Kerstel 10 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 Hallo, ich habe eine Windows 2000 Domäne. Auf den Clients habe ich jedem Benutzer lokale Adminrechte gegeben, da sonst in bestimmte Verzeichnisse nicht geschrieben werden kann. Würde hier auch der Hauptbenutzer reichen, unter der berücksichtigung, dass der PC die Windows Updates runterladen und installieren muss? Danke und Gruß Kerstel Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 wie du schon schreibst, das ist sehr stark abhängig davon was die leutchen auf ihrem PC so alles können dürfen bzw. müssen. manche sachen gehen mit hauptbeutzer manche brauchen adminrechte. windows updates sollten normalerweise auch mit normalen benutzerrechten laufen weil die, wenn mich nich alles täuscht, im kontext des system users installiert werden. was verwendest du denn für windows updates? inet, WUS, SUS? Zitieren Link zu diesem Kommentar
Kerstel 10 Geschrieben 15. März 2006 Autor Melden Teilen Geschrieben 15. März 2006 was geht den mit Hauptbenutzer und was geht mit Admin? Das Update läuft über WUS Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 der hauptbenutzer hat im grunde auf fast alle bereiche der platte direkten zugriff. wenn es aber darum geht "wichtige" sachen in die registry einzutragen, ich kann dir jetzt nicht alles einzeln aufzählen, dann scheitert der hauptbenutzer. um updates über WUS zu installieren brauchst du aber weder das eine noch das andere. das passiert wie gesagt im kontext des system kontos das, wenn du es nicht verändert hast soviel darf wie ein admin auch, also im grunde alles. Zitieren Link zu diesem Kommentar
saracs 10 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 Hallo, ich habe eine Windows 2000 Domäne. Auf den Clients habe ich jedem Benutzer lokale Adminrechte gegeben, da sonst in bestimmte Verzeichnisse nicht geschrieben werden kann. Würde hier auch der Hauptbenutzer reichen, unter der berücksichtigung, dass der PC die Windows Updates runterladen und installieren muss? Danke und Gruß Kerstel hi! wenn die user auf bestimmte verzeichnisse nicht zugreifen könne oder schreiben können solltest du einfach nur die rechte der verzeichnisse anpassen! alles andere ist selbstmord ;) gruss saracs Zitieren Link zu diesem Kommentar
Kerstel 10 Geschrieben 15. März 2006 Autor Melden Teilen Geschrieben 15. März 2006 ich wollte den aufwand gering halten, es sind schließlich 60 User Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 Hi, ich wollte den aufwand gering halten, es sind schließlich 60 User da arbeitest du aber schwer kontraproduktiv :D 1. Niemand innerhalb eines Unternehmensnetzwerks darf als User mit Lokalen Adminrechten arbeiten o. Hauptbenutzerrechten arbeiten: http://www.mcseboard.de/showthread.php?t=66853 2. Um die passenden lokalen Berechtigungen für bestimmte "veraltete" Applikationen einzurichten kann du die Gruppenrichtlinien Clientside-Extension "Dateisystem" verwenden mit der du wunderbard die Berechtigungen auf Ordnerebene bzw. sogar auf Dateiebene steuern kannst, um z.B. dem User das Schreibrecht auf einzelne INI-Dateien zu erlauben. http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#Dateisystem LG Gadget Zitieren Link zu diesem Kommentar
Kerstel 10 Geschrieben 15. März 2006 Autor Melden Teilen Geschrieben 15. März 2006 ok, nur zum verständnis. In einem Netzwerk mit Domäne gibt es keine User die irgendwelche lokalen Rechte haben. Sei es Admin oder Hauptbenutzer. Falls benötigt werden diese über die GPO gesetzt, und nicht an der Arbeitsstation. z.b. läuft das Lotus Notes nur wenn er in seinen Installationspfad was reinschreiben darf, was als Benutzer aber nicht geht Kannst Du mir ein paar Argumente dafür geben, die ich dem entscheider um die Ohren hauen kann? Der hat übrigens den MCSE und das das so läuft ist auf seinem Mist gewachsen Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 ok, nur zum verständnis. In einem Netzwerk mit Domäne gibt es keine User die irgendwelche lokalen Rechte haben. sollen wir dir helfen o. willst du dir selbst was falschen erzählen => is nämlich Käsekuchen... :D http://www.gruppenrichtlinien.de/Grundlagen/Wer_darf_was.htm u. dein Entscheider MCSE hat oder ned spielt da gar keine Rolle falsch ist falsch u. bleibt es auch egal wers macht: Die Argumente stehen doch übrigens in meinem Artikel bereits drin (das Zitat von Aaron Margosis) hier is der Orginalartikel: http://blogs.msdn.com/aaron_margosis/archive/2004/06/17/157962.aspx u. hier gibts noch ein Schulungsvideo mit detaillierten Argumenten dazu: TechNet Webcast: Understanding and Fighting Malware: Viruses, Spyware and Rootkits (Level 300) http://www.microsoft.com/events/EventDetails.aspx?CMTYSvcSource=MSCOMMedia&Params=%7eCMTYDataSvcParams%5e%7earg+Name%3d%22ID%22+Value%3d%221032274950%22%2f%5e%7earg+Name%3d%22ProviderID%22+Value%3d%22A6B43178-497C-4225-BA42-DF595171F04C%22%2f%5e%7earg+Name%3d%22lang%22+Value%3d%22en%22%2f%5e%7earg+Name%3d%22cr%22+Value%3d%22US%22%2f%5e%7esParams%5e%7e%2fsParams%5e%7e%2fCMTYDataSvcParams%5e LG Gadget Zitieren Link zu diesem Kommentar
