Rotwilderer 10 Geschrieben 15. Oktober 2015 Melden Teilen Geschrieben 15. Oktober 2015 Hallo zusammen, wir haben in unserer Firma mehrere Notebooks von Aussendienst Mitarbeitern, die aus verschiedenen Gründen lokale Adminrechte benötigen. Leider haben die Benutzer auch damit das Recht, den Computer aus der Domäne zu entfernen. Wie kann man das deaktivieren bzw. die Benutzerrechte so ändern, dass nur Domänen-Admins die Computer aus der Domäne entfernen können? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 15. Oktober 2015 Melden Teilen Geschrieben 15. Oktober 2015 Indem man den Anwendern die Admin Rechte nimmt. Wie wäre es mit einer Sozialen statt Technischen Lösung? Wieso sollten die Mitarbeiter das Notebook aus der Domäne entfernen? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 15. Oktober 2015 Melden Teilen Geschrieben 15. Oktober 2015 wir haben in unserer Firma mehrere Notebooks von Aussendienst Mitarbeitern, die aus verschiedenen Gründen lokale Adminrechte benötigen. Lass mich raten, es gibt Software die braucht erhöhte Rechte, oder? Leider haben die Benutzer auch damit das Recht, den Computer aus der Domäne zu entfernen. Wie kann man das deaktivieren bzw. die Benutzerrechte so ändern, dass nur Domänen-Admins die Computer aus der Domäne entfernen können? Gar nicht, nimm den Benutzern die Adminrechte. NTFS-Berechtigungen kann man auch ganz fein einsetzen und sich somit lokale Adminrechte sparen. Zitieren Link zu diesem Kommentar
Rotwilderer 10 Geschrieben 15. Oktober 2015 Autor Melden Teilen Geschrieben 15. Oktober 2015 Danke für die Antworten. Ich habe es schon befürchtet, dass es keine technische Lösung gibt. Wie wäre es mit einer Sozialen statt Technischen Lösung? Wieso sollten die Mitarbeiter das Notebook aus der Domäne entfernen? Es ist leider vereinzelt vorgekommen, dass einige (wenige) Benutzer das Notebook aus der Domäne genommen haben, angeblich ist es dann schneller :confused: . Der User dein Feind... :D Lass mich raten, es gibt Software die braucht erhöhte Rechte, oder?Gar nicht, nimm den Benutzern die Adminrechte. NTFS-Berechtigungen kann man auch ganz fein einsetzen und sich somit lokale Adminrechte sparen. Mit ist bekannt, dass dies möglich ist. Allderings sind gerade die älteren Programme, die über verschiedene Schnittstellen mit Anlagen kummunizieren, ohne Adminrechte recht "zickig". Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 15. Oktober 2015 Melden Teilen Geschrieben 15. Oktober 2015 Naja und jetzt können wir gern drüber diskutieren, ob es sinnvoller und machbarer ist, lokale Admins in ihren Rechten zu beschneiden oder die "zickigen" Programme zum Laufen zu überreden. Meine Aufgabe wäre mir klar. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 15. Oktober 2015 Melden Teilen Geschrieben 15. Oktober 2015 Es ist leider vereinzelt vorgekommen, dass einige (wenige) Benutzer das Notebook aus der Domäne genommen haben, angeblich ist es dann schneller :confused: . Der User dein Feind... :D Arbeitsanweisung schreiben, vom Chef unterschreiben lassen, den Rest kann die PA machen. Mit ist bekannt, dass dies möglich ist. Allderings sind gerade die älteren Programme, die über verschiedene Schnittstellen mit Anlagen kummunizieren, ohne Adminrechte recht "zickig". Der ProcessMonitor von MSFT hilft dabei. Hol ihn dir und fang an zu konfigurieren. Das geht vermutlich schneller als hier Fragen zu stellen und auf die Antworten zu warten. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 15. Oktober 2015 Melden Teilen Geschrieben 15. Oktober 2015 Moin, ist es denn so schlimm? Ist ein Verbleib in der Domäne so wichtig und so zwingend nötig? Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 15. Oktober 2015 Melden Teilen Geschrieben 15. Oktober 2015 Ernsthaft jetzt? Hat der Nutzer das in Frage zu stellen und eigenmächtig zu entscheiden? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 15. Oktober 2015 Melden Teilen Geschrieben 15. Oktober 2015 (bearbeitet) Ernsthaft jetzt? Hat der Nutzer das in Frage zu stellen und eigenmächtig zu entscheiden? Das kann durchaus sein. Käme ich auf die Idee, dem Leiter der IT oder em Leiter der Zentralen Dienste etwas zu verweigern oder sein Handeln in Frage zu stellen, dann bekäme ich ein Problem. Und falls ein Geschäftsleiter oder Niederlassungsleiter so etwas machte und ich verböte ihm das, dann ich kurz daruf wohl ein Gepräch. Man sei sich darüber im Klaren, die IT ist in der Organisation ein Dienstleister, sie hat es den Leuten im Felde gut und praktikabel zu machen. Und falls das Gerät, der Start des OS oder die Anwendung im