Jump to content

Administrative Freigaben können alle User einsehen

Daviiid

Von Daviiid
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Daviiid Explorer

Daviiid   0

Geschrieben
Geschrieben

Hallo miteinander,

 

haben einen neuartigen Virus der sich rasend schnell von PC zu PC verbreitet. Scheinbar richtet dieser nichts an. Habe bereits bei unserem Trendmicro den neuesten Patch installiert und auch diesen überall ausgerollt. Gefühlt passiert es aber immer wieder, dass der Virus sich im Netzwerk ausbreitet und Trendmicro alle 2h neue Funde hat. Scheinbar läuft das Ganze über die administrativen Freigaben. Es ist leider so, dass alle User in der Domäne Zugriff auf die administrativen Freigaben aller anderen PCs haben. Somit kann der Virus sich immer neu ausbreiten. Jetzt habe ich den Server und AD nicht aufgesetzt und weiß nicht, wo ich das abstellen kann. Es sind ca. 100 Clients. Auf jedem PC gehen und Registry ändern ist zu viel.

 

Hat jemand hier Erfahrung wie ich das schnell auf dem Windows Server 2008R2 per GPO oder im AD ändern kann?

 

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.929

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

nein, ist er nicht. Aber auf die Admin-Shares können, wie der Name ja auch sagt, nur Admins zugreifen. Wenn deine User das also flächendeckend können, haben sie administrative Rechte auf den betreffenden PCs. Warum auch immer - das sollte man also zunächst rausfinden.

 

Gruß, Nils

PS. Dass ein User auf seinem PC lokaler Admin ist, ist auch keineswegs "natürlich", sondern ein erhebliches Sicherheitsproblem. Über Virenbefall würde ich mich da keine Sekunde wundern.

bearbeitet von NilsK
Link zu diesem Kommentar
Daviiid Explorer

Daviiid   0

Geschrieben
  • Autor
Geschrieben

OK Danke. Ich lese mich gerade in gruppenrichtlinien.de ein. Da scheine ich ja wirklich etwas total falsch verstanden zu haben. Danke!

Jetzt muss ich nur schaffen, das richtig rauszunehmen.

 

Aber was ich sehr komisch finde. Das Konzept das User lokaler Admin sind, habe ich bei vielen Servernumgebung so. Aber das ich auf administrative Freigaben Zugriff habe ging bislang nicht. Nur bei diesem einem Server habe ich das.

 

Kann ich irgendwo auf dem Server herausfinden, warum das so ist? Müsste ja dann eine Servereinstellung sein.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.929

Geschrieben
Geschrieben

Moin,

 

das "Konzept" ist eine Fehlkonzeption, die auch schon vor 20 Jahren falsch war, aus vielen Köpfen aber irgendwie nicht rauszukriegen ist. User haben auf Rechnern keine Adminrechte zu haben, Punkt.

 

Das, was du da vor dir hast, ist mit Sicherheit keine "Servereinstellung", weil lokale Adminrechte nur lokal vergeben werden können. Denkbar wäre:

  • Die "Domänen-Benutzer" sind auf den PCs der lokalen Administratoren-Gruppe hinzugefügt.
  • Irgendeine andere Gruppe ist auf den PCs der lokalen Administratoren-Gruppe hinzugefügt, und diese Gruppe enthält die Benutzerkonten.
  • Die Einzel-Accounts sind auf den PCs der lokalen Administratoren-Gruppe hinzugefügt.
  • Die User sind doch Mitglieder in den "Domänen-Admins".

Die ersten drei Punkte könnten manuell bzw. einzeln gesetzt sein oder auch über die von Norbert erwähnte GPO-Einstellung.

 

Natürlich ist all das inakzeptabel.

 

Gruß, Nils

Link zu diesem Kommentar
Daviiid Explorer

Daviiid   0

Geschrieben
  • Autor
Geschrieben

  • Die "Domänen-Benutzer" sind auf den PCs der lokalen Administratoren-Gruppe hinzugefügt.
  • Irgendeine andere Gruppe ist auf den PCs der lokalen Administratoren-Gruppe hinzugefügt, und diese Gruppe enthält die Benutzerkonten.
  • Die Einzel-Accounts sind auf den PCs der lokalen Administratoren-Gruppe hinzugefügt.
  • Die User sind doch Mitglieder in den "Domänen-Admins".

 

Also das hatte ich bereits gestern mehrfach geeprüft.

Punkt 1,2 und 4 treffen hier nicht zu.

 

Punkt 3 trifft zu. Aber wie gehabt, kann ich nicht nachvollziehen, warum ein lokaler Admin auf alle anderen PCs in der administrativen Freigabe Zugriff hat. So etwas konnte ich bisher noch nicht feststellen.

Ich habe ein Active Directory dort, daher sind die User alle nur im AD angelegt bei den Servern.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.929

Geschrieben
Geschrieben

Moin,

 

OK, und wer ist in der Gruppe edv2 Mitglied? Wäre nicht das erste Mal, dass man sowas feststellt.

 

Abgesehen davon: Wie stellst du fest, dass alle User auf alle administrativen Freigaben zugreifen können? Was genau tust du, um das zu prüfen? Vielleicht handelt es sich ja auch um ein Missverständnis.

Und: Von welchem Betriebssystem reden wir?

 

Gruß, Nils

Link zu diesem Kommentar
Daviiid Explorer

Daviiid   0

Geschrieben
  • Autor
Geschrieben

edv2 ist ein User. Der User ist der, der sich am PC anmeldet. Der lokale Admin halt.

 

Ich stelle fest, dass alle User über die administrative Freigabe reinkommen, da man ja unter der Computerverwaltung unter Sitzungen sehen kann, wer gerade Zugriff auf dem PC hat. Hier sind es die unterschiedlichsten, obwohl der PC selbst gar keine Freigaben definiert hat, außer die administrativen.

Wenn ich nun mit irgendeinem User in der Domäne von einem beliebigen PC auf einen anderen beliebigen PC EInsicht habe, wenn ich im Explorer eingebe \\PCName\C$, habe ich beurteilt, dass wohl alle User Zugriff auf die administrative Freigabe haben.

Alle Clients haben Windows 7. Die Server Windows Server 2008R2. Hier wurde Ende letzten Jahres der AD migriert von einem Windows Server 2003.

Link zu diesem Kommentar
zahni Grand Master

zahni   550

Geschrieben
Geschrieben

edv2 ist  sonst no wo "Lokaler Admin"? Was ist "EDV-FSJ"  und wer ist da Mitglied.

 

Kleiner Tipp: In "Administratoren gehören maximal die Domänen-Admins  und, wenn es nicht  anders geht, Technische  User zu Ausführung irgendwelcher  Dienste.

Es gibt auch Umgebungen, wo die Domain-Admins explizit nicht lokale Admins sind. Da regelt man das dann über andere Domänengruppen.

Link zu diesem Kommentar
Daviiid Explorer

Daviiid   0

Geschrieben
  • Autor
Geschrieben

EDV-FSJ ist ein User der erstellt wurde, als der PC neu aufgesetzt wurde. Also ein lokaler User als Admin.

edv2 ist sonst noch an einem anderem EDV PC admin. Sonst nirgendwo!

 

Aber trotz, dass nur der eine User und die Domänenadmins bei Administratoren drin sind, kommt man mit einem normalen User bei allen anderen PCs auf die administrativen Freigaben drauf.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...