13
Benutzerrechte in einer Windows 2000 Server Domaine begrenzen
Habe eine Windows 200 Server-Domaine in einer Schule, die ich gemeinnützig seit kurzem betreue. Habe jetzt nach einem Virenbefall feststellen müssen, daß alle "Benutzer" an allen Rechnern Admin-Rechte haben. Oder genauer, daß nirgendwo irgendjemand was anderes als Admin-Rechte hat.
Die Zielstellung ist klar: Die "Benutzer" an den "Workstations" wieder zu normalen Benutzern machen. Momentan setze ich gerade einen der PCs (Windows XP Professional, von Acer-Recovery-CD) neu auf. In der Grundeinstellung sieht es dort ja einigermaßen sauber aus. Nach ein paar Handgriffen werde ich den auch als Einzelplatz-PC so eingerichtet haben können, daß er halbwegs sauber funktioniert und NICHT mehr JEDER DAU einen Trojaner zu "installieren" in der Lage ist.
Nun habe ich allerdings das Netzwerk in dieser Schule als nicht mehr betreutes solches in Form einer Domaine unter einem Windows 2000 - Domainen-Controller vorgefunden. Ich gehe auf Basis der bisherigen Erfahrung davon aus, daß die Lehrer gar nicht die Ahnung haben können, warum das hier mal als Domaine eingerichtet worden war, und genauso wenig werde ich von irgendjemandem hier erfahren können, welche funktionellen Module in der ganzen Schulorganisation eventuell die Integration der Schülerrechner in die Domaine voraussetzen. Höchstens würde mal irgendwann jemand mitteilen, daß irgendwas nicht mehr funktioniert, was interferieren würde mit dem Umstand, daß ohnehin am laufenden Band irgendwas irgendwo nicht mehr funktioniert.
Ich gehe also davon aus, daß es besser ist, den Status Quo des Gesamtsystems erstmal nicht zu verändern.
Leider habe ich aber NOCH nicht genug Ahnung (und auch noch keinen Lehrgang belegt) von der Domainenverwaltung beim Windows XP. Deshalb mein Hilferuf hier in diesem Forum.
Wie könnte es dazu kommen, daß die Schüler alles machen können (mal vom trivialen Fall, daß hier ein Einbrecher über Trojaner gewütet hat, abgesehen)? Wie könnte man das wieder einschränken? In den Benutzerrechten des Active Directories jedenfalls steht nichts davon, daß ein normaler Domainenbenutzer Admin wäre. Und an den Arbeitsstationen melden sich die Schüler als Domainenbenutzer an.
Wo muß hier geschraubt werden?
Die Zielstellung ist klar: Die "Benutzer" an den "Workstations" wieder zu normalen Benutzern machen. Momentan setze ich gerade einen der PCs (Windows XP Professional, von Acer-Recovery-CD) neu auf. In der Grundeinstellung sieht es dort ja einigermaßen sauber aus. Nach ein paar Handgriffen werde ich den auch als Einzelplatz-PC so eingerichtet haben können, daß er halbwegs sauber funktioniert und NICHT mehr JEDER DAU einen Trojaner zu "installieren" in der Lage ist.
Nun habe ich allerdings das Netzwerk in dieser Schule als nicht mehr betreutes solches in Form einer Domaine unter einem Windows 2000 - Domainen-Controller vorgefunden. Ich gehe auf Basis der bisherigen Erfahrung davon aus, daß die Lehrer gar nicht die Ahnung haben können, warum das hier mal als Domaine eingerichtet worden war, und genauso wenig werde ich von irgendjemandem hier erfahren können, welche funktionellen Module in der ganzen Schulorganisation eventuell die Integration der Schülerrechner in die Domaine voraussetzen. Höchstens würde mal irgendwann jemand mitteilen, daß irgendwas nicht mehr funktioniert, was interferieren würde mit dem Umstand, daß ohnehin am laufenden Band irgendwas irgendwo nicht mehr funktioniert.
Ich gehe also davon aus, daß es besser ist, den Status Quo des Gesamtsystems erstmal nicht zu verändern.
Leider habe ich aber NOCH nicht genug Ahnung (und auch noch keinen Lehrgang belegt) von der Domainenverwaltung beim Windows XP. Deshalb mein Hilferuf hier in diesem Forum.
Wie könnte es dazu kommen, daß die Schüler alles machen können (mal vom trivialen Fall, daß hier ein Einbrecher über Trojaner gewütet hat, abgesehen)? Wie könnte man das wieder einschränken? In den Benutzerrechten des Active Directories jedenfalls steht nichts davon, daß ein normaler Domainenbenutzer Admin wäre. Und an den Arbeitsstationen melden sich die Schüler als Domainenbenutzer an.
Wo muß hier geschraubt werden?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 45646
Url: https://administrator.de/contentid/45646
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
13 Kommentare
Neuester Kommentar
Also es ist eigendlich egal was der Benutzter für Rechte am lokalen PC hat. Um die Rechte einzuschränken damit die Benutzter kein Unfung machen können würde ich als erstes das Administrator Kennwort ändern und auch den Administrator umbennennen (Acht dabei auf die Dienste die mit dem Admin gestartet werden). Als zweites würde ich eine neue OU machen und alle Schühlerbenutzernamen dort hinschieben und über die OU eine Gruppenrichtline erstellen die einmal den zugriff und den lokalen PC einschränkt. Damit ist sichergestellt das keiner mehr was machen kann. Welche Rechte man einstellen kann ist relative gut in der Hilfe Beschrieben.
Also es ist eigendlich egal, was der Benutzter für Rechte am lokalen PC hat. Um die Rechte einzuschränken, damit die Benutzer keinen Unfug machen können, würde ich als erstes das Administrator Kennwort ändern und auch den Administrator umbennennen (Acht dabei auf die Dienste die mit dem Admin gestartet werden).
Nun ja, scheinbar ist das hier doch etwas anders eingestellt:
Das von Acer voreingestellte Admin-Konto ist unabhängig von einem Domain-Beitritt existent und beim Login aktivierbar. Allerdings habe ich dagegen noch nicht mal was, eine lokale Administration bei Netzproblemen doch auch sinnvoll werden könnte.
Das globale Administrator-Konto umzubenennen traue ich mich nicht so ohne weiteres. Nachher wird das von irgendwem im Sekretariat dann doch für irgendeinen Alltagszweck benötigt, ohne daß sich die Leute überhaupt darüber im klaren sind (jedenfalls ist mir das Prinzip schon so häufig begegnet, daß ich meinen Glauben an die Intelligenz meiner Mitmenschen in Bezug auf Kommunikationsmittel verloren habe...) Das Passwort ist allerdings erneuert.
Der PC läuft momentan aber noch allein - bis ich die Updates und das Service Pack 2 eingespielt habe. Das wird erst beim nächsten Einsatz was (nächste Woche).
Als zweites würde ich eine neue OU machen und alle Schühlerbenutzernamen dort hinschieben und über die OU eine Gruppenrichtline erstellen die einmal den zugriff und den lokalen PC einschränkt. Damit ist sichergestellt das keiner mehr was machen kann. Welche Rechte man einstellen kann ist relative gut in der Hilfe Beschrieben.
Was ist eine "OU"?
Und wo stelle ich die Gruppenrichtlinien beim Domainen-Controller ein?
Lokal ist das schon geschehen (sieht schon wieder richtig gut aus).
Mit dem Domainen-Controller stehe ich allerdings noch auf Kriegsfuß.
Bin aber heftigst am Dazulernen interessiert.
Nun ja, scheinbar ist das hier doch etwas anders eingestellt:
Das von Acer voreingestellte Admin-Konto ist unabhängig von einem Domain-Beitritt existent und beim Login aktivierbar. Allerdings habe ich dagegen noch nicht mal was, eine lokale Administration bei Netzproblemen doch auch sinnvoll werden könnte.
Das globale Administrator-Konto umzubenennen traue ich mich nicht so ohne weiteres. Nachher wird das von irgendwem im Sekretariat dann doch für irgendeinen Alltagszweck benötigt, ohne daß sich die Leute überhaupt darüber im klaren sind (jedenfalls ist mir das Prinzip schon so häufig begegnet, daß ich meinen Glauben an die Intelligenz meiner Mitmenschen in Bezug auf Kommunikationsmittel verloren habe...) Das Passwort ist allerdings erneuert.
Der PC läuft momentan aber noch allein - bis ich die Updates und das Service Pack 2 eingespielt habe. Das wird erst beim nächsten Einsatz was (nächste Woche).
Als zweites würde ich eine neue OU machen und alle Schühlerbenutzernamen dort hinschieben und über die OU eine Gruppenrichtline erstellen die einmal den zugriff und den lokalen PC einschränkt. Damit ist sichergestellt das keiner mehr was machen kann. Welche Rechte man einstellen kann ist relative gut in der Hilfe Beschrieben.
Was ist eine "OU"?
Und wo stelle ich die Gruppenrichtlinien beim Domainen-Controller ein?
Lokal ist das schon geschehen (sieht schon wieder richtig gut aus).
Mit dem Domainen-Controller stehe ich allerdings noch auf Kriegsfuß.
Bin aber heftigst am Dazulernen interessiert.
also OU = Organizational Unit
erstellung am Server mit dem ADS
1. Verwaltung - Aktive Directory Benutzer und Computer
2. Rechte Maustaste auf Domänenname - neu und dann OU
3. Bennennen
4. User OU öffnen alle Schüler makieren. - Rechtemaustaste punkt Verschieben auswählen
keine Angst es passiert nichts was den User angeht.
- OU die du Angelegt hast auswählen - mit OK bestätigen.
5. Rechte Maustaste auf OU die Angelegt wurden ist - Eigenschaften - Register Gruppenrichtline auswählen.
6. Neu Anklicken - Gruppenrichtline sinvol benennen.
7. Bearbeiten der Gruppenrichtline. Einstellungen zuweisen.
erstellung am Server mit dem ADS
1. Verwaltung - Aktive Directory Benutzer und Computer
2. Rechte Maustaste auf Domänenname - neu und dann OU
3. Bennennen
4. User OU öffnen alle Schüler makieren. - Rechtemaustaste punkt Verschieben auswählen
keine Angst es passiert nichts was den User angeht.
- OU die du Angelegt hast auswählen - mit OK bestätigen.
5. Rechte Maustaste auf OU die Angelegt wurden ist - Eigenschaften - Register Gruppenrichtline auswählen.
6. Neu Anklicken - Gruppenrichtline sinvol benennen.
7. Bearbeiten der Gruppenrichtline. Einstellungen zuweisen.
noch eine Anmerkung:
wenn Anwender mit einer Administrator kennung arbeiten ist es eigendlich kein wunder das alles durcheinander geht.
Tipp: Sollte wirklich ein User Adminstrator rechte benötigen (was ich mir eigendlich garnicht vorstellen kann) lege einen User an und gib im die Domän - Admin rechte. Sollte aber nur in Ausnahme gemacht werden es sei den du willst deine Freizeit immer in der Schule verbringen.
wenn Anwender mit einer Administrator kennung arbeiten ist es eigendlich kein wunder das alles durcheinander geht.
Tipp: Sollte wirklich ein User Adminstrator rechte benötigen (was ich mir eigendlich garnicht vorstellen kann) lege einen User an und gib im die Domän - Admin rechte. Sollte aber nur in Ausnahme gemacht werden es sei den du willst deine Freizeit immer in der Schule verbringen.
Nun, Administratorkennungen benutzen die Schüler hier nicht.
Trotzdem hat hier momentan jeder alle "Rechte".
Der Schulleiter (ein sehr sympathischer Mensch - aber eben ohne Kennung des Systems im eigenen Hause) versicherte mir noch heute morgen ganz stolz, daß die Rechner schon so eingerichtet wären, daß kein Schüler etwas von einem Wechseldatenträger oder aus dem Internet installieren könnte. Was ich tatsächlich vorfand, war exakt die eine _atomare_ Einschränkung, daß der Windows-Installer, der für MSI-Pakete zuständig ist, seine Mitarbeit verweigert. Allerdings ist mir bis auf die Ur-Software von MS noch kein Virus in freier Wildbahn begegnet, der sich fein säuberlich in MSI-Pakete verpackt hätte. (Ähhhmmmm: P.S.: Audio- und Video-CDs hatte ich vergessen, sorry. Und Porno-Seiten-Logins. Und Warez-Seiten-Logins. Es ist phantastisch, worauf Leute alles klicken, wenn sie nur geil genug sind...)
Faktisch hat hier also von den Leuten, die schon seit etwa 3...4 Jahren mit dem Zeug arbeiten, niemand von irgendwas eine Ahnung. Das System wird einfach benutzt - mit Fingern im Rücken gekreuzt - und gehofft, daß es morgen noch funktioniert.
Der SINN dessen, daß hier überhaupt ein Domain-Controller steht, geht mir um so mehr ab, je länger ich mich mit der Organisation beschäftige. Offenbar macht er mir im Moment ausschließlich Mehrarbeit. Da wurden zum Beispiel Domainnamen organisiert, die darauf schließen lassen, daß der Erfinder annahm, damit auf magische Weise im Internet zu stehen. Und die sich mit existierenden Internet-Namen überschneiden. Was möglicherweise die Ursache für einen Teil der ewigen Fehlerprotokolle ist. Mit der Organisation von Einheiten wie Unterrichtsräumen in der Schule hat das Ganze jedenfalls mitnichten zu tun.
Schüler haben übrigens nicht persönliche Konten. Es gibt nur genau EIN Konto für alle Schüler und EINS für alle Lehrer. Und ALLE haben Admin-Rechte, zumindest nach dem, was ich an den PCs machen kann, wenn ich mich mit den verschiedenen Konten einlogge. Und das Schüler-Konto hat KEIN Passwort. Und dem Schulleiter fällt seit etwa zwei Wochen auf, daß die Lampen am Schul-Modem/Router auch außerhalb der Unterrichtszeit ununterbrochen wie unter Vollast blinken.
Soweit zum Zustand des Netzes.
Ich gehe momentan davon aus, daß das Schulnetz eine einzige große illegale Tauschbörsenstation ist. Da muß dringend dazwischengehauen werden!
Trotzdem hat hier momentan jeder alle "Rechte".
Der Schulleiter (ein sehr sympathischer Mensch - aber eben ohne Kennung des Systems im eigenen Hause) versicherte mir noch heute morgen ganz stolz, daß die Rechner schon so eingerichtet wären, daß kein Schüler etwas von einem Wechseldatenträger oder aus dem Internet installieren könnte. Was ich tatsächlich vorfand, war exakt die eine _atomare_ Einschränkung, daß der Windows-Installer, der für MSI-Pakete zuständig ist, seine Mitarbeit verweigert. Allerdings ist mir bis auf die Ur-Software von MS noch kein Virus in freier Wildbahn begegnet, der sich fein säuberlich in MSI-Pakete verpackt hätte. (Ähhhmmmm: P.S.: Audio- und Video-CDs hatte ich vergessen, sorry. Und Porno-Seiten-Logins. Und Warez-Seiten-Logins. Es ist phantastisch, worauf Leute alles klicken, wenn sie nur geil genug sind...)
Faktisch hat hier also von den Leuten, die schon seit etwa 3...4 Jahren mit dem Zeug arbeiten, niemand von irgendwas eine Ahnung. Das System wird einfach benutzt - mit Fingern im Rücken gekreuzt - und gehofft, daß es morgen noch funktioniert.
Der SINN dessen, daß hier überhaupt ein Domain-Controller steht, geht mir um so mehr ab, je länger ich mich mit der Organisation beschäftige. Offenbar macht er mir im Moment ausschließlich Mehrarbeit. Da wurden zum Beispiel Domainnamen organisiert, die darauf schließen lassen, daß der Erfinder annahm, damit auf magische Weise im Internet zu stehen. Und die sich mit existierenden Internet-Namen überschneiden. Was möglicherweise die Ursache für einen Teil der ewigen Fehlerprotokolle ist. Mit der Organisation von Einheiten wie Unterrichtsräumen in der Schule hat das Ganze jedenfalls mitnichten zu tun.
Schüler haben übrigens nicht persönliche Konten. Es gibt nur genau EIN Konto für alle Schüler und EINS für alle Lehrer. Und ALLE haben Admin-Rechte, zumindest nach dem, was ich an den PCs machen kann, wenn ich mich mit den verschiedenen Konten einlogge. Und das Schüler-Konto hat KEIN Passwort. Und dem Schulleiter fällt seit etwa zwei Wochen auf, daß die Lampen am Schul-Modem/Router auch außerhalb der Unterrichtszeit ununterbrochen wie unter Vollast blinken.