Felde ohne Anbinding an Netz und Domäne langsam wird, oder warum auch immer, die den Feldagenten zu solcher Massnahme bewegt, dann muss sich die IT eine Frage stellen! Und ja, die Entscheidung liegt erstmal beim Feldagenten. Und dieser bringt das Geld ein, von dem auch die IT bezahlt wird. Nochmals, der Feldagent muss sich nicht bei der IT rechtfertigen. Die IT kann eine Meldung schreiben. bearbeitet 15. Oktober 2015 von lefg Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 15. Oktober 2015 Melden Teilen Geschrieben 15. Oktober 2015 ist es denn so schlimm? Ist ein Verbleib in der Domäne so wichtig und so zwingend nötig? Keine GPOs mehr, das Gerät wird nicht mehr aktuell in Sachen Windows Update gehalten, und so weiter. Und nein, ein User hat da nichts dran zu fummeln oder zu ändern. Auch dann nicht, wenn der Admin es versäumt hat ihm die entsprechenden Rechte zu nehmen. Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 15. Oktober 2015 Melden Teilen Geschrieben 15. Oktober 2015 Das kann durchaus sein. Käme ich auf die Idee, dem Leiter der IT oder em Leiter der Zentralen Dienste etwas zu verweigern oder sein Handeln in Frage zu stellen, dann bekäme ich ein Problem. Und falls ein Geschäftsleiter oder Niederlassungsleiter so etwas machte und ich verböte ihm das, dann ich kurz daruf wohl ein Gepräch. Man sei sich darüber im Klaren, die IT ist in der Organisation ein Dienstleister, sie hat es den Leuten im Felde gut und praktikabel zu machen. Und falls das Gerät, der Start des OS oder die Anwendung im Felde ohne Anbinding an Netz und Domäne langsam wird, oder warum auch immer, die den Feldagenten zu solcher Massnahme bewegt, dann muss sich die IT eine Frage stellen! Und ja, die Entscheidung liegt erstmal beim Feldagenten. Und dieser bringt das Geld ein, von dem auch die IT bezahlt wird. Nochmals, der Feldagent muss sich nicht bei der IT rechtfertigen. Die IT kann eine Meldung schreiben. Ne is klar, meine Entscheidungen treffe ich aus dem Bauch heraus und ich habe keine definierten Aufgaben in meinem Job. Deine Art und WEise solche Dinge anzugehen, geht bei mir nicht konform. Aber das ist ja nicht schlimm. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 15. Oktober 2015 Melden Teilen Geschrieben 15. Oktober 2015 Moin, ist es denn so schlimm? Ist ein Verbleib in der Domäne so wichtig und so zwingend nötig? wie soll er sich denn sonst an die Domäne anmelden und auf zentrale Ressourcen zugreifen? Gruß, Nils Zitieren Link zu diesem Kommentar
MurdocX 954 Geschrieben 15. Oktober 2015 Melden Teilen Geschrieben 15. Oktober 2015 Danke für die Antworten. Ich habe es schon befürchtet, dass es keine technische Lösung gibt. Ein Admin ist ein Admin.. Alle Berechtigungen die du ihm nimmst, kann und darf er sich wieder geben. Ich denke hier wie "Dukel" und gebe Dir den Tipp mit den jeweiligen Anwendern zu reden. Das diese normale Benutzer keine Admins sein sollten, ist ein anderes Thema. Kurzfristig die Thematik sozial lösen aber langfristig den Ratschlag von "Sunny61" umsetzen. Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 16. Oktober 2015 Melden Teilen Geschrieben 16. Oktober 2015 Das kann durchaus sein. Käme ich auf die Idee, dem Leiter der IT oder em Leiter der Zentralen Dienste etwas zu verweigern oder sein Handeln in Frage zu stellen, dann bekäme ich ein Problem. Und falls ein Geschäftsleiter oder Niederlassungsleiter so etwas machte und ich verböte ihm das, dann ich kurz daruf wohl ein Gepräch. Wie bitte?! Und in dem Laden willst du arbeiten? Man sei sich darüber im Klaren, die IT ist in der Organisation ein Dienstleister, sie hat es den Leuten im Felde gut und praktikabel zu machen. Und falls das Gerät, der Start des OS oder die Anwendung im Felde ohne Anbinding an Netz und Domäne langsam wird, oder warum auch immer, die den Feldagenten zu solcher Massnahme bewegt, dann muss sich die IT eine Frage stellen! Negativ. Dann wird das Problem in der IT bekannt gemacht und gelöst. Und ja, die Entscheidung liegt erstmal beim Feldagenten. Und dieser bringt das Geld ein, von dem auch die IT bezahlt wird. Nochmals, der Feldagent muss sich nicht bei der IT rechtfertigen. Die IT kann eine Meldung schreiben. Du hast eine sehr komische Sicht der Dinge. Deiner Argumentation nach kann man die IT auch gleich abschaffen. Bleibt mehr Geld übrig. 1 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. Oktober 2015 Melden Teilen Geschrieben 16. Oktober 2015 (bearbeitet) Das hat nichts mit meiner Sicht, meiner privaten Meinung zu tun. bearbeitet 16. Oktober 2015 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.