23
Domain Client Funktionalität deaktivieren bzw. sabotieren
Hi,
stellt euch mal vor ihr wuerdet einen Domain Client "sabotieren" wollen, welche Dienste würdet Ihr blocken/deaktivieren
bzw welche Ports würdet Ihr blocken ( ja der User um den es geht hat admin rechte, er kann lediglich den Client NICHT aus der Domain entfernen ) um euch vom Rest der Domain zu separieren ?
Ich weiss, ein wenig um die Ecke gedacht aber so ist die aktuelle Situation eben.
stellt euch mal vor ihr wuerdet einen Domain Client "sabotieren" wollen, welche Dienste würdet Ihr blocken/deaktivieren
bzw welche Ports würdet Ihr blocken ( ja der User um den es geht hat admin rechte, er kann lediglich den Client NICHT aus der Domain entfernen ) um euch vom Rest der Domain zu separieren ?
Ich weiss, ein wenig um die Ecke gedacht aber so ist die aktuelle Situation eben.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 360264
Url: https://administrator.de/contentid/360264
Ausgedruckt am: 26.11.2024 um 14:11 Uhr
23 Kommentare
Neuester Kommentar
Hallo,
warum sollte man das tun wollen? Was ist das Ziel dahinter? Nur den User blockieren? Entsprechende Rechte nehmen...oder Passwort ändern. Gut ist.
VG
warum sollte man das tun wollen? Was ist das Ziel dahinter? Nur den User blockieren? Entsprechende Rechte nehmen...oder Passwort ändern. Gut ist.
VG
Hallo,
Die Person haette bei uns keine (Admin)-Rechte mehr. Weder in der AD noch auf PC.
Was machst Du, wenn die Person bei dem Spiel, was Du "spielen" willst, besser ist?
Und bist Du auf der rechtlich sicheren Seite? Vermutlich nicht, weil sonst wuerdest Du so nicht fragen.
BFF
Die Person haette bei uns keine (Admin)-Rechte mehr. Weder in der AD noch auf PC.
Was machst Du, wenn die Person bei dem Spiel, was Du "spielen" willst, besser ist?
Und bist Du auf der rechtlich sicheren Seite? Vermutlich nicht, weil sonst wuerdest Du so nicht fragen.
BFF
Hi,
Da ist also einen PC, welcher Domain Member ist. Und der Anwender an diesem PC hat ein Benutzerkonto mit Admin-Rechten. Und nun willst Du sichergehen, dass der Anwender sich nicht den Richtlinien der Domäne entziehen kann. Richtig? Falls ja: Warum fragst Du das dann nicht so?
Bist Du der Admin oder der betreffende Anwender?
Ich gehe mal von Admin aus. Falls doch Anwender, dann hat der Admin eben Pech gehabt. Vielleicht lernt er dadurch noch was.
Admin-Lösung 1: Benutzer eben kein lokaler Admin
Wozu benötigt er lokale Admin-Rechte?
"Saboteur"-Lösung 1: Netzwerkkabel ziehen
"Saboteur"-Lösung 2: WLAN trennen
"Saboteur"-Lösung 3: TCP/IP-Konfiguration ändern (IP-Adresse, Gateway, DNS-Server)
"Saboteur"-Lösung 4: GPO-Dienst deaktivieren und alle bereits geladenen GPO's aus der Registry entfernen
"Saboteur"-Lösung 5: aus der Domäne austreten
"Saboteur"-Lösung 6: Allen anderen Admins den Zugriff verweigern
usw. usw.
Wenn das Konto Admin-Rechte hat, dann hilft nur Vertrauen. Wenn kein Vertrauen da ist, dann darf der Anwender auch kein Konto mit Admin-Rechten erhalten. Oder der Client nicht Mitglied der Domäne sein. Oder der Anwender trägt die volle Verantwortung für die Funktionalität des Clients.
E.
PS: Vielleicht hilft auch Beten. Oder "Abrakadabra".
Da ist also einen PC, welcher Domain Member ist. Und der Anwender an diesem PC hat ein Benutzerkonto mit Admin-Rechten. Und nun willst Du sichergehen, dass der Anwender sich nicht den Richtlinien der Domäne entziehen kann. Richtig? Falls ja: Warum fragst Du das dann nicht so?
Bist Du der Admin oder der betreffende Anwender?
Ich gehe mal von Admin aus. Falls doch Anwender, dann hat der Admin eben Pech gehabt. Vielleicht lernt er dadurch noch was.
er kann lediglich den Client NICHT aus der Domain entfernen
Erster Irrtum! Er kann!Admin-Lösung 1: Benutzer eben kein lokaler Admin
Wozu benötigt er lokale Admin-Rechte?