Soweit zum Zustand des Netzes.
Ich gehe momentan davon aus, daß das Schulnetz eine einzige große illegale Tauschbörsenstation ist. Da muß dringend dazwischengehauen werden!
(Ich überlege, welches Konzept für die gerade in Angriff genommene Reorganisation am sinnvollsten wäre...)
Also: Der Domain-Controller soll doch die Arbeit der Lehrer und des Admins erleichtern.
Da ist es doch nicht unbedingt sinnvoll, die Schüler - vorausgesetzt, die bekommen jeder ein eigenes Konto und damit auch eigene echte Privatbereiche im Dateisystem - in jedem Raum extra zu verwalten.
Die Organisationseinheiten - wenn ich die Hinweise richtig interpretiere - korrelieren doch eher mit der Aufgabe der Personen, die hinter den Konten stehen. Also sollte es doch vielleicht besser eine "OU" für Lehrer, eine fürs Sekretariat und den Hausmeister und eine für die Schüler geben, oder? So, wie das Dateisystem ohnehin schon halbwegs sinnvoll strukturiert ist.
DANN nämlich - wenn ich's richtig interpretiere - brauche ich nur einmal für jede der "OU"s die spezifischen Rechte der Personenkategorie definieren und kann zu jedem Schuljahreswechsel ganz trivial neue Konten für Schüler und Lehrer einrichten und alte wegschmeißen bzw. archivieren.
Liege ich da zweckmäßig? Oder ist das Quatsch?
Die Rechner-spezifischen Rechte dagegen korrelieren recht kräftig mit den räumlichen Strukturen. DIE sollten also räumlich orientierte OUs bekommen.
Und wenn ichs richtig verstehe, gibt es zwischen räumlichen und personellen OUs bei den Domainen gar keinen Unterschied? Kann man die für Personen und Rechner gleichwertig anlegen?
Ich frage jetzt so dumm, weil ich momentan nicht mehr in der Schule bin, sondern 40 km weiter zu Hause. Und überlege, was ich jetzt am Telefon mit dem Schulleiter vereinbaren soll. Ist halt Mecklenburg hier oben. Stellenweise so dicht besiedelt wie afrikanische Savanne.
Also: Der Domain-Controller soll doch die Arbeit der Lehrer und des Admins erleichtern.
Da ist es doch nicht unbedingt sinnvoll, die Schüler - vorausgesetzt, die bekommen jeder ein eigenes Konto und damit auch eigene echte Privatbereiche im Dateisystem - in jedem Raum extra zu verwalten.
Die Organisationseinheiten - wenn ich die Hinweise richtig interpretiere - korrelieren doch eher mit der Aufgabe der Personen, die hinter den Konten stehen. Also sollte es doch vielleicht besser eine "OU" für Lehrer, eine fürs Sekretariat und den Hausmeister und eine für die Schüler geben, oder? So, wie das Dateisystem ohnehin schon halbwegs sinnvoll strukturiert ist.
DANN nämlich - wenn ich's richtig interpretiere - brauche ich nur einmal für jede der "OU"s die spezifischen Rechte der Personenkategorie definieren und kann zu jedem Schuljahreswechsel ganz trivial neue Konten für Schüler und Lehrer einrichten und alte wegschmeißen bzw. archivieren.
Liege ich da zweckmäßig? Oder ist das Quatsch?
Die Rechner-spezifischen Rechte dagegen korrelieren recht kräftig mit den räumlichen Strukturen. DIE sollten also räumlich orientierte OUs bekommen.
Und wenn ichs richtig verstehe, gibt es zwischen räumlichen und personellen OUs bei den Domainen gar keinen Unterschied? Kann man die für Personen und Rechner gleichwertig anlegen?
Ich frage jetzt so dumm, weil ich momentan nicht mehr in der Schule bin, sondern 40 km weiter zu Hause. Und überlege, was ich jetzt am Telefon mit dem Schulleiter vereinbaren soll. Ist halt Mecklenburg hier oben. Stellenweise so dicht besiedelt wie afrikanische Savanne.
Hi,
wenn ich mir das ganze so durchlese, würde ich erstmal so vorgehen.