Kerstel 10 Geschrieben 16. März 2006 Autor Melden Teilen Geschrieben 16. März 2006 sollen wir dir helfen o. willst du dir selbst was falschen erzählen => is nämlich Käsekuchen... :D das war keine definition, sondern ich wollte nur sehen ob ich es verstanden habe u. dein Entscheider MCSE hat oder ned spielt da gar keine Rolle falsch ist falsch u. bleibt es auch egal wers macht Ich sehe ein dass es falsch ist, aber ich muss ja an anweisungen halten. Und wenn ich argumente habe dass es falsch ist fällt es leichter es richtig zu machen Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 16. März 2006 Melden Teilen Geschrieben 16. März 2006 @kohn: ....da arbeitest du aber schwer kontraproduktiv :D 1. Niemand innerhalb eines Unternehmensnetzwerks darf als User mit Lokalen Adminrechten arbeiten o. Hauptbenutzerrechten arbeiten: http://www.mcseboard.de/showthread.php?t=66853.... siehst du das nicht ein wenig durch die rosarote brille? ich will dich nicht kritisieren aber soweit ich weis arbeitest du für einen öffentlichen arbeitgeber und da lassen sich richtlinien ganz anders druchsetzen wie in der freien wirtschaft. es gibt einfach "wichtige" leute die bestehen darauf lokale admin rechte zu haben und sie sind in einer position auch darauf bestehen zu können. wenn dann die adminrechte erst mal ein paar leute haben dann meckern ein paar weniger wichtige rum das sie sie nicht haben und dann ist auch der chef obendrüber dazu geneigt seinen "wichtigen" leuten auch die adminrechte einzuräumen zu lassen weil sie ja sonst unmöglich arbeiten können. das telefonat läuft dann so ab das der chef oder seine tippse anruft und einen satz sagt: sorgen sie sofort dafür das...... und damit ist das gespräch beendet. tja, der ober sticht den unter und was willst du dann sagen? kohn ein moderator und etliche leute von MS und sonst woher haben gesagt das.....? es werden dann 1000 gegenargumente angebracht die du nicht unbedingt entkräften kannst. ich denke da gerade an die sigi von dr.melzer :D. wenn dann der chef der meinung ist das ihm auch nur ein auftrag für 4.50 € entgangen ist, weil sein untergebener dich verantwortlich macht, weil der eben das und das nicht machen konnte weil er keine admin rechte hatte, dann kannst du im grunde deine kündigung noch am selben tag abholen und er hat sogar einen kündigungsgrund für eine fristlose: nichtumsetzen von direkten dienstanweisungen und arbeitsverweigerung. das das vorgehen so wie du es beschreibst absolut richtig ist brauchen wir alle nicht zu diskutieren, ich denke da gibt es keine zwei meinungen, aber.......... es lässt sich nicht immer realisieren. Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 16. März 2006 Melden Teilen Geschrieben 16. März 2006 Moin Hirgelzwift, ja du hast recht is manchmal ein bisserl schwierig rüberzubringen, hauptsächlich deswegen, weil sich keiner Traut zu sagen man hats bisher falsch gemacht. Als Argumenationsstützen würde ich in der Privatwirtschaft foglende Dinge verwenden: 1. Das BSI Grundschutzhanbbuch (da es sich um eine grundlegende Securityregel handelt) 2. U. evtl. auch Basel II wobei ich mit dem kompletten Regelwerk u. deren Auslegung nicht 100 Prozentig vertraut bin, dass können andere besser beantworten. LG Gadget Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 16. März 2006 Melden Teilen Geschrieben 16. März 2006 um zum eigentlichen thema zurückzukehren: ich bin mir nicht ganz sicher weil ich es unter W2K nie gemacht haben. @kerstel: beschäftige dich bitte mal mit dem thema "eingeschränkte gruppen". dazu gibt es hier im board ettliche threads. das sollte dir helfen können die benutzergruppen so zu setzen wie du es brauchst. @kohn: ich habe mal für einen konzern gearbeitet die hatten weltweit 250.000 benutzer. ich war nur ein kleiner admin in einer frima in diesem geflecht von firmen aber dort war es konzernpolicy das alle benutzer auf ihren PC's lokale admin rechte haben. da gab es richtige security ausschüsse mit vielen mitgliedern, also den security managern aus allen geschäftsbereichen und und und. ob die das mittlerweile geändert haben weis ich aber auch nicht. nochmal: wie auch immer, ich gebe dir recht und wer recht hat zahlt......, oder? ach was, was trinkst du, ich gebe einen aus ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.