Jump to content

Netzwerkanmeldung via Gruppenrichtlinien verbieten

huwsig

Von huwsig
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben
Ich meinte eigentlich keine VPN Clients, sondern eher Rechner die im Firmennetz sind und auf unergründliche Weise den Virenscanner deinstalliert haben. Diese sollen sich dann nicht am Netzwerk anmelden dürfen...

 

Aus welchem Grund sollten Clients/User den Virenscanner deinstallieren können? Eigentlich nur wenn fälschlicherweise Adminrechte vergeben worden sind. Adminrechte entziehen und schon dürfte das wohl kein Thema mehr sein.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben
Ja das stimmt schon, und Adminrechte können ja via Gruppenrichtlinien entzogen werden.

 

Du kannst auch ganz einfach das Passwort für den lokalen Admin per Startupscript verändern und natürlich solltest Du die Adminrechte auf den Clients schleunigst entfernen. Oder hat es bestimmte Gründe für die höheren Rechte?

 

Überprüfen ob jemand nen AV hat sollte auch via Richtlinien gehen, und die Silentinstallation auch oder täusch ich mich?

 

Dafür gibts von den meisten Anbietern für AV-Scanner die passenden Konsolen. Da sieht man gleich den Stand der einzelnen Clients. Und eine entsprechende Neuinstallation eines Clients kann man dabei auch Remote vornehmen. Der User kann bzw. soll sich dagegen ja nicht wehren können.

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben
Ja das stimmt schon, und Adminrechte können ja via Gruppenrichtlinien entzogen werden. Überprüfen ob jemand nen AV hat sollte auch via Richtlinien gehen, und die Silentinstallation auch oder täusch ich mich?
Wie soll denn das Entziehen von "Adminrechten" per GPO gehen? Auch die Möglichkeit des Überprüfens der Installation von AV per GPO sehe ich nicht. Was ist mit Silentinstalltion gemeint, eine per Skript gestartete oder per MSI-Datei?
Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben

Ich habe so etwas zu einen anderen Zweck mal gemacht: Im Benutzerkontext wurde ein Startskript ausgeführt, geprüft auf OU-Zugehörigkeit der Rechner und die Gruppenmitgliedschaft der Benutzer. Falls die Bedingung nicht stimmte, dann wurde der Benutzer wieder abgemeldet. Sinn war, Angehörige einer bestimmten Gruppe sollten sich nur an für diese vorgesehenen Rechnern anmelden, nicht an anderen.

 

Letztendlich wurde die gewünschte Wirkung erzielt, die Kids versuchten es nicht mehr an anderen. In Wirklichkeit war ja aber der Bedingung geschummelt, die Anmeldung funktionierte ja noch, das Startskript lief, es wurde geprüft und entsprechend reagiert. Wäre es einem klugen Kopf möglich gewesen , das Ausführen des Skriptes zu verhindern. Nun, die Klientel waren nicht von der Art.

 

Falls es nun primär um den Virenschutz geht, bei mir wird der zentral installiert per AntiVirusKonsole und kein Benutzer kann das ding auf den Clients manipulieren geschweige denn deaktivieren oder deinstallieren.

 

Nun gibt es manchmal ganz spezielle Situationen und besondere User, einflussreiche User. Man könnte versuchen die auszutricksen. Per Startskript in der Computerkonfiguration die Funktionsfähigkeit, das Vorhandensein, den Start des Dienstes für das Antivirus prüfen und den Rechner runterfahren und ausschalten. Dabei noch die Meldung eines bekannten Virus oder sowas Ähnliches den User grüssen lassen.

 

Ich habe sowas bei Bedarf schon gemacht, es aber nur sehr vorsichtig angewandt. Falls kollegiale Gespräche nichts fruchteten, habe ich Vorgänge protokolliert und gemeldet an Leute mit dem grossen Hut auf. Ich habe schon Leute unter Schmerzen lernen oder sie dumm sterben lassen. Letzte Woche suchte ein User ganz verzweifelt die aktuelle Kostenaufstellung.xls, ich habe ihn mehrmals dringend geraten, die Datei auf dem Server im Verzeichnes des Projektes zu speichern, damit diese mit gesichert werde. Er hat es mal wieder nicht gemacht. Ich werde ihn wohl noch ein paar Tage schmoren lassen müssen, ich bin im Moment mit anderen Dingen befasst. Eventuell finde ich die Datei ja später noch auf seiner Workstation.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben
Wie soll denn das Entziehen von "Adminrechten" per GPO gehen?

 

Eigentlich auf dem gleichen Weg wie das setzen. Eingeschränkte Gruppen

Auszug:

So nett wie sich das anhört so gefährlich kann diese Option sein, denn die Einstellung der Eingeschränkten Gruppe ersetzt komplett die lokal vorhandene Konfiguration, bzw. entfernt ggfs. alle Benutzer aus der per Default vorhandenen Gruppe und setzt dort nur noch die Mitglieder ein, die auch in der Eingeschränkten Gruppe definiert sind, spätestens bei erneuter Anmeldung des Users, bzw. nach 90 Minuten, wenn die Sicherheitsrichtlinie per Default Verhalten an die Clients neu übermittelt wird.

 

Komplizierter Satz, einfaches Beispiel.

 

Ich mache Asterix und Obelix zu Lokalen Administratoren über die Funktion der Eingeschränkten Gruppe. Jetzt passiert folgendes, alle ehemaligen Mitglieder der Lokalen Administratoren werden aus dieser Gruppen entfernt und nur noch Asterix und Obelix sind lokale Admins … in diesem Moment haben wir gerade den Domänen-Administrator zu einem einfachen „Benutzer“ an den Workstations degradiert.

 

Man sollte also darauf achten, daß dir original vorhandenen Einstellungen erhalten bleiben und in der obigen Konfiguration nicht nur Asterix und Obelix hinzugefügt werden, sondern auch Administratoren.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...