Benutzerrechte in einer Domäne einschränken wie am einfachsten?
Hallo an alle,
Ich habe einen Win2003-Server mit AD aufgesetzt. In der AD habe ich eine seperate OU mit 350 Benutzern angelegt.
Ich möchte nun die Rechte für die Benutzer soweit einschränken, das nach der anmeldung auf ihrem Desktop eigentlich nur noch die für Sie benötigten Programme vorhanden sind.
Einige Sachen kann ich ja über die Gruppenrichtlinien verbieten.
Auch könnte ich servergespeicherte, verbindliche Profile einrichten.
Gibt es eine Möglichkeit über ein Script dies zu gewährleisten?
Oder kann man open-source dafür nutzen?
Ich habe einen Win2003-Server mit AD aufgesetzt. In der AD habe ich eine seperate OU mit 350 Benutzern angelegt.
Ich möchte nun die Rechte für die Benutzer soweit einschränken, das nach der anmeldung auf ihrem Desktop eigentlich nur noch die für Sie benötigten Programme vorhanden sind.
Einige Sachen kann ich ja über die Gruppenrichtlinien verbieten.
Auch könnte ich servergespeicherte, verbindliche Profile einrichten.
Gibt es eine Möglichkeit über ein Script dies zu gewährleisten?
Oder kann man open-source dafür nutzen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 98672
Url: https://administrator.de/contentid/98672
Ausgedruckt am: 05.11.2024 um 16:11 Uhr
4 Kommentare
Neuester Kommentar
Servus und willkommen
Bei 350 Usern ist einiges an Arbeit (am besten VorArbeit) nötig - läuft es erstmal - kannst du Schwer die User überzeugen, daß "irgendwas" nun anders als vorher ist
Kurz zusammengefaßt, was ist dein Begehr - dann kann man auch gezielt helfen - ansonsten einfach mal die Suchfunktion nach AD GPO durchforsten oder mal bei Gruppenrichtlinien.de nachsehen.
Gruß
Bei 350 Usern ist einiges an Arbeit (am besten VorArbeit) nötig - läuft es erstmal - kannst du Schwer die User überzeugen, daß "irgendwas" nun anders als vorher ist
Einige Sachen kann ich ja über die Gruppenrichtlinien verbieten.
Janz jenau Auch könnte ich servergespeicherte, verbindliche Profile einrichten.
Würde ich dir sogar empfehlen, außer du hast viele Notebook Benutzer, die nur hin und wieder kommen und die auch gleichzeitig "feste" Systeme haben - da kann das Notebook Profil schon mal das "echte" zerhauen - oder mit alten Daten füllen.Gibt es eine Möglichkeit über ein Script dies zu gewährleisten?
Scripting und AD mögen sich sehr. Gewußt was du denn geändert haben willst vorausgesetzt - ist eine Lösung oder zumindestens ein Lösungsansatz nur eine Kaffeetasse weit entfernt.Oder kann man open-source dafür nutzen?
Bis jetzt ist mir hier noch kein Script untergekommen, daß unter einer GPL liegt - also ja.Kurz zusammengefaßt, was ist dein Begehr - dann kann man auch gezielt helfen - ansonsten einfach mal die Suchfunktion nach AD GPO durchforsten oder mal bei Gruppenrichtlinien.de nachsehen.
Gruß
Danke erstmal für dein einleitendes "Danke"
Damit sehen die Benutzer "nur" die Anwendungen, die du für Sie bereitstellst.
Sind das allerdings nicht reine Office Kurse, sondern auch Windows Kurse - dann lieber nicht - denn das nu2menu wäre nur ein (von dir gezielt zu gestaltendes) Startmenü - daß die Teilnehmer "sonst" nie wieder sehen. (Es sieht aber sehr ähnlich wie das original aus)
Am einfachsten wäre es natürlich - die Rechner vor den Schulungen mit einem Imager zu sichern, die Kollegen "basteln" zu lassen, was das Zeug hält und nach der Schulung die Kisten mit dem Image neu aufzusetzen. Denn auch .man Profile haben einige "Lücken" - die ich nicht so gern öffentlich preisgeben möchte.
Google ließt auch hier mit
Gruß
Eine Idee?
eine? *gg*Die Benutzer sind Teilnehmer von Kursen
Was immer geht - ist das "umstricken" von nu2menuDamit sehen die Benutzer "nur" die Anwendungen, die du für Sie bereitstellst.
Sind das allerdings nicht reine Office Kurse, sondern auch Windows Kurse - dann lieber nicht - denn das nu2menu wäre nur ein (von dir gezielt zu gestaltendes) Startmenü - daß die Teilnehmer "sonst" nie wieder sehen. (Es sieht aber sehr ähnlich wie das original aus)
Ansonsten am System keine Veränderungen vornehmen dürfen.
Wie Jochen schon geschrieben hat - auch das umbenennen von den NTUser.Dat in NTUser.man wäre ein Ansatz. (aber auch da kenne ich ein paar Wege, wie ich trotzdem tun und lassen kann, was mir grade in den Kram passt)Am einfachsten wäre es natürlich - die Rechner vor den Schulungen mit einem Imager zu sichern, die Kollegen "basteln" zu lassen, was das Zeug hält und nach der Schulung die Kisten mit dem Image neu aufzusetzen. Denn auch .man Profile haben einige "Lücken" - die ich nicht so gern öffentlich preisgeben möchte.
Google ließt auch hier mit
Gruß