pz6j89 10 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 Hallo zusammen. Wir haben in unseren Netzwerk ein kleines Problem. Einer unserer Domänenadmin-Accounts (Benutzername: Administrator) ist bekannt geworden und wurde einige Male schon benutzt um die lokalen Benutzerrechte zu umgehen. Leider kann ich das Kennwort noch nicht ändern, da ich noch nicht abschliessend geklärt habe welche Dienste davon betroffen sind (Ist ein alter Account, der eigentlich schon durch andere ersetzt ist). Bis dahin möchte ich verhindern dass sich die Benutzer an ihren Rechner mit diesem Account anmelden können ohne dass ich diesen Account generell ändere oder sperre. Könnt ihr mir beschreiben wie ich, z.B. über eine GPO, die lokale Anmeldung für genau diesen Benutzer verhindere? Kann ich das auch für Server einrichten ohne dass Dienste oder Serverprogramme betroffen sind? Danke + Gruss Oli Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 Leider kann ich das Kennwort noch nicht ändern, da ich noch nicht abschliessend geklärt habe welche Dienste davon betroffen sind (Ist ein alter Account, der eigentlich schon durch andere ersetzt ist). Dabei könnte dieser Artikel helfen: http://www.faq-o-matic.net/2008/12/25/dienst-und-task-konten-identifizieren/ Könnt ihr mir beschreiben wie ich, z.B. über eine GPO, die lokale Anmeldung für genau diesen Benutzer verhindere? Kann ich das auch für Server einrichten ohne dass Dienste oder Serverprogramme betroffen sind? IMHO geht das nur mit dem deaktvieren des Kontos. Denn wenn die User sich schon andere Berechtigungen gegeben haben, nützt dir das Sperren des Domain Admins auch nichts mehr. Ansonsten schau dir diesen Artikel an: http://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/ Der könnte dir helfen bis Du das PW beim Domain Admin umbenannt hast und Dienste oder Tasks mit eigenen Anmeldungen versehen hast. Aber wie bei allem: Vorsichtig und ausführlich vorher testen! Zitieren Link zu diesem Kommentar
pz6j89 10 Geschrieben 26. Januar 2015 Autor Melden Teilen Geschrieben 26. Januar 2015 Dabei könnte dieser Artikel helfen: http://www.faq-o-matic.net/2008/12/25/dienst-und-task-konten-identifizieren/ IMHO geht das nur mit dem deaktvieren des Kontos. Denn wenn die User sich schon andere Berechtigungen gegeben haben, nützt dir das Sperren des Domain Admins auch nichts mehr. Ansonsten schau dir diesen Artikel an: http://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/ Der könnte dir helfen bis Du das PW beim Domain Admin umbenannt hast und Dienste oder Tasks mit eigenen Anmeldungen versehen hast. Aber wie bei allem: Vorsichtig und ausführlich vorher testen! Danke. Deinen ersten LInk schaue ich mir mal an. Das mit den Usern, die sich die Rechte schon gegeben haben würde, ich in den nächsten Wochen beheben können. So gross ist unser Netzwerk gott sei dank nicht (~ 100 Computer). Ich will nur verhindern dass sie den Account für zukünftige Änderungen verwenden können. Dazu sollte es reichen die lokale Anmeldung an Computern und Servern zu verhindern. Wie das geht weiss ich. Ich weiss aber nicht ob das auch Dienste und Serverprogramme betrifft. Genau diese Info bräuchte ich (evtl. habe ich mich da etwas missverständlich ausgedrückt). Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 Danke. Deinen ersten LInk schaue ich mir mal an. Danke, sehr nett. :) Das mit den Usern, die sich die Rechte schon gegeben haben würde, ich in den nächsten Wochen beheben können. So gross ist unser Netzwerk gott sei dank nicht (~ 100 Computer). Du möchtest lieber Turnschuhadministration machen, hoffentlich hast Du gutes Schuhwerk! :) Falls Du den zweiten Artikel auch lesen würdest, könntest Du dir das Laufen durch das Haus sparen. Möchtest Du lieber laufen, dann lies ihn nicht. Ich will nur verhindern dass sie den Account für zukünftige Änderungen verwenden können. Dazu sollte es reichen die lokale Anmeldung an Computern und Servern zu verhindern. Wie das geht weiss ich. Ich weiss aber nicht ob das auch Dienste und Serverprogramme betrifft. Genau diese Info bräuchte ich (evtl. habe ich mich da etwas missverständlich ausgedrückt). Erstell ein neues Konto, trag es als Benutzer bei einem Dienst ein, melde dich als User an und wieder ab. Jetzt kommt dein Test. Du hättest sicherlich schon längst eine Lösung für diesen Teil deiner Frage gefunden. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 (bearbeitet) Wenn es um lokale Adminrechte geht: Die sind an die lokale Gruppe Administratoren und deren Member gebunden. Hier kann man (auch per GPO) eine andere Gruppe als "Domänen-Admins" zuweisen. Wenn das geändert ist, gibt es noch ein Benutzerecht (ich glaube SeDenyInteractiveLogonRight) , dass die lokale Anmeldung für einen User verhindert Ansonsten aber auf jeden Fall den User "killen" oder sein Passwort ändern. bearbeitet 26. Januar 2015 von zahni Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 Und um das noch zu ergänzen: Interaktiv anmelden ist ein anderes Recht als "Anmelden als Dienst" oder "Anmelden als Stapelverarbeitungsauftrag" (geplanter Task). Das Sperren der interaktiven Anmeldung hat auf die anderen beiden keinen Einfluß. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.