d.pabst 10 Geschrieben 6. Dezember 2006 Melden Teilen Geschrieben 6. Dezember 2006 Hallo alle zusammen! Ich arbeite in einem Unternehmen, bei dem wir das Problem haben, das wir über 100 User haben, die immer an unterschiedlichen PCs arbeiten müssen. Das zweite und größere Problem ist, das unsere Hauptsoftware lokale Administratorrechte verlangt, damit diese korrekt funktioniert. Wir haben sogar Software, bei der ich früher per Hand (wo die Benutzer noch nicht lokale Admins waren), einige Registrierungszweige für den User auf Vollzugriff stellen musste. Einer meiner Kollegen hat vor längerer Zeit per Gruppenrichtlinie (GPO) jeden "Domänen-Benutzer" zum lokalen Admin aufgewertet, indem er unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Eingeschränkte Gruppen eine Gruppe "Administratoren" erstellt hat und hier die "Domänen-Benutzer" hinterlegt hat. (siehe Eingeschränkte Gruppen). Alle PCs und User befinden sich unterhalb dieser einen Organisationseinheit. Alle Anwender können nun ohne Probleme mit unserer Hauptsoftware arbeiten. Natürlich werden auch Programme installiert, die die Anwender nicht dürfen, aber da haben wir kleine Kontrollmechanismen integriert. Mein Hauptproblem ist nun, das ein User, wenn er einen anderen PC im Netzwerk kennt, auf desen administrative Freigabe (\\PCName\C$) ohne Probleme zugreifen kann. Somit kann die Reinigungsfrau mit entsprechenden Kenntnissen auf dem Desktop vom Einkaufsleiter die Daten öffnen und lesen. (Kleine Anmerkung: wir haben eine Weiterleitung der Eigene Dateien auf Server aktiviert, somit sind diese Daten nicht auf dem lokalen Rechner verfügbar). Natürlich können auch die temp. Internetdateien etc. gelesen werden. Wie kann ich nun jedem Benutzer die lokalen Admin-Rechte geben, ohne das er auf jeden anderen PC über administrativen Freigaben in der Domäne zugreifen kann. Was wäre wenn ich alle Benutzer über GPO als Hauptbenutzer auf den PC hinterlegen würde? Gegebenenfalls würde ich alle Bnutzer aus der Gruppe Administratoren entfernen (zuvor aber Domänen-Admins in diese Gruppe als einzigste eintragen) und jedem Benutzer über GPO Zugriff auf %programfiles% und auf die Registrierung geben. Aber ich möchte nicht an einer Domäne mit 300 PCs Experimente betreiben. Hat jemand schon Erfahrung mit solchen Einstellungen in den Gruppenrichtlinien? Ansonsten: feiert schön den Nikolaus-Abend d.pabst Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. Dezember 2006 Melden Teilen Geschrieben 6. Dezember 2006 Definiere an Stelle der Gruppe Domänenbenutzer die Gruppe Interaktiv, so sind die User an dem Rechner Administrator, an dem sie sich anmelden und nirgendwo sonst ... Zitieren Link zu diesem Kommentar
d.pabst 10 Geschrieben 6. Dezember 2006 Autor Melden Teilen Geschrieben 6. Dezember 2006 Hallo IThome, danke für den Tipp! :) Ich werde es ausprobieren und das Ergebnis posten. Es wird aber ein paar Tage dauern, da ich ein paar Test-Rechner vorbereiten werde. Oder hast Du eine solche Konfiguration bereits aktiviert? Ich habe mich natürlich etwas schlauer gemacht (Windows 2000 Server - Handbuch für die sichere Konfiguration: Anhang D - Benutzer- und Gruppenkonten ): Interaktiv: Enthält das Benutzerkonto des Benutzers, der lokal am Computer angemeldet ist. Die Mitglieder der Gruppe INTERAKTIV erhalten Zugriff auf die Ressourcen des Computers, an dem sie physisch arbeiten. Mit (S-1-5-4) sollte es mir daher möglich sein, den Benutzer interaktiv in der GPO zu integrieren. Vielen Dank d.pabst Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. Dezember 2006 Melden Teilen Geschrieben 6. Dezember 2006 Einfach in den eingeschränkten Gruppen INTERAKTIV hinschreiben, das reicht ... Ja, hier läuft so eine Konfiguration, trotzdem ist ein Test Deinerseits eine gute Sache ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.