damit hast Du ein kleines Dilemma, denn dein Lösungsansatz, ist nicht nur wenig erfolgsversprechend, sondern widerspricht auch dem Administrativen Prinzip, jedem nur genau die Rechte zu gewähren, die er benötigt.
Auch bei uns im Netz installieren User Programme - ohne Adminrechte.
Und natürlich haben gibt es auch bei uns Anwendungen die mehr Rechte erfordern als der 08/15 Standarduser hat. Das sind lösbare Probleme.
Dem Admin den Zugriff auf die Computerverwaltung zu entziehen, hingegen nicht.
Denk darüber nach.
Viel Erfolg
Gruß L.
Warum und weshalb die Adminrechte haben/brauchen, sei dahingestellt und muss auch nicht groß ausdikutiert werden,
Dem stimme ich zu. Das muß wirklich nicht diskutiert werden.Nun ist es aber so, das die Lösung auf die Frage
wie kann man diese Computerverwaltung Sperren?
lautet: Nimm den Usern die Adminrechte.Um damit hast Du ein kleines Dilemma, denn dein Lösungsansatz, ist nicht nur wenig erfolgsversprechend, sondern widerspricht auch dem Administrativen Prinzip, jedem nur genau die Rechte zu gewähren, die er benötigt.
Auch bei uns im Netz installieren User Programme - ohne Adminrechte.
Und natürlich haben gibt es auch bei uns Anwendungen die mehr Rechte erfordern als der 08/15 Standarduser hat. Das sind lösbare Probleme.
Dem Admin den Zugriff auf die Computerverwaltung zu entziehen, hingegen nicht.
Denk darüber nach.
Viel Erfolg
Gruß L.
Moin,
ich habe jetzt zwar nur mal durch das Thema durchgelesen. Allerdings fällt mir dazu spontan eines ein:
Warum einen Admin dekradieren wenn man einen User mit bestimmten Rechten privilegieren kann?
Ich kann doch dem Standart- / Hauptuser das Privileg zur Installation von Software geben.
Das sollte doch im Ganzen viel einfacher sein als ihm einfach die Rechte für alles zu geben und dann nochmal hintenrum etwas wieder zu entziehen....
MfG
Sam
ich habe jetzt zwar nur mal durch das Thema durchgelesen. Allerdings fällt mir dazu spontan eines ein:
Warum einen Admin dekradieren wenn man einen User mit bestimmten Rechten privilegieren kann?
Ich kann doch dem Standart- / Hauptuser das Privileg zur Installation von Software geben.
Das sollte doch im Ganzen viel einfacher sein als ihm einfach die Rechte für alles zu geben und dann nochmal hintenrum etwas wieder zu entziehen....
MfG
Sam
Ich kann doch dem Standart- / Hauptuser das Privileg zur Installation
von Software geben.
von Software geben.
dann werde ich mal Plan B probieren.
Danke