1) alle Rechenr aus dem Netz nehmen (LAN-Kabel ziehen)
2) DomainControler neu aufsetzen
3) Domain einrichten (DomainName z.B. schule.local)
4) OU strucktur anlegen
5) Dann die einzelnen Rechenr neu aufsetzen und in die Domain einbinden (Netzwerkabel wieder einstöpseln nicht vergessen) und danach im AD (Aktive Directory Benutzer und Computer) die PCs in die OU Raeume verschieben (Also PCs aus Raum 1 in OU Raum1 usw.).
Wenn du nicht jeden Rechner Manuell installieren willst, sauch dir das hier mal an www.windows-unattended.de
6) Schüler in OU Schüler (Möglicherweise ist es sinvoll in der OU Schüler noch die einzelnen Klassen anzulegen), Lehrer in OU Lehrer anlegen, usw.
Damit ist das die Grundstrucktur des Netzwerkes wieder sauber. (Domain-Benutzer haben standartmäßig dann nur Benutzerrechte auf den Rechnern).
Dann würd ich wie oben beschrieben Gruppenrichtlinen erstellen, damti die Schüler und auch die Lehrer nicht zu viel schei.. machen.
mfg
n4426
PS: Würd sowas in den Ferien machen.
wenn ich mir das ganze so durchlese, würde ich erstmal so vorgehen.
1) alle Rechenr aus dem Netz nehmen (LAN-Kabel ziehen)
2) DomainControler neu aufsetzen
3) Domain einrichten (DomainName z.B. schule.local)
4) OU strucktur anlegen
| Schule.local |
| -Raeume |
| --Raum1 |
| --Raum2 |
| -Personen |
| --Schüler |
| --Lehrer |
| --Sekretariat |
| --Sonstiges |
5) Dann die einzelnen Rechenr neu aufsetzen und in die Domain einbinden (Netzwerkabel wieder einstöpseln nicht vergessen
) und danach im AD (Aktive Directory Benutzer und Computer) die PCs in die OU Raeume verschieben (Also PCs aus Raum 1 in OU Raum1 usw.).Wenn du nicht jeden Rechner Manuell installieren willst, sauch dir das hier mal an www.windows-unattended.de
6) Schüler in OU Schüler (Möglicherweise ist es sinvoll in der OU Schüler noch die einzelnen Klassen anzulegen), Lehrer in OU Lehrer anlegen, usw.
Damit ist das die Grundstrucktur des Netzwerkes wieder sauber. (Domain-Benutzer haben standartmäßig dann nur Benutzerrechte auf den Rechnern).
Dann würd ich wie oben beschrieben Gruppenrichtlinen erstellen, damti die Schüler und auch die Lehrer nicht zu viel schei.. machen.
mfg
n4426
PS: Würd sowas in den Ferien machen.
Danke für die Tips. Ich probiere einen Teil davon jetzt mal per Fernwartung aus. Den Server neu aufsetzen werde ich allerdings erstmal gar nicht können: Erstens müssen die Leute in der Schule mit dem Zeug zwischendurch immer noch arbeiten können, zweitens habe ich standardmäßig einfach nur 4 Stunden pro Woche Zeit, weil ich noch ne bezahlte Arbeit habe und anders nicht mit öffentlichen Verkehrsmitteln rankomme. Und soweit, daß ich per Fernwartung einen Rechner komplett neu aufsetzen kann, sind auch die aktuellsten BIOSe nicht.
Langsam sehe ich aber eine Zielstruktur vor meinen Augen. Ich melde mich nochmal mit Erfahrungswerten. Schließt den Thread mal noch nicht.
Langsam sehe ich aber eine Zielstruktur vor meinen Augen. Ich melde mich nochmal mit Erfahrungswerten. Schließt den Thread mal noch nicht.
Also: Die Tips sind wirklich hilfreich. Bin jetzt eifrig am basteln. Aber die Schüler werde ich nicht in Klassen legen, weil die Rechte sich nicht mit den Klassenstufen ändern, sondern bestenfalls mit der Wahl zum Schülerrat. Im PHP-Forum der Schule habe ich das auch schon so organisiert (nur wird das dort leider von niemandem benutzt).
