Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

XP-Netzwerk - Als admin diverse ausgegraute Einstellungen ändern

Frage Microsoft Windows Userverwaltung

Mitglied: admister

admister (Level 1) - Jetzt verbinden

18.04.2012, aktualisiert 11:40 Uhr, 3556 Aufrufe, 16 Kommentare

Hallo,
ich bin offizieller Betreuer eines XP-Netzwerks mit 40 Workstations und einem Windows 2003-Fileserver (aber kein Chefprogrammierer).
Das Netzwerk hat auch eine active Directory-Verwaltung, die zentral in einem Rechenzentrum geführt wird.
Im Gegensatz zu den normalen Usern habe ich deutlich höhere Netzwerk-Rechte, z.B. kann ich mit regedit fast alles ändern oder systemverändernde Programme (Treiber...) installieren.
Einige Windows-Einstellungen sind aber auch bei mir ausgegraut.
- Die Einstellungen des Bildschirmschoners
- Die Karte Sicherheitseinstellungen beim IE8

Ich würde dort gerne ein paar Kleinigkeiten ändern, z.B. sollen Dateidownloads nicht automatisch blockiert werden.
Ich würde das gerne für mein Kennzeichen ändern und evtl. auch für ein paar User. Z.B. können einige nicht damit leben, daß schon nach 5 Minuten der Bildschirmschoner einsetzt und sie so ständig ihr Passwort eingeben müssen, obwohl sie auf keinerlei sicherheitsrelevante Daten Zugriff haben.

Die Frage ist nun, wie ich für mich und wie ich für andere User solche Einstellungen setzen kann ober ob dies "dank active directory system" gar nicht möglich ist.
Mitglied: d4shoerncheN
18.04.2012 um 11:39 Uhr
Hallo,

wie du bereits teilweise richtig erkannt hast, werden die Einstellungen per GPO angewandt (Richtlinien, durch Active Directory). Dort solltest du auch mal ansetzen, relativ leicht zu finden und lässt sich auch schnell abändern.

Zur kleinen Hilfe noch:
http://www.gruppenrichtlinien.de/
Bitte warten ..
Mitglied: Aftershock
18.04.2012 um 11:44 Uhr
Wenn ich dich richtig verstehe, hast du keinen Zugriff auf die Active Directory und somit auch nicht auf die Gruppenrichtlinien die für das ganze Unternehmen gelten. Sofern der Sicherheits- und oder Serveradmin kein Vollpfosten ist, wirst du kaum eine Chance haben.

Aber versuchen kann man es ja.
Hier mal Beispiel für den Bildschirmschoner:
http://support.microsoft.com/kb/272304/de

Greetz
Bitte warten ..
Mitglied: admister
18.04.2012 um 12:02 Uhr
Vielen Dank für Eure Antworten.
Ich habe ein active-directory-tool, mit dem ich User anlegen und verwalten kann (Gruppenzugehörigkeit, Anmeldezeiten...):
Microsoft Management Console 3.0 Version 5.1 built 2600
Aber betreffs Software-Sicherheitseinstellungen habe ich dort nichts gefunden.
Als Admin kann ich auch gpedit.msc aufrufen und da diverse Einstellungen tätigen. Aber anscheinend komme ich da nicht an die Punkte ran, die man bräuchte?
Gibt es evtl. ein anderes tool?
Die obersten Admins sind mit Sicherheit sehr fähig, aber mit denen kann man über solche kleinen Marscherleichterungen nicht verhandeln. Mir gehts z.B. darum, daß die kleine Sekretärin verzweifelt, weil die nach jedem Telefonat ihr PW neu eingeben muß und man zu allem Überdruß per globaler Richtlinie jetzt lange komplexe Passwörter verordnet hat...
Bitte warten ..
Mitglied: Scriptex
18.04.2012 um 12:10 Uhr
Schau mal, was in dem Fenster steht, wenn du gpedit.msc aufrufst: Editor für lokale Gruppenrichtlinien. Das bedeutet, mit gpedit.msc hast du nur die Möglichkeit(!), lokal etwas zu bewirken. Es ist aber davon auszugehen dass das Verwalten von lokalen Gruppenrichtlinien durch die bei euch allgemein geltenden GPOs deaktivert wurde. Das ist dann eine Einstellung, die der/die Admin(s) vorgenommen hat/haben.

GPOs spielen in der Sicherheit von heutigen Unternehmensnetzwerken eine riesige Rolle, da wirst du nicht drum herum kommen, dich mit dem Admin in Verbindung setzen zu müssen. So wie du es beschrieben hast, scheinen ja bei euch noch einige Dinge zu tun. Mein Vorschlag: Sprich es mit dem "Chefprogrammierer" ab, dann gibt es die Chance, dass es geändert wird. Versuchst du es hintenrum auf eigene Faust, könnten andere davon hören und es auch probieren, bis sich am Ende jeder alles selber macht und rumprobiert. Dein Admin will sicher niemanden ärgern oder behindern, sondern nur für Sicherheit sorgen. Wenn da die Arbeitseffizienz der User drunter leidet, muss das eben gesagt werden und der Admin drum gebeten werden, die GPO anzupassen.