"Saboteur"-Lösung 1: Netzwerkkabel ziehen
"Saboteur"-Lösung 2: WLAN trennen
"Saboteur"-Lösung 3: TCP/IP-Konfiguration ändern (IP-Adresse, Gateway, DNS-Server)
"Saboteur"-Lösung 4: GPO-Dienst deaktivieren und alle bereits geladenen GPO's aus der Registry entfernen
"Saboteur"-Lösung 5: aus der Domäne austreten
"Saboteur"-Lösung 6: Allen anderen Admins den Zugriff verweigern
usw. usw.
Wenn das Konto Admin-Rechte hat, dann hilft nur Vertrauen. Wenn kein Vertrauen da ist, dann darf der Anwender auch kein Konto mit Admin-Rechten erhalten. Oder der Client nicht Mitglied der Domäne sein. Oder der Anwender trägt die volle Verantwortung für die Funktionalität des Clients.
E.
PS: Vielleicht hilft auch Beten. Oder "Abrakadabra".
Zitat von @emeriks:
Wenn das Konto Admin-Rechte hat, dann hilft nur Vertrauen. Wenn kein Vertrauen da ist,...
Wenn das Konto Admin-Rechte hat, dann hilft nur Vertrauen. Wenn kein Vertrauen da ist,...
hat oftmals nichts mit Vertrauen zu tun. ICH arbeite auf meinen "Anwendungssystemen" auch nicht als Admin, weder auf den PCs, noch auf den Notebooks, noch in der ERP/CRM usw.
hat oftmals nichts mit Vertrauen zu tun.
Doch. Die Firma vertraut Dir.ICH arbeite auf meinen "Anwendungssystemen" auch nicht als Admin, weder auf den PCs, noch auf den Notebooks, noch in der ERP/CRM usw.
Und damit wirst Du diesem Vertrauen gerecht.Zitat von @emeriks:
hat oftmals nichts mit Vertrauen zu tun.
Doch. Die Firma vertraut Dir.ICH arbeite auf meinen "Anwendungssystemen" auch nicht als Admin, weder auf den PCs, noch auf den Notebooks, noch in der ERP/CRM usw.
Und damit wirst Du diesem Vertrauen gerecht.Ich möchte ja nichts sagen, aber es ist meine Firma. Demnach hat das nichts vertrauen zu tun. Unter einem Administratoraccount arbeitet man nicht (und mit arbeiten meine ich alle Tätigkeiten, die nach ordentlicher Planung keine Administrativen Rechte benötigen.)
Demnach sind 9 von 10 meiner Kunden auch absolut einverstanden, wenn Sie nur mit beschränkten Rechten arbeiten. Der 10.te zahlt dann eben regelmäßig dafür, dass er sein System selbst an die Wand gefahren hat.
Halloele,
Nun schweift mal nicht soweit vom Thema ab.
Du @certifiedit.net arbeitest verantwortungsbewusst und deshalb kann sich z.B. @emeriks vertrauensvoll an Dich wenden.
Schoene Woche.
BFF
Nun schweift mal nicht soweit vom Thema ab.
Du @certifiedit.net arbeitest verantwortungsbewusst und deshalb kann sich z.B. @emeriks vertrauensvoll an Dich wenden.
Schoene Woche.
BFF
1
Das Thema ist leider nicht wirklich gegeben, da der TO sich verkrümelt hat.
Aber was wahr ist: Natürlich darf sich @emeriks, wie jeder mit einer Herausforderung gerne an mich wenden. (Bitte nicht falsch verstehen, in Form einer Zusammenarbeit/Beauftragung )
Nun aber: Gute Nacht.
Aber was wahr ist: Natürlich darf sich @emeriks, wie jeder mit einer Herausforderung gerne an mich wenden. (Bitte nicht falsch verstehen, in Form einer Zusammenarbeit/Beauftragung
)Nun aber: Gute Nacht.
1
Moin,
Ich weiß ja nicht was für Spielchen ihr spielt, aber wenn derjenige Adminrechte hat, stehen ihm unendlich viele Möglichkeiten offfen.
Die würde ich dann allerdings mit Cat9 sehr schnell wieder einschränken.
lks
Ich weiß ja nicht was für Spielchen ihr spielt, aber wenn derjenige Adminrechte hat, stehen ihm unendlich viele Möglichkeiten offfen.
Die würde ich dann allerdings mit Cat9 sehr schnell wieder einschränken.
lks
1
Moin....
Ich weiss, ein wenig um die Ecke gedacht aber so ist die aktuelle Situation eben.
glaube ich nicht!
