cjmatsel 10 Geschrieben 13. Oktober 2008 Melden Teilen Geschrieben 13. Oktober 2008 Hi, ich habe einen Server, welcher mehrere Administratoren hat. Leider sind diese notwendig, weil bestimmte Dienste darunter laufen. Kann man für diese Administratoren eine Netz-Anmeldung und den Zugriff auf den RemoteDesktop sperren? Zitieren Link zu diesem Kommentar
zahni 528 Geschrieben 13. Oktober 2008 Melden Teilen Geschrieben 13. Oktober 2008 Nein, ein Admin kann sich immer wieder alle Rechte geben, slebst wenn Du ihm welche entziehst. Du solltest Dein Berechtigungskonzept überdenken. Dienste müssen auch nicht zwangsläufig mit Admin-Berechtigungen laufen. -Zahni Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 13. Oktober 2008 Autor Melden Teilen Geschrieben 13. Oktober 2008 Hi, diese leider schon. Es gibt zu diesen Diensten auch keine Doku... Es gibt aber bei Benutzern die Möglichkeit, eine Anmeldung auf das Herkunfts-System zu beschränken (steht in den Benutzereigenschaften / Karteireiter "Konto" / Button "Anmelden..."); damit wäre der Zugriff über das Netzwerk schonmal eingeschränkt und man kommt mit diesem Admin-Namen nicht mehr rein. Nur eben der Zugriff auf den Remote-Desktop fehlt noch. Gibts da nicht ne GPO oder sowas? cu, cjmatsel Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 13. Oktober 2008 Melden Teilen Geschrieben 13. Oktober 2008 solange sie halt Admins sind, können sie eben alle Rechte sich wieder geben :Y Oder haben diese Admins dann auch lokal keinen Zugriff mehr? Wenn ja, würde es halt über die Nutzereinstellungen gehen. Ansonsten würde ich einfach eins machen: RDP komplett deaktivieren und UltraVNC oder RAdmin installieren. Da kannst dann unabhängige Zugangsdaten einrichten. Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 13. Oktober 2008 Autor Melden Teilen Geschrieben 13. Oktober 2008 Gefunden! Als GPO unter computerkonfiguration / Windows-Einstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten / Anmelden über Terminaldienste verweigern – Wenn sich der Dienstleister-Admin die Rechte nach der lokalen Anmeldung wieder gibt, kann man das problemlos feststellen. Somit ist aber gewährleistet, dass der Dienstleister physikalisch vor Ort sein muss, um diese Rechte zu erhalten ;-) cu, cjmatsel Zitieren Link zu diesem Kommentar
NorbertFe 1.896 Geschrieben 13. Oktober 2008 Melden Teilen Geschrieben 13. Oktober 2008 Gefunden! Als GPO unter computerkonfiguration / Windows-Einstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten / Anmelden über Terminaldienste verweigern– Wenn sich der Dienstleister-Admin die Rechte nach der lokalen Anmeldung wieder gibt, kann man das problemlos feststellen. Somit ist aber gewährleistet, dass der Dienstleister physikalisch vor Ort sein muss, um diese Rechte zu erhalten ;-) cu, cjmatsel Naja Admin ist Admin ist Admin. Wenn er weiß was er tut, dann bekommst du davon nichts mit. Aber egal, du hast ja deine Lösung gefunden. Ich würde den Dienstleister-Admin eher mal damit beauftragen, herauszufinden wieso die Dienste nur unter einem Adminaccount funktionieren. Bye Norbert Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 13. Oktober 2008 Autor Melden Teilen Geschrieben 13. Oktober 2008 @NorbertFe: Da stimm ich Dir zu, aber das ist leider momentan (noch) nicht machbar... Trotzdem Danke an alle... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.