Gruß Scriptex
Bitte warten ..
Mitglied: admister
18.04.2012 um 12:16 Uhr
Vielen Dank für Deine Antwort. Ja, wenn man gpedit aufruft, heißt es ganz oben "Richtlinien für lokale Computer" und damit habe ich wohl keine Chance.
Ja, unmöglich ist es nicht, mit den obersten Hohenpriestern zu diskutieren, aber erfahrungsgemäß kriegt man bei 90% der Wünsche ein Nein, weil die deutschlandweit eine generelle Politik fahren wollen und ihnen die Zeit zu schade ist, sich mit Microbedürfnissen zu befassen.
Bitte warten ..
Mitglied: d4shoerncheN
18.04.2012 um 12:20 Uhr
Denke aber mal, dass deine Administratoren deinen Wünschen schon nachgehen werden. Wenn die Einstellungen per GPO gesetzt wurden, brauchen keine erstellt, sondern nur noch bearbeitet werden.

Die paar Sachen die du oben genannt hast, hat man in einer Minute fertig - wenn man dann damit argumentiert, wie lange die User brauchen, jedes Mal Ihr Passwort neu eingeben zu müssen etc.
Bitte warten ..
Mitglied: admister
18.04.2012 um 12:27 Uhr
Ich werde mich wohl durchringen, nach oben betteln zu gehen, aber ich mache das sehr ungern, weil ich schon öfters eine Abfuhr "geht nicht wegen ist nicht" bekommen habe.
Ich würde ja ganz gern irgendwas probieren zum Test, ob ich was einstellen kann, habe aber keine Vorstellung, was ich brauche.
Ist es so, daß kennzeichenabhängig die Microsoft-Management-Console viel mehr Optionen zeigen kann als ich sehe oder wie ist das?
Auch mit einem bessen Verständnis der Dinge wäre mir schon geholfen.
Bitte warten ..
Mitglied: d4shoerncheN
18.04.2012 um 12:34 Uhr
Weiß jetzt nicht genau was du meinst...

Der Windows Server bietet die Möglichkeit eine Active Directory zu verwenden und diese zu verwalten. Diese ist dafür da, um Benutzer-/ und Gruppenrechte einheitlich und schnell zu vergeben (nur ein Beispiel).

Dort kann man die schon angesprochenen Gruppenrichtlinien erstellen oder bearbeiten. Mit diesen GPO's kann man so ziemlich alles einstellen, was jeder Benutzer sonst auch einzeln einstellen könnte. Die GPO's kann man auf alle Benutzer anwenden, auf Gruppen, oder einzelne Benutzer - wie man es eben brauch.

Unterschieden wird dort noch unter der Benutzer-/ und der Computerkonfiguration.

Es bietet halt den Vorteil, dass man einmal eine solche Richtlinie erstellt und diese automatisch an die autorisierten Personen verteilt. Das führt dazu, dass der administrative Aufwand um einiges abnimmt, gerade bei größeren Betrieben.

Generell kannst du ja auch mal nach Active Directory googeln, um zu verstehen was genau dieses tut. Ansich ist die AD eine Datenbank.

Ein Beispiel wäre z. B. eine GPO zum deaktivieren des Bildschirmschoners:

Man öffnet die "Gruppenrichtlinienverwaltung", erstellt eine neue GPO Namens "Bildschirmschoner deaktivieren" (Namen kann man sich aussuchen, sollte aber kurz beschreiben welche Einstellungen dort getroffen werden sollen) und geht wie folgt vor:

Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Systemsteuerung/Anpassung -> Bildschirmschoner aktivieren = Deaktiviert

Durch diese Einstellung werden die Bildschirmschoner deaktiviert für sämtliche Benutzer. Die Gruppenrichtlinien werden automatisch alle 90 Minuten aktualisiert, nach Neustart oder durch den Befehl "gpupdate /force".

Mit dem Befehl "gpresult" kann man sich anzeigen lassen, welche Gruppenrichtlinien angewandt werden.
Bitte warten ..
Mitglied: SlainteMhath
18.04.2012 um 13:16 Uhr
Moin,

Die obersten Admins sind mit Sicherheit sehr fähig, aber mit denen kann man über solche kleinen Marscherleichterungen nicht verhandeln. Mir gehts z.B.
darum, daß die kleine Sekretärin verzweifelt, weil die nach jedem Telefonat ihr PW neu eingeben muß und man zu allem Überdruß per globaler Richtlinie
jetzt lange komplexe Passwörter verordnet hat...
Kleiner Tipp von einem "obersten Admin": Wenn Du versuchst die Sicherheitsrichtlinien zu umgeben, die von den AD-Admin(s) verordnet wurden gibts i.d.R. Ärger bis hin zur Abmahnung.

