lokale Admin rechte auf PC's; jedoch nicht über Terminal Server

[73rsr 10]

Hallo zusammen

 

Wir betreiben ein Netzwerk mit Win 2003 Server, Vista und XP Clients. Nun habe in der Sicherheitsrichtlinie für Domänen unter eingeschränkte Gruppen lokale PC-Admins gemacht, dass die User auf dem PC's lokale Admin rechte haben.

 

Dies hat jedoch zu folge, dass jeder User nun auch über Terminal Server plötzlich auf dem Server Admin rechte hat und z.B. den Server herunterfahren könnte.

 

Wie kann ich das nun einstellen, dass die User zwar auf den Client Computern Admin rechte haben, in einer Terminal Server Session jedoch nur 'ganz normale' user rechte?

 

Vielen Dank für Euere Hilfe.

Gruss 73rsr

[zahni 561]

Wie hast Du welchen User in welche Gruppe geschoben ?

 

Mal davon abgesehen halte ich es nicht für sinnvoll Usern Admin-Rechte zu geben.

 

-Zahni

[73rsr 10]

Hi zahni

Ich habe unter den eingeschränkten Gruppen die Gruppe DOMAIN\diese_Benutzer hinzugefügt. Im Feld "Diese Gruppe ist mitglied von" habe ich Administratoren eingefügt.

 

Was würdest Du anstelle "Administratoren" empfehlen? Die User müssen lokal auf den PC's Software installieren können, desktop anpassen und was alles so dazu gehört.

[zahni 561]

Wahrscheinlich sind die Benutzer jetzt Mitglied die Gruppe "Administratoren" auf allen Servern, weil "Sicherheitsrichtlinie für Domänen" auch bei den Servern gezogen wird.

 

Besser: Du macht eine OU für die PC's, dort eine neue GPO, wo Du dann die Einträge macht. Die PC's dann in diese OU verschieben.

 

User müssen keine Software am PC installieren. Das macht, nach Validierung der Software, der Admin. Denn der Admin will ein viren- und störungsfreies Netz haben.

 

-Zahni

[73rsr 10]

Hi Zahni

Das mit der OU bei den PC's versuche ich.

 

Das mit der Software ist so eine Sache. Bei diesem Netz sind 7 User dran. Jeder muss hier Software installieren können.