Frank
Zitat von @Washington:
Hi,
stellt euch mal vor ihr wuerdet einen Domain Client "sabotieren" wollen, welche Dienste würdet Ihr blocken/deaktivieren
bzw welche Ports würdet Ihr blocken ( ja der User um den es geht hat admin rechte, er kann lediglich den Client NICHT aus der Domain entfernen ) um euch vom Rest der Domain zu separieren ?
ich habe bei der frage eher das gefühl, der TO möchte gerne "sabotieren" lernen....Hi,
stellt euch mal vor ihr wuerdet einen Domain Client "sabotieren" wollen, welche Dienste würdet Ihr blocken/deaktivieren
bzw welche Ports würdet Ihr blocken ( ja der User um den es geht hat admin rechte, er kann lediglich den Client NICHT aus der Domain entfernen ) um euch vom Rest der Domain zu separieren ?
Ich weiss, ein wenig um die Ecke gedacht aber so ist die aktuelle Situation eben.
1
@Vision2015:
Hallo.
Den Eindruck hab' ich auch, ich glaube, er hat's einfach andersrum dargestellt, daß ein anderer der Bösewicht sei, dabei wollte er vielleicht nur Tipps für sich selbst. Ein Admin hätte die Frage anders gestellt und etwas mehr zur genaueren Umgebung mitgeteilt.
Und dummerweise reicht ihm das hier vielleicht schon:
Viele Grüße
von
departure69
Hallo.
ich habe bei der frage eher das gefühl, der TO möchte gerne "sabotieren" lernen....
Den Eindruck hab' ich auch, ich glaube, er hat's einfach andersrum dargestellt, daß ein anderer der Bösewicht sei, dabei wollte er vielleicht nur Tipps für sich selbst. Ein Admin hätte die Frage anders gestellt und etwas mehr zur genaueren Umgebung mitgeteilt.
Und dummerweise reicht ihm das hier vielleicht schon:
"Saboteur"-Lösung 4: GPO-Dienst deaktivieren und alle bereits geladenen GPO's aus der Registry entfernen
Viele Grüße
von
departure69
Hallo,
fällt das nicht Regel Nr. 5: Verbotene Inhalte?
Entschuldigt, aber ich finde diese Frage hier im Forum falsch.
Gruss Penny
fällt das nicht Regel Nr. 5: Verbotene Inhalte?
Entschuldigt, aber ich finde diese Frage hier im Forum falsch.
Gruss Penny
Hallo.
Erstmal nicht, meine ich. Der TE hat das ganze ja so dargestellt, als ginge es um jemand, den er an Saboteurstätigkeit hinsichtlich eines Domänen-PC hindern will. Und er hat auch nicht nach Hacktools oder PWD zurücksetzen gefragt.
Wir bzw. ich haben ja bloß obendraufspekuliert, daß er selbst derjenige ist, der Tipps dazu für sich will. Wir wissen es nicht. Der TE ist auch noch registriert, meldet sich aber in seinem eigenen Thread nicht mehr. Wir wissen also gar nichts, Und wenn der TE sich nicht nochmal meldet, wird es dabei wohl auch bleiben.
Entschuldigt, aber ich finde diese Frage hier im Forum falsch.
Zumindest grenzwertig.
Gruss Penny
Viele Grüße
von
departure69
@departure69
kann man so auch sehen, so hatte ich es nicht auf dem Radar.
Wie Du schon schreibst, ist die Frage meiner Meinung nach sehr grenzwertig.
Gruss Penny
kann man so auch sehen, so hatte ich es nicht auf dem Radar.
Wie Du schon schreibst, ist die Frage meiner Meinung nach sehr grenzwertig.
Gruss Penny
Es ist schon sehr befremdlich wenn man hier eine frage stellt und dann dinge unterstellt bekommt ohne das man denjenigen ueberhaupt kennt.
Zitat von @emeriks:
Hi,
Da ist also einen PC, welcher Domain Member ist. Und der Anwender an diesem PC hat ein Benutzerkonto mit Admin-Rechten. Und nun willst Du sichergehen, dass der Anwender sich nicht den Richtlinien der Domäne entziehen kann. Richtig?
Hi,
Da ist also einen PC, welcher Domain Member ist. Und der Anwender an diesem PC hat ein Benutzerkonto mit Admin-Rechten. Und nun willst Du sichergehen, dass der Anwender sich nicht den Richtlinien der Domäne entziehen kann. Richtig?
Exakt so ist es.
er kann lediglich den Client NICHT aus der Domain entfernen
Erster Irrtum! Er kann!er kann, dies wuerde aber sofor auffallen, es geht eher darum was man schleichend tun kann.
Admin-Lösung 1: Benutzer eben kein lokaler Admin
Wozu benötigt er lokale Admin-Rechte?
Wozu benötigt er lokale Admin-Rechte?
Politische Probleme - mir muss niemand sagen das ich hier anders handeln MÜSSTE, aber es ist eben nicht unsere Firma.
