66852
28.05.2010, aktualisiert um 09:10:54 Uhr
8483
2
0
Domäne, Lokaler Administrator, Zugriffsrechte Profile anderer User
Lokale Administratoren bekommen Zugriffe auf die Domänenprofile anderer User
Versuchsaufbau:
Domaincontroller: W2K8
Domäne: XYZ.LAN
Rechner CAD: Windows 7 Client, Mitglied der Domäne XYZ.LAN
Benutzer Y: Besitzer des Systems CAD (Mitglied der Gruppe Konstruktion)
Benutzer Z: Anderer Benutzer (Mitglied der Gruppe Buchhaltung)
Vorweg: Die Profile auf dem Server sind nur durch die User selbst einsehbar. Selbst als Domainadmin komme ich da nicht rein -> so solls sein, alles in Ordnung.
Auf dem Rechner CAD läuft eine CAD Software, die leider lokale Administratorrechte benötigt. Die Gruppe XYZ\Konstruktion wurde daher der Gruppe CAD\Administratoren hinzugefügt. CAD Software läuft, alles in Ordnung; d.h. wenn sich Benutzer Y anmeldet, kann er die Software starten, Programme installieren, etc.; loggt sich jetzt Benutzer Z aus der Buchhaltung auf der Maschine CAD ein, wird ja eine Kopie des Profils unter C:/Profiles abgelegt.
Wenn sich Benutzer Y das nächste mal einloggt, kann er in das Profilverzeichnis von Z schauen (was er ja eigentlich nicht darf) - nicht gut.
Ich drehe das Problem schon eine ganze Zeit im Kopf hin und her, habe aber noch keinen guten Ansatz für das Problem gefunden - deswegen meine Frage:
Wie löst man solche Probleme richtig ? Mir fehlt irgendwie ein guter Ansatz.
Danke; auch im Namen der Buchhaltung ;)
Marcel
Versuchsaufbau:
Domaincontroller: W2K8
Domäne: XYZ.LAN
Rechner CAD: Windows 7 Client, Mitglied der Domäne XYZ.LAN
Benutzer Y: Besitzer des Systems CAD (Mitglied der Gruppe Konstruktion)
Benutzer Z: Anderer Benutzer (Mitglied der Gruppe Buchhaltung)
Vorweg: Die Profile auf dem Server sind nur durch die User selbst einsehbar. Selbst als Domainadmin komme ich da nicht rein -> so solls sein, alles in Ordnung.
Auf dem Rechner CAD läuft eine CAD Software, die leider lokale Administratorrechte benötigt. Die Gruppe XYZ\Konstruktion wurde daher der Gruppe CAD\Administratoren hinzugefügt. CAD Software läuft, alles in Ordnung; d.h. wenn sich Benutzer Y anmeldet, kann er die Software starten, Programme installieren, etc.; loggt sich jetzt Benutzer Z aus der Buchhaltung auf der Maschine CAD ein, wird ja eine Kopie des Profils unter C:/Profiles abgelegt.
Wenn sich Benutzer Y das nächste mal einloggt, kann er in das Profilverzeichnis von Z schauen (was er ja eigentlich nicht darf) - nicht gut.
Ich drehe das Problem schon eine ganze Zeit im Kopf hin und her, habe aber noch keinen guten Ansatz für das Problem gefunden - deswegen meine Frage:
Wie löst man solche Probleme richtig ? Mir fehlt irgendwie ein guter Ansatz.
Danke; auch im Namen der Buchhaltung ;)
Marcel
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 143721
Url: https://administrator.de/forum/domaene-lokaler-administrator-zugriffsrechte-profile-anderer-user-143721.html
Ausgedruckt am: 09.04.2025 um 16:04 Uhr
2 Kommentare
Neuester Kommentar
Ich meine, da wirst Du technisch nicht viel machen können. Ich sehe da nur zwei (sehr zeitintensive) Optionen:
a) Braucht die Anwendung wirklich wirklich lokale Adminrechte, oder kann das über Berechtigungen auf dem Filesystem und/oder Registry nachgebildet werden?
b) Kennt Microsoft einen Mechanismus, dass bei servergespeicherte Profile nach der Abmeldung das lokal gespeicherte Profil direkt gelöscht wird, bzw. kann beim Logoff ein kleines Script eingesetzt werden, dass diese Aufgabe erledigt?
Markus
a) Braucht die Anwendung wirklich wirklich lokale Adminrechte, oder kann das über Berechtigungen auf dem Filesystem und/oder Registry nachgebildet werden?
b) Kennt Microsoft einen Mechanismus, dass bei servergespeicherte Profile nach der Abmeldung das lokal gespeicherte Profil direkt gelöscht wird, bzw. kann beim Logoff ein kleines Script eingesetzt werden, dass diese Aufgabe erledigt?
Markus
a) genommen - nach einigen Telefonaten und fiesen Konfigurationsskripten läuft der Laden - vielen Dank trotzdem.
Gruss
Gruss
