GPO Benutzer alle lokalen Laufwerke sperren lassen aber dem Domänen Admin Zugriff geben
Hallo liebe Administrator Community,
ich bin ziemlich neu was die Gruppenrichtlinienverwaltung angeht, da ich gerade erst in der Ausbildung bin und hoffe auf eure Untersützung.
Ich habe die Aufgabe bekommen einen Computer, mit dem Betriebssystem Windows 10, mit GPO's so einzustellen, dass der Benutzer keine Möglichkeit hat auf die Lokalen Laufwerke zuzugreifen. Dies ist eigentlich auch recht einfach in dem man diese GPO ändert:
Benutzerkonfiguration-> Richtlinien-> Administrative vorlagen-> Windows-Komponenten-> Datei-Explorer-> Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen-> Alle Laufwerke einschränken
Das funktioniert relativ gut. Das Problem ist: ich kann den Explorer zwar mit den Domänen Admin Rechten starten, dennoch kann ich nicht auf die lokalen Laufwerke zugreifen.
Falls der Computer ein Problem bekommt, muss ich mich per Remote Control auf den Computer zugreife und muss ja auch irgendwie in die lokalen Daten reinschauen.
Was ich schon versucht habe:
Sicherheitsfilterung-> Einen Benutzer hinzugefügt mit dem ich die GPO Veränderungen testen kann. Hat nicht funktioniert, da ich dann trotzdem mit dem Benutzer auf die Laufwerke zugreifen kann.
Explorer mit einem anderen Benuter (Domänen Admin) öffnen und die Laufwerke öffnen-> hat auch nicht funktioniert
Nun kommt hier meine Frage:
Gibt es eine Möglichkeit, die GPO so einzustellen, dass wirklich nur "normale" Benutzer keinen Zugriff auf die lokalen Laufwerke haben aber der Domänen Admin schon?
Mit freundlichen Grüßen,
RealShibii
ich bin ziemlich neu was die Gruppenrichtlinienverwaltung angeht, da ich gerade erst in der Ausbildung bin und hoffe auf eure Untersützung.
Ich habe die Aufgabe bekommen einen Computer, mit dem Betriebssystem Windows 10, mit GPO's so einzustellen, dass der Benutzer keine Möglichkeit hat auf die Lokalen Laufwerke zuzugreifen. Dies ist eigentlich auch recht einfach in dem man diese GPO ändert:
Benutzerkonfiguration-> Richtlinien-> Administrative vorlagen-> Windows-Komponenten-> Datei-Explorer-> Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen-> Alle Laufwerke einschränken
Das funktioniert relativ gut. Das Problem ist: ich kann den Explorer zwar mit den Domänen Admin Rechten starten, dennoch kann ich nicht auf die lokalen Laufwerke zugreifen.
Falls der Computer ein Problem bekommt, muss ich mich per Remote Control auf den Computer zugreife und muss ja auch irgendwie in die lokalen Daten reinschauen.
Was ich schon versucht habe:
Sicherheitsfilterung-> Einen Benutzer hinzugefügt mit dem ich die GPO Veränderungen testen kann. Hat nicht funktioniert, da ich dann trotzdem mit dem Benutzer auf die Laufwerke zugreifen kann.
Explorer mit einem anderen Benuter (Domänen Admin) öffnen und die Laufwerke öffnen-> hat auch nicht funktioniert
Nun kommt hier meine Frage:
Gibt es eine Möglichkeit, die GPO so einzustellen, dass wirklich nur "normale" Benutzer keinen Zugriff auf die lokalen Laufwerke haben aber der Domänen Admin schon?
Mit freundlichen Grüßen,
RealShibii
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 556469
Url: https://administrator.de/forum/gpo-benutzer-alle-lokalen-laufwerke-sperren-lassen-aber-dem-domaenen-admin-zugriff-geben-556469.html
Ausgedruckt am: 25.04.2025 um 03:04 Uhr
18 Kommentare
Neuester Kommentar
Diese GPO beschränkt nicht den generellen Zugriff! Lies mal das Ende des Hinweistextes (Bescreibung der GPO) und dann frage Dich, ob Dir das überhaupt ausreicht.
Hallo,
danke für die Antwort.
Ja das ist ausreichend. Die Benutzer des Computers besitzen nicht das nötige Wissen für eine Art Umgehung der Sperre.