Ergo: rede mit den Admins oder deinem oder deren Vorgesetzten, wenn die nicht wollen/dürfen/können => Pech!

lg,
Slainte
Bitte warten ..
Mitglied: 106009
18.04.2012 um 13:32 Uhr
Hi,

das "Problem" mit dem Bildschirmschoner und dem Passwort ist doch vorgeschoben. Das lässt sich ganz einfach umgehen, indem man vor Ablauf der 5 Minuten irgendeine der Tasten STRG, UMSCHALT oder ALT kurz betätigt oder mal kurz an der Maus ruckelt, oder muss die Sekretärin oder müssen andere User zum Telefonieren den Raum, in dem auch ihr PC steht verlassen?

Gruß
Bitte warten ..
Mitglied: admister
18.04.2012 um 13:36 Uhr
Hallo, d4shoerncheN

Vielen Dank für Deine ausführliche Antwort. Mir ist jetzt schon einiges klarer und der Befehl gpresult bringt eine Menge interessante Info.
Ich gehe also davon aus, daß ich in der Sache nix machen kann. Mein AD-tool trägt die Überschrift "Active Directory User und Computer". An was anderes komme ich nicht ran und neue Objekte außer User kann ich dort auch nicht erstellen.
Werde mich also auf den umständlichen Dienstweg begeben müssen.
Sache ist damit erledigt.
Bitte warten ..
Mitglied: admister
18.04.2012 um 13:41 Uhr
Ist nix vorgeschoben, habe die Sache nur nicht in epischer Breite geschildert. Wenn ein Telefonat stört, muß man einfach drandenken, den PC wach zu halten, was lästig ist. Aber es gibt ja 100 andere Fälle: Sekretärin wird von einem Mitarbeiter angesprochen oder sucht was im Schrank oder geht aufs WC oder Raucherpause oder oder. Und wie schon gesagt wurde gehts nicht nur um den Bildschirmschoner sondern ich wollte allgemein den fachlichen Background um die ausgegrauten Felder verstehen und auch sonst noch ein paar unnötige Schikanen wie den Downloadblocker für manche Kollegen, die drunter leiden, entschärfen. Aber die Sache ist jetzt erledigt, da keine Änderungsmöglichkeit.
Bitte warten ..
Mitglied: d4shoerncheN
18.04.2012 um 13:42 Uhr
Vorgeschoben würde ich nicht sagen, denn ich kenne seine Problematik. Bei mir in der Firma war es auch gewünscht, den Intervall zu erhöhen oder zu deaktivieren. Da es doch mal häufiger vorkommt, dass die Mitarbeiter mal nicht am Platz (z. B. Raucherpause, Mitarbeitergespräche mündlich etc.) und jedes Mal das Passwort eingeben müssen.
Bitte warten ..
Mitglied: 106009
18.04.2012 um 13:59 Uhr
Es hat sicher alles einen Sinn, dass die Restriktionen vorhanden sind.
Es gäbe aber eine simple Möglichkeit, den Bildschirmschoner zu überlisten, doch die werde ich hier nicht nennen.
Bitte warten ..
Mitglied: admister
18.04.2012 um 15:30 Uhr
Ist mir schon klar, daß man das scr-File direkt aus dem Weg räumen könnte, aber so tiefgreifend wollte ich den Schutz nicht aushebeln.
Bitte warten ..
Mitglied: 106009
18.04.2012 um 15:38 Uhr
Von einem Eingriff habe werder geschrieben noch habe ich das angedacht.
Bitte warten ..
Ähnliche Inhalte
CMS
gelöst Wordpress Admin-URL ändern (13)

Frage von MegaGiga zum Thema CMS ...

Batch & Shell
Script Lokales Admin Passwort ändern (3)

Frage von MaxBerg zum Thema Batch & Shell ...

Erkennung und -Abwehr
Lokale Virenprüfstation : Windows 10: Ändern von Einstellungen verhinden (5)

Frage von TryAndSolve zum Thema Erkennung und -Abwehr ...

Neue Wissensbeiträge
Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Heiß diskutierte Inhalte
Exchange Server
Exchange 2016 Standard Server 2012 R2 Hetzner Mail (36)

Frage von Datsspeed zum Thema Exchange Server ...

Verschlüsselung & Zertifikate
Mit Veracrypt eine zweite interne (non-system) Festplatte verschlüsseln (10)

Frage von Bernulf zum Thema Verschlüsselung & Zertifikate ...

Internet Domänen
Nameserver ein Geist? (7)

Frage von zelamedia zum Thema Internet Domänen ...

Video & Streaming
Kamera mit 24-7 auf Website hat Aussetzer (6)

Frage von Calvus zum Thema Video & Streaming ...