zahni 554 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Natürlich kann erisch wieder das entsprechende Benutzerrecht geben. Und wenn es über den Umweg eines lokalen Kontos ist. oder über das loakle Konto "Administrator". -Zahni Zitieren Link zu diesem Kommentar
fumanschu 10 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Wie soll er sich denn mit lokalen Benutzerkonten über Domainrichtlinien hinwegsetzen, und wie soll er sich mit einem lokalen Benutzerkonto das Recht zur Besitzübernahme geben, wenn es per Domainpolicy gesperrt ist? Da bin ich aber gespannt wie du das machst, ich bin Windows Server 2008 Enterprise Administrator und weiß sehr genau, was mit Gruppenrichtlinien möglich ist und was nicht, wir reden hier von Domänebenutzern in einer AD Umgebung, und nicht von Privatbenutzern auf privaten Notebooks! Ich weiß ja nicht warum du hier unbedingt meinst es geht nicht, du solltest es mal probieren und dann qualifizierte Posts verfassen, nicht nach 10 Minuten zurückschreiben "das geht nicht". Ich hau jedenfalls wieder ab aus diesem Expertenforum, wollte euch nur einen Gefallen tun und euch mitteilen wie das doch möglich ist, aber anscheinend sind hier laute solche ExpertMember vorhanden die schon alles wissen... An alle hier die kein Brett vor dem Kopf haben, probiert es aus, und ihr werdet sehen dass es funktioniert, ich hab 2 Notebooks mit 2 neuen Mitarbeitern installiert und es unter beiden getestet, man kann Bitlocker nicht abdrehen oder umkonfigureren, egal was man macht... mfg fumanschu Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Das trifft alles auf DomänenBENUTZER zu. Wenn ein Benutzer lokale Adminrechte hat, hat er lokale Adminrechte. Das kannst Du drehen wie Du willst. Du musst es uns aber nicht glauben. Der Benutzer der Mitglied der lokalen Gruppe "Administratoren". Diese Gruppe hat eine feste SID die im Programmcode hart codiert ist und damit Sonderrechte hat. -Zahni Zitieren Link zu diesem Kommentar
fumanschu 10 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Hallo Zahni, das ist richtig, aber der springende Punkt ist die NTFS Berechtigung verweigern, verweigern Berechtigungen setzten IMMER!! zulassen Berechtigungen außer Kraft, also wenn der User in der lokalen Gruppe Administratoren ist aber gleichzeitig Mitglied in einer Domänengruppe die ihm das Recht verbietet, dann hat er kein Recht. Wir kommen sowieso auf keinen grünen Zweig, probier es einfach aus und dann reden wir weiter. Verstehst du, ich hab es schon eingerichtet, darum kann ich kein "das geht nicht" akzeptieren, eben weil es bei mir funktioniert. Setz dir Windows 7 auf einem Notebook auf und aktivier Bitlocker, dann legst du einen lokalen User an der in der Gruppe Administratoren ist und eine Gruppe Bitlocker, wo der User ebenfalls Mitglied ist. Dann übernimmst du den Besitz der beiden Objekte fvecpl.dll (steuert das Systemsteuerungsapplet Bitlocker) und manage-bde.exe vom standardmäßigen Besitzer TrustedInstaller und weist die Gruppe Bitlocker den Dateien zu mit Vollzugriff verweigern. Danach konfigurierst du die lokale Sicherheitsrichtlinie, sodass nur der lokale Administrator den Besitz von Objekten übernehmen kann, und nicht die lokale Gruppe Administratoren - das funktioniert, glaub es mir, wenn du dich dann anmeldest mit dem neu angelegten User kannst du die NTFS Berechtigungen der beiden Objekte nicht anzeigen, den Besitz nicht übernehmen, und wenn du Bitlocker anklickst in der Systemsteuerung macht es nur klick, aber das Fenster öffnet sich nicht weiter um es zu deaktivieren, aktivieren oder anzuhalten. Bei dem Versuch der Besitzübernahme kommt "Zugriff verweigert", trotz Adminrechten, ebenso wenn man manage-bde in der Command Line starten möchte - teste es aus, du wirst sehen dass es funktioniert. mfg Fumanschu Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Und der Lokale Admin kann die Lokale Richtlinie anpassen, und danach sich wieder die Rechte verschaffen. Zitieren Link zu diesem Kommentar
fumanschu 10 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Hallo Dukel, der lokale Admin kann die lokale Richtlinie aber nur ändern, wenn sie nicht von einer Domainpolicy konfiguriert ist, darum geht es doch. Wenn ich in der Domainpolicy explizit angebe, dass nur der Domainadmin das Recht hat, den Besitz von Objekten zu übernehmen, dann kann der lokale Admin das sicher nicht ändern, oder etwa doch? Wenn das der Fall sein sollte sind Gruppenrichtlinien komplett für'n A..., das würde mich vom Hocker schmeißen, leider kann ich das jetzt nicht mehr testen weil ich nicht in der Firma bin, das hole ich morgen nach. Das lokale Adminkennwort haben unsere User nicht, sie sind mit ihrem Domainkonto Mitglied in den lokalen Administratoren, aber mit einer Ultimate Boot CD für Windows hochfahren, das lokale Adminkennwort ändern und sich anmelden ist ja kein Problem. Wie gesagt würde mich das schockieren, wenn der lokale Admin die Domainpolicies auf dem Clientrechner überschreiben könnte, falls das doch so sein sollte habt ihr beide Recht, ich melde mich morgen noch einmal wenn ich das probieren konnte. Vielen Dank jedenfalls schon mal für eure Zeit und euren Imput. mfg fumanschu Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Jetzt noch mal ganz langsam: Du kannst der Gruppe "administratoren" und dem Konto Administrator keine Rechte dauerhaft entziehen, weder im NTFS noch in den Benutzerrechten, ok ? Wenn ein User Mitglied der lokalen Gruppe Administratoren ist, kann er das Kenwort aller lokalen Konten neu vergeben. -Zahni Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Hi, um das Ganze jetzt mal etwas abzukürzen: Ein Admin egal ob lokal oder in der Domain ist Chef in seinem Bereich. Glaube es einfach. Das lokale Adminkennwort haben unsere User nicht, sie sind mit ihrem Domainkonto Mitglied in den lokalen Administratoren, aber mit einer Ultimate Boot CD für Windows hochfahren, das lokale Adminkennwort ändern und sich anmelden ist ja kein Problem. Warum meinst du braucht der User eine Boot CD ? Für was ? Zitieren Link zu diesem Kommentar
fumanschu 10 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Sorry dass ich da auf dem Schlauch gestanden bin, jetzt versteh ich erst was du meinst. Natürlich kann er Bitlocker als lokaler Administrator beenden, da muss er aber erst das Kennwort ändern, und da dürfen wir ihm nicht draufkommen, sonst gibt's Saures. Ich hab das immer nur unter der Annahme gemeint, dass der User ganz normal mit seinem Domänenbenutzer einsteigt und das versucht, und da soll er die Berechtigungen nicht haben und vor allem nicht ändern können. Danke jedenfalls für den Hinweis, hast vollkommen recht, daran hab ich noch gar nicht gedacht, und die versuchen ja alles um unsere Konfigurationen zu umgehen, wenn mal jemand daran denkt die Festplatte zu entschlüsseln weil ihm der Datendurchsatz zu niedrig ist dann kann er das auf diesem Weg auch, und das kann ich ihm nicht sperren, egal was ich mache. Wie gesagt tut mir leid dass ich nicht gleich gecheckt hab was du meinst und das so aufgeufert ist, schönen Abend noch. mfg Christian Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Hi, kein Problem. Aber es gibt doch bestimmt Unternehmensrichtlinien an welche sich die User zu halten haben oder ? Sprecht mit den Leuten, erklärt warum die Sicherheit wichtig ist ! Zitieren Link zu diesem Kommentar
fumanschu 10 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Hi XP-Fan, natürlich gibt es Richtlinien nach denen sich die User richten müssen, aber bei uns sind etwa 85% Entwickler (was der Grund für deren Adminrechte ist), wir sind zB SAP Goldpartner, das wird bei uns im Haus auch entwickelt, aber solche Anwendungen laufen nicht ohne Adminrechte weil sie alle in den Windows Ordner schreiben, und viele andere Programme die in Verwendung sind bei uns laufen ohne die Rechte auch nicht, auch nicht mit Applocker, darum können wir ihnen die Rechte nicht nehmen. Wir erklären ihnen andauernd wie wichtig Sicherheit ist, und den meisten leuchtet das auch alles ein, aber bei über 300 Usern hast du einfach immer ein paar dabei die versuchen, alles zu umgehen oder abzuschießen, sei es der Virenscanner, Bitlocker, etc. Danke jedenfalls nochmal an alle beteiligten für eure Posts, ich hab mich gefreut wie ein Schneekönig dass ich was hingebracht hab was noch keiner geschafft hat, und an die einfachste aller Möglichkeiten hab ich nicht gedacht.. mfg Christian Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Du könntest z.B. überlegen, den Entwicklern auf den NB's eine Virtuelle Maschine bereitzustellen, in der sie entwickeln (mit Adminrechten). Die wäre dann auch verschlüsselt). -Zahni Zitieren Link zu diesem Kommentar
fumanschu 10 Geschrieben 3. November 2010 Melden Teilen Geschrieben 3. November 2010 Das hab ich mir auch schon überlegt, aber der Grund warum unsere User von Bitlocker nicht begeistert sind ist der Einbruch des Festplattendurchsatzes, und eine VM auf Notebooks bremst die Kiste auch brutal ein, da haben sie dann dasselbe Problem. Ich habe ihnen jetzt noch per Policy das anlegen von lokalen Konten verboten, aber über die Command Line können sie sich immer noch mit net user... neue Konten anlegen oder die Gruppenmitgliedschaft ändern, das muss ich eben akzeptieren, falls jemand danach suchen sollte wenn er auf die Idee mit dem lokalen Adminkonto kommt hat er dazu auch die Möglichkeit... Danke jedenfalls nochmal für eure Anregungen und Tips, einen schönen Tag noch uns bis zum nächsten mal. mfg Fumanschu Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.