Ändern der Systemzeit per GPO verbieten

[deadcandance 10]

Hallo,

 

ist es sinnvoll das Ändern der Systemziet per Gruppenrichtlinie für PowerUser und Lokale Admin zu verbieten, d. h. dieses Recht nur den Domänen-Admins zuzuweisen?

Hintergrund meiner Frage ist folgender.

Ich arbeite als Dom-Admin sozusagen unter erschwerten Bedingungen. Es gibt viele User die auf Ihren Rechnern Lokale Adminrechte haben, und diese auch brauchen. Nun kennt wahrscheinlich jeder Admin den Typus ganz schlauer User, der all die schlauen Computerzeitschriften liesst und sich einbildet er kennt sich aus. Das würde nicht mal ich von mir behaupten, und ich habe viele Computerzeitschriften gelesen :rolleyes:

Genau dieser Typ macht mir die Arbeit schwer. Ich ahbe den Verdacht das einige dieser User an Ihrem System rumspielen. und das möchte ich per Gruppenrichtlinie verbieten. Ich bin mir aber nicht ganz sicher welche Auswirkungen das verbieten diese Rechts hat. Funktioniert dann die Zeitsyncronisierung noch? Gibt es eventuell Auswirkungen an anderen Stellen, an die ein normaler Mensch nicht mal denkt?

 

Wir haben eine W2k3 Domäne und XP Clients.

 

gruss dcd

 

PS: wäre eine Forumsrubrik für GPO's nicht sinnvoll?

[IThome 10]

Ich denke nicht, dass es Auswirkungen hat. Die Zeit wird in der Domäne vom W32TIME angepasst, nicht vom Administrator oder Hauptbenutzer ...

Wenn die selbst ihre Zeit verstellen, werden sie es spätestens in der Domäne merken, wenn sie nirgendwo mehr zugreifen können (wenn die Zeit zu sehr auseinander ist) ... Also lernen durch Schmerzen ;)

[Daim 12]

Buenos dias,

 

Ich arbeite als Dom-Admin sozusagen unter erschwerten Bedingungen. Es gibt viele User die auf Ihren Rechnern Lokale Adminrechte haben, und diese auch brauchen.

 

das halte ich für einen Trugschluss.

Gerade Benutzer sollten nie mehr Rechte lokal bekommen als der Standard-Benutzer.

Man muss dann eben für die speziellen Applikationen, die mehr Rechte benötigen, die Rechte auf die Registry sowie Verzeichnisse für den Benutzer extra setzen.

Dabei ist dir der Proces-Monitor von Sysinternals@Microsoft behilflich.

 

Siehe:

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

Abgesehen davon sollten Domänen-Benutzer noch nicht einmal Hauptbenutzer-Rechte erhalten.

Siehe:

A member of the Power Users group may be able to gain administrator rights and permissions in Windows Server 2003, Windows 2000, or Windows XP

 

Oder:

Wie Hauptbenutzer zu Admins werden - faq-o-matic.net

 

 

Nun kennt wahrscheinlich jeder Admin den Typus ganz schlauer User, der all die schlauen Computerzeitschriften liesst und sich einbildet er kennt sich aus.

 

Genau aus diesem Grund, dürfen die Benutzer nicht mehr Rechte erhalten.

Schon garnicht unter ihrem normalen Benutzeraccount.

 

 

Gibt es eventuell Auswirkungen an anderen Stellen, an die ein normaler Mensch nicht mal denkt?

 

Nein, die gibt es zwar nicht, dass ist aber der falsche Ansatz.

 

 

PS: wäre eine Forumsrubrik für GPO's nicht sinnvoll?

 

Dazu müssen sich die Board-Admins äussern ;).

[deadcandance 10]

Buenos dias,

 

das halte ich für einen Trugschluss.

Gerade Benutzer sollten nie mehr Rechte lokal bekommen als der Standard-Benutzer.

Man muss dann eben für die speziellen Applikationen, die mehr Rechte benötigen, die Rechte auf die Registry sowie Verzeichnisse für den Benutzer extra setzen.

Dabei ist dir der Proces-Monitor von Sysinternals@Microsoft behilflich.

 

Genau diese Diskussion wollte ich vermeiden, und deine Ansicht das es ein Trugschluß ist, ist vollkommener Schwachsinn, da du die Unternehmensumgebung in der ich arbeite überhaupt nicht kennst.

Die Aussage das normale Benutzer nur normale Benutzerrechte haben dürfen, ist eine pauschale Aussage die an der Realität vorbeigeht. Aber du kannst dir gern die Arbeit machen und die Registrykeys und Verzeichnisse auf allen PC's entsprechend berechtigen. Viel Spass :D