Gruppenrichtlinie gibt's bei mir zumindest nicht dort, wo es hier im Tipp beschrieben ist.
Nach Anklicken von der Organisationseinheit kommt bei mir:
http://harryboeck.dyndns.org/verschiedenes/OU-Menu.png
Davon reagiert nichts wie das, was ich als Gruppenrichtlinie an einem Windows 98 oder Windows XP kenne.
Allerdings kommt woanders etwas, was mich daran erinnert: Rechtsklick auf das Konto (alias die Person, wenns zweckmäßig benutzt wird) -> Eigenschaften -> Sicherheitseinstellungen und Remoteüberwachung.
Und an den "Sicherheitseinstellungen würde mich ja brennend interessieren, ob die Einstellungen im oberen Fensterchen ( http://harryboeck.dyndns.org/verschiedenes/Konto-Eigenschaften.png ) wie es aus der Form und Analogiebetrachtungen zu schlußfolgern wäre der Steuerung des Zugriffs auf das Konto dienen oder ob da die Rechte zugewiesen werden, die ein mit diesem Konto angemeldeter Jemand haben soll. So, wie es auf meinem System hier aussieht, wäre das in letzterem Fall wohl fatal eingestellt.
Nach Anklicken von der Organisationseinheit kommt bei mir:
http://harryboeck.dyndns.org/verschiedenes/OU-Menu.png
Davon reagiert nichts wie das, was ich als Gruppenrichtlinie an einem Windows 98 oder Windows XP kenne.
Allerdings kommt woanders etwas, was mich daran erinnert: Rechtsklick auf das Konto (alias die Person, wenns zweckmäßig benutzt wird) -> Eigenschaften -> Sicherheitseinstellungen und Remoteüberwachung.
Und an den "Sicherheitseinstellungen würde mich ja brennend interessieren, ob die Einstellungen im oberen Fensterchen ( http://harryboeck.dyndns.org/verschiedenes/Konto-Eigenschaften.png ) wie es aus der Form und Analogiebetrachtungen zu schlußfolgern wäre der Steuerung des Zugriffs auf das Konto dienen oder ob da die Rechte zugewiesen werden, die ein mit diesem Konto angemeldeter Jemand haben soll. So, wie es auf meinem System hier aussieht, wäre das in letzterem Fall wohl fatal eingestellt.
Hatte die Erwähnung der "Eigenschaften" nicht für voll genommen.
Ist jetzt aber klar. Danke nochmal.
Ist jetzt aber klar. Danke nochmal.
Die "Domainen-Admins" sind doch die höchste Verantwortungseinheit, oder?
Sollten die nicht "Vollzugriff" haben? Die sind doch diejenigen, die das Zeug organisieren?
Sollten die nicht "Vollzugriff" haben? Die sind doch diejenigen, die das Zeug organisieren?
...funktioniert aber nur dann, wenn die Benutzer sich auch bei der Domaine anmelden. Mindestens das müßte man an den Rechnern lokal absichern. Wenn dann aber der Domainen-Controller mal ausfällt oder ein Wackelkontakt an einem Netzstecker entsteht (die Verkabelung ist momentan auch noch eine sehr wüste Konstruktion) darf nicht deswegen der gesamte Unterricht in AWT ud Informatik und die Unterrichtsvorbereitung in sämtlichen Fächern ausfallen.
Also werde ich die Rechner hier doch alle auf Einzelplatz-Sicherheit trimmen und testen, bevor ich sie zur Domaine hinzufüge. Und nicht die Domainenanmeldung erzwingen (falls das überhaupt geht).
Und ob ich dann noch die Domaine brauche? Ach ja, für Einzelkonten der Schüler. Das ist aber noch lange nicht genehmigt. Da werde ich wohl erst eine Demo zeigen müssen, damit das eine Zustimmung erhält.
Also werde ich die Rechner hier doch alle auf Einzelplatz-Sicherheit trimmen und testen, bevor ich sie zur Domaine hinzufüge. Und nicht die Domainenanmeldung erzwingen (falls das überhaupt geht).
Und ob ich dann noch die Domaine brauche? Ach ja, für Einzelkonten der Schüler. Das ist aber noch lange nicht genehmigt. Da werde ich wohl erst eine Demo zeigen müssen, damit das eine Zustimmung erhält.