"Saboteur"-Lösung 4: GPO-Dienst deaktivieren und alle bereits geladenen GPO's aus der Registry entfernen
Das sehe ich als sehr wahrscheinlich an. was genau müsste derjenige tun ?
ohne das man denjenigen ueberhaupt kennt.
Eben. Es ist Deine erste Frage unter diesem Namen.Melde mich beim BMW-Forum an und Frage gleich als erstes:
Also nur mal theoretisch. Wenn mein/e Frau/Mann, welche/n ich das Auto fahren lassen muss, das Auto sabotieren würde wollen, wie müsste man da vorgehen um das zu verhindern? Was müsste man alles verhindern?
Antworten dann wie
Er/Sie könnte den Bremsschlauch anschneiden. Das geht ganz einfach. Nimm einfach ...
Oder wie?
Ein bisschen paranoid sind wir hier alle. Aber nur ein bisschen ....
Das sehe ich als sehr wahrscheinlich an. was genau müsste derjenige tun ?
Wenn man davon ausgeht, dass das nur jemand ist, der sich auzukennen glaubt, aber es nicht wirklich drauf hat, dann könnte man mit Gegenmaßnahmen dafür sorgen, dass der Dienst immer wieder aktiviert wird.z.B.
Man hinterlegt ein Script, welches über HKLM oder HKCU Run restartet wird.
Oder über die lokale GPO als Startup-Script.
Oder einen Scheduled Task, welchen man etwas tiefer im Namespace "versteckt", sodass dieser nicht gleich oben in der "Aufgabenplanung" erscheint, welcher diesen Dienst wieder restauriert.
Oder man schreibt einen kleinen Dienst, welcher dies tut.
Man könnte auch Überwachungen einrichten und bei bestimmten Events sofort eine Mail senden lassen.
Viele Wege führen nach Rumänien.
er kann, dies wuerde aber sofor auffallen, es geht eher darum was man schleichend tun kann.
Sofort? Wie denn? Da müsste man schon ständig das "LastLogon" dieses Computerobjekts abfragen.
Hallo,
nixx für ungut, aber wenn man sich hier im Forum anmeldet und dann als erste Frage eine solche grenzwertige stellt, kommen solche Reaktionen zustande.
Wobei man hätte die Frage auch anders formulieren können besser formuliert hätte, dann wäre der Hintergrund ein anderer.
Das heißt der Fokus und der Kontext ist ein anderer.
Gruss Penny
nixx für ungut, aber wenn man sich hier im Forum anmeldet und dann als erste Frage eine solche grenzwertige stellt, kommen solche Reaktionen zustande.
Wobei man hätte die Frage auch anders formulieren können besser formuliert hätte, dann wäre der Hintergrund ein anderer.
Das heißt der Fokus und der Kontext ist ein anderer.
Gruss Penny
Zitat von @Washington:
Es ist schon sehr befremdlich wenn man hier eine frage stellt und dann dinge unterstellt bekommt ohne das man denjenigen ueberhaupt kennt.
Es ist schon sehr befremdlich wenn man hier eine frage stellt und dann dinge unterstellt bekommt ohne das man denjenigen ueberhaupt kennt.
Och, wir haben da unsere Erfahrung. Umso besser, wenn es nicht so ist.
Aber als erfahrener Admin muß man immer alle Eventualitäten abwägen, bevor man eine kritische Information herausgibt.
lks
PS: Das mti dem Cat9 solltest Du ernsthaft überlegen.
Zitat von @Lochkartenstanzer:
Och, wir haben da unsere Erfahrung. Umso besser, wenn es nicht so ist.
Aber als erfahrener Admin muß man immer alle Eventualitäten abwägen, bevor man eine kritische Information herausgibt.
lks
PS: Das mti dem Cat9 solltest Du ernsthaft überlegen.
Noch kein Update auf Cat12a? Zitat von @Washington:
Es ist schon sehr befremdlich wenn man hier eine frage stellt und dann dinge unterstellt bekommt ohne das man denjenigen ueberhaupt kennt.
Es ist schon sehr befremdlich wenn man hier eine frage stellt und dann dinge unterstellt bekommt ohne das man denjenigen ueberhaupt kennt.
Och, wir haben da unsere Erfahrung. Umso besser, wenn es nicht so ist.
Aber als erfahrener Admin muß man immer alle Eventualitäten abwägen, bevor man eine kritische Information herausgibt.
lks
PS: Das mti dem Cat9 solltest Du ernsthaft überlegen.
Tut mehr weh...
Gruss Penny
ich würde mal sagen, damit ist die Neujahrsfrage auch durch. Viel Spaß noch im Jahr 2018 und schauen wir mal, was noch kommt
Mfg
Mitchell
PS: Falls es nicht klar ist...>>> Papierkorb
Mfg
Mitchell
PS: Falls es nicht klar ist...>>> Papierkorb