Danke trotzdem für den Hinweis!
Mit freundlichen Grüßen,
RealShibii
danke für die Antwort.
Ja das ist ausreichend. Die Benutzer des Computers besitzen nicht das nötige Wissen für eine Art Umgehung der Sperre.
Danke trotzdem für den Hinweis!
Mit freundlichen Grüßen,
RealShibii
Zitat von @RealShibii:
Hallo,
danke für die Antwort.
Ja das ist ausreichend. Die Benutzer des Computers besitzen nicht das nötige Wissen für eine Art Umgehung der Sperre.
Danke trotzdem für den Hinweis!
Mit freundlichen Grüßen,
RealShibii
Hallo,
danke für die Antwort.
Ja das ist ausreichend. Die Benutzer des Computers besitzen nicht das nötige Wissen für eine Art Umgehung der Sperre.
Danke trotzdem für den Hinweis!
Mit freundlichen Grüßen,
RealShibii
Grundsätzlich sei hier angemerkt, dass es sehr gefährlich sein kann, einem User mangelndes Wissen zuzugestehen. Sowas kann wirklich böse ins Auge gehen.
Grüße
Uwe
Hallo,
natürlich ist sowas gefährlich zu behaupten, da man die Benutzer an sich nicht kennt. Mir wurde es so gesagt. Überprüfen, welche Computerkenntnisse die jeweiligen Benutzer haben, ist nicht wirklich machbar. Es ist auch nicht fatal wenn der Benutzer auf den Laufwerken irgendwie zugreifen kann. Viele Programme habe ich mittels einer anderen GPO gesperrt.
Die Benutzer sollen sich "einfach" nur auf das eine Programm konzentrieren und nichts anderes offen haben.
Falls es anders rüber gekommen ist, von wegen ich halte die Benutzer für dumm oder inkompetent, möchte ich von vorne weg sagen: nein so meine ich das nicht.
Mit freundlichen Grüßen,
RealShibii
natürlich ist sowas gefährlich zu behaupten, da man die Benutzer an sich nicht kennt. Mir wurde es so gesagt. Überprüfen, welche Computerkenntnisse die jeweiligen Benutzer haben, ist nicht wirklich machbar. Es ist auch nicht fatal wenn der Benutzer auf den Laufwerken irgendwie zugreifen kann. Viele Programme habe ich mittels einer anderen GPO gesperrt.
Die Benutzer sollen sich "einfach" nur auf das eine Programm konzentrieren und nichts anderes offen haben.
Falls es anders rüber gekommen ist, von wegen ich halte die Benutzer für dumm oder inkompetent, möchte ich von vorne weg sagen: nein so meine ich das nicht.
Mit freundlichen Grüßen,
RealShibii
Gut.
Dann wende die GPo nur auf die Nichtadmins an und fertig. Das macht man so: https://www.tenforums.com/tutorials/80061-apply-local-group-policy-non-a ...
Dann wende die GPo nur auf die Nichtadmins an und fertig. Das macht man so: https://www.tenforums.com/tutorials/80061-apply-local-group-policy-non-a ...
Theoretisch haben die Domönen Admins Zugriff auf die Laufwerke. Wenn man sich abmeldet und sich als Domänen Admin anmeldet, kann man auf die Laufwerke zugreifen und auf jegliche andere Programme, die ich für Benutzer gesperrt habe.
Nur wenn ich als Benutzer angemeldet bin, muss ich irgendwie den Explorer als einen anderen Benutzer (Domänen Admin) öffnen können um Änderungen vornehmen zu können ohne den bisher angemeldeten User abzumelden.
Mit freundlichen Grüßen,
RealShibii
Nur wenn ich als Benutzer angemeldet bin, muss ich irgendwie den Explorer als einen anderen Benutzer (Domänen Admin) öffnen können um Änderungen vornehmen zu können ohne den bisher angemeldeten User abzumelden.
Mit freundlichen Grüßen,
RealShibii
Bitte nutze für Clientsupport nicjht den Domänenadmin. Das ist sicherheitstechnisch nicht nur verpönt, sondern das Schlechteste, was man machen kann.
--
Starte doch einen alternativen Dateiexplorer mit Adminrechten, zum Beispiel Totalcommander. Es ginