Gulp 263 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 Exactamundo, danke Norbert (der einen Hauch schneller war als ich .....) Grüsse Gulp Link zu diesem Kommentar
RobDust 11 Geschrieben 29. Mai 2012 Autor Melden Teilen Geschrieben 29. Mai 2012 Hi Danke für die Antworten, das Turorial habe ich schon gesehen, war mir zu kompliziert, daher der Umweg überm admin. Mich würde noch interessieren: Mit Domänenadminrechten schmeiss ich (oder auch ein unbedarfter User) Dir in 1 Minuten Deine Domäne weg ohne jemals pyhsikalisch oder per RDP auf oder am DC gewesen zu sein, das ist ja gerade der Witz. wie genau? Also ich glaube es dir schon, nur wüsste ich gerne wissen das einem unbedarftem User passieren kann. PS: Was haltet ihr hiervon? Net Localgroup <Gruppenname> <Kontoname> /add fügt das angegebene Konto einer Gruppe hinzu Dies mit in den Anmeldescript packen? Es ist echt egal, was der User dann auf dem PC anstellt. (aber das versehentliche zerschiessen, des DC sollte doch verhindert werden) Link zu diesem Kommentar
Vainac 10 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 @RobDust Dafür gibt es viele Möglichkeiten, da ja laut deiner Aussage sogar noch Floppy vorhanden ist, stellt das Einschleusen von schadhafter Software ja kein Problem da, aber alternativ würde mir dazu einfallen. -Löschen von sämtlichen Daten aus dem AD per Zugriff auf die administrativen Freigaben -Löschen oder verändern der Netlogon Verzeichnisse -"versehentliches" löschen von freigegebenen Druckern auf anderen System oder dem DC usw. usw. Ich denke nicht, das dir hier jemand etwas böses will, aber das was du eingerichtet hast ist nicht nur eine offene Haustür, sondern das ist eine offene Haustür mit Schild, Anrufbeantworter mit Text das du im Urlaub bist und großen roten Neon Pfeilen. :-) Gruß Vainac Link zu diesem Kommentar
RobDust 11 Geschrieben 29. Mai 2012 Autor Melden Teilen Geschrieben 29. Mai 2012 @gulp, da kamm dir ja wieder einer zuvor :-) Ok das mit dem -Löschen von sämtlichen Daten aus dem AD per Zugriff auf die administrativen Freigaben -Löschen oder verändern der Netlogon Verzeichnisse ist möglich und nicht gut. Wie gesagt, wenn die die Clients verunstallten ist es kein Problem. Immerhin kann auch jeder seinen eigenen Verunstallten. Pech gehabt. Aber der DC sollte laufen :-) Daher wie ist es hiermit: Net Localgroup <Gruppenname> <Kontoname> /add (wobei ich den Befehl, ja merfach für jeden User ausführen müsste?) Dies mit in den Anmeldescript packen? Würde dies das o.g. verhindern? aber den User zu einem lokalem Admin am angemeldetem PC machen? Link zu diesem Kommentar
Vainac 10 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 @RobDust: Genau das was du vorhast, wird in dem Link von NorbertFe beschrieben. :-) Nur halt nicht per händischem Skript, sondern hübsch per Gruppenrichtlinie. Gruß Vainac Link zu diesem Kommentar
RobDust 11 Geschrieben 29. Mai 2012 Autor Melden Teilen Geschrieben 29. Mai 2012 Ich mag aber Scripts :-) ne Spaß beiseite, wir haben eh ein Script. Wegen den Netzlaufwerken. Würde da gerne dann die Zeilen hinzufügen: net localgroup /add administratoren localadmins net localgroup /add administrators localadmins Wobei localadmins eine Gruppe auf dem Server ist, indem sich meine User befinden. Sollte Funktioniereren? Und gleichzeitig meinen DC nicht zu sehr öffnen. Link zu diesem Kommentar
Vainac 10 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 Ja, das sieht nach einem gerade noch vertretbarem Workaround aus. Gruß Vainac Link zu diesem Kommentar
RobDust 11 Geschrieben 29. Mai 2012 Autor Melden Teilen Geschrieben 29. Mai 2012 Oder falls ich die andere Lösung wähle: Dann muss ich Als erstes eine Gruppe (z.B. lokadmins) erstellen, alle User reinpacken. Danach in den GPO unter Computerkonfiguration->Windows-Einstellungen->Sicherheitseinstellungen->Eingeschränkte Gruppen--> Gruppe Hinzufügen. Muss ich dort auf Durchsuchen klicken?! Oder einfach Administratoren eintragen (Und diese sind dann die lokalen Administratoren auf meinen PCs?) So und weiter weiß ich nicht? Ich würde dann das erste wählen (Mitglieder dieser Gruppe) Hinzufügen-> Dort wähle ich dann meine Gruppe (z.B. lokadmins). Aber würde das nicht meine Gruppe auch die User zu lokalen Admins auf dem Server machen? Link zu diesem Kommentar
Vainac 10 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 Ja, das ist m.M. das normale Vorgehen für solche Gruppenzuweisungen. Link zu diesem Kommentar
zahni 558 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 Boar ich hol nochmal aus?! Wie am DC anmelden`? Da kommen die pysikalisch mit Ihrem griffeln gar nicht hin... remotdesktop ist nicht möglich... noch irgendwelche Crack ideen für normal unsterbliche nicht mögliche dinge? Erklär mal, das würde mich jetzt interessieren, dann mach ich das Schlupploch gerne dicht. Wo lebst Du denn ? Ein User kann remote alles ändern. Auch Remote Desktop einschalten, Deine Datenwsicherung am sichern hindern (Du kennst NFTS-Rechte), Dich ägern, immer wenn Du Dich anmeldest den DC runterfahren, Nachrichten an Deinen Chef in deinem Namen schicken, Dich dauerhauft aussperren. Viel Erfolg noch bei Deinem Job... Link zu diesem Kommentar
Sunny61 809 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 Ich mag aber Scripts :-) Freunde dich mit aktueller Technik an. net localgroup /add administratoren localadmins net localgroup /add administrators localadmins Wobei localadmins eine Gruppe auf dem Server ist, indem sich meine User befinden. Sollte Funktioniereren? Und gleichzeitig meinen DC nicht zu sehr öffnen. Probier es aus. Setz dich doch an einen PC mit einem angemeldeten normalen Benutzer, jetzt den Befehl eingeben. Was passiert? Ganz wichtig, der Benutzer darf kein Admin auf der Maschine sein. In der Zwischenzeit hättest Du schon längst das HowTo von Gruppenrichtlinien.de umgesetzt. Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 29. Mai 2012 Melden Teilen Geschrieben 29. Mai 2012 Sorry aber wir haben besseres zu tun als technische Selbstmörder zu unterstützen. Der Beitrag ist geschlossen. vielen Dank an alle die zu helfen versucht haben. Link zu diesem Kommentar
Empfohlene Beiträge