lorenzstraus
Goto Top

Computerverwaltung sperren

Hi, ich hoffe ihr könnt mir helfen,

wir haben bei uns im Netz einen Windows 2000 Server und Windows 2000 clients. Alle haben ein Servergespeichertes Profil. Einige der Netzer brauchen lokale Adminrechte am Client. Ich habe nun über die Gruppenrichtlinie eingestellt, dass zb. Diese Nutzer keinen zugriff auf die regedit haben bzw am eigentlichen Netzwerk nix ändern können.

Mein problem ist, mann kann sich weiterhin über die Computerverwaltung (rechtsklick auf Arbeitsplatz --> Verwaltung) ein Account erstellen, bzw. das Adminkennwort ändern. Dies möchte ich umgehen, da dort niemand was zu suchen hat.

Ich hab schon probiert die zu verweigern in dem ich in der Gruppenrichtlinie verschiedene systemsteuerungs sachen zu deaktivieren / sperren. Ich bekomm alles gesperrt was ich nicht sperren will. wie zb. Uhrzeit, System, Anzeige... aber nicht diese Computerverwaltung. Ich möchte aber auch nicht die ganze Systemsteuerung sperren, da die benötigt wird.

Ich habe auch noch nicht den richtigen namen (name.cpl) gefunden. Aber irgendwie muss das doch gehen.

Ich danke euch schonmal

Content-ID: 126732

Url: https://administrator.de/forum/computerverwaltung-sperren-126732.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

60730
60730 08.10.2009 um 15:22:14 Uhr
Goto Top
Servus,

mein Angebot - gegen nennung der Gründe - warum es User mit Adminrechten geben "muß":

Lass uns das Problem dort beseitigen, wo es Sinn macht.

In gaanz seltenen Fällen ist das "wirklich" so - bisher hab ich noch jede Anwendung auch ohne Adminrechte zum funktionieren gebracht.

Das "verbiegen" ist - wenn überhaupt - nur temporär erfolgreich, bzw: einmal Adminrechte - immer Adminrechte - wie Du schon geschrieben hast.

Gruß
lorenzstraus
lorenzstraus 08.10.2009 um 15:58:56 Uhr
Goto Top
die adminrechte sind bei uns schon erforderlich sei es schon wie mal schnell plugins zu installieren beim mozilla oder mal schnell ein programm lokal zu installieren. der Netzadmin ist nicht immer zur verfügung.

gibt es dafür keine cpl?
Logan000
Logan000 08.10.2009 um 16:06:17 Uhr
Goto Top
Moin Moin

Ich habe auch noch nicht den richtigen namen (name.cpl) gefunden.
Das könnte daran liegt das es keine .clp ist sondern die compmgmt.msc.
Aber irgendwie muss das doch gehen.
Warum? Wer behauptet denn sowas?

Gruß L.
60730
60730 08.10.2009 um 16:25:33 Uhr
Goto Top
Schade,

wieder ein Administrator, der seine User mit Adminrechten im weltweiten Web surfen läßt.

btw: Ich bin nur im Administrator Forum Administrator - und krieg trotzdem alles hin, was ich brauche face-wink

Kekspackung wieder ganz nach oben stell - wo die arme Armee ohne Arme - nicht dran kommt
lorenzstraus
lorenzstraus 08.10.2009 um 18:09:04 Uhr
Goto Top
die "compmgmt.msc" hatte ich auch schon ausprobiert in der Gruppenrichtlinie, bringt aber nix. es geht trotzdem.

Warum und weshalb die Adminrechte haben/brauchen, sei dahingestellt und muss auch nicht groß ausdikutiert werden, die frage ist, wie kann man diese Computerverwaltung Sperren?
60730
60730 08.10.2009 um 21:18:02 Uhr
Goto Top
Zitat von @lorenzstraus:
Warum und weshalb die Adminrechte haben/brauchen, sei dahingestellt und muss auch nicht groß ausdikutiert werden, die frage ist, wie kann man diese Computerverwaltung Sperren?

Sorry ich "wollte" dir helfen - und nicht diskustieren.
Mein problem ist, mann kann sich weiterhin über die Computerverwaltung (rechtsklick auf Arbeitsplatz --> Verwaltung) ein Account erstellen, bzw. das Adminkennwort ändern.
Dies möchte ich umgehen, da dort niemand was zu suchen hat.

"Wenn" man seinen Usern soweit traut, dass diese Adminrechte haben - warum traut man denen dann nicht, dass sie Ihre Rechte nicht ausnutzen - einen (nutzlosen) zusätzlichen lokalen Account anzulegen?
Die Rechte vom Admin haben die doch eh schon, was stört dann 1,2,3 oder 99 weitere?

Und da ein "richtiger" Admin eh immer den Domainadmin nimmt - um Software zu installieren, ist das mit dem ändern des lokalen Adminpasswortes ja auch nicht sooo das Ding.

Also Klartext:
Entweder, du läßt dir helfen - oder du findest eine Lösung, wie die User trotz Adminrechten schwarz auf weiß in den Unterlagen - die die Personalabteilung in deren Akte legt - dass diese User mit den Rechten, die du Ihnen gegeben hast - nix schlimmes anstellen.

Btw: Wer das Recht hat, die Uhrzeit zu ändern und das "richtig" macht - der kann sehr viel zur allgemeinen Belustigung innerhalb des Firmennetzwerkes beitragen face-wink
"Sooo" trivial, ist auch dieses Recht in einer Domain nicht - dass hat schon einen grund, dass dieses per GPO abschaltbar ist.

Aber mach mal. Find ich zwar traurig, aber wir wollen ja in die Disko und nicht diskutieren.
Logan000
Logan000 09.10.2009 um 13:11:11 Uhr
Goto Top
Moin

Warum und weshalb die Adminrechte haben/brauchen, sei dahingestellt und muss auch nicht groß ausdikutiert werden,
Dem stimme ich zu. Das muß wirklich nicht diskutiert werden.

Nun ist es aber so, das die Lösung auf die Frage
wie kann man diese Computerverwaltung Sperren?
lautet: Nimm den Usern die Adminrechte.
Um damit hast Du ein kleines Dilemma, denn dein Lösungsansatz, ist nicht nur wenig erfolgsversprechend, sondern widerspricht auch dem Administrativen Prinzip, jedem nur genau die Rechte zu gewähren, die er benötigt.

Auch bei uns im Netz installieren User Programme - ohne Adminrechte.
Und natürlich haben gibt es auch bei uns Anwendungen die mehr Rechte erfordern als der 08/15 Standarduser hat. Das sind lösbare Probleme.
Dem Admin den Zugriff auf die Computerverwaltung zu entziehen, hingegen nicht.
Denk darüber nach.

Viel Erfolg
Gruß L.
SamTrex
SamTrex 10.10.2009 um 02:24:11 Uhr
Goto Top
Moin,
ich habe jetzt zwar nur mal durch das Thema durchgelesen. Allerdings fällt mir dazu spontan eines ein:

Warum einen Admin dekradieren wenn man einen User mit bestimmten Rechten privilegieren kann?
Ich kann doch dem Standart- / Hauptuser das Privileg zur Installation von Software geben.
Das sollte doch im Ganzen viel einfacher sein als ihm einfach die Rechte für alles zu geben und dann nochmal hintenrum etwas wieder zu entziehen....

MfG
Sam
lorenzstraus
lorenzstraus 19.10.2009 um 02:46:41 Uhr
Goto Top
Ich kann doch dem Standart- / Hauptuser das Privileg zur Installation
von Software geben.

dann werde ich mal Plan B probieren.

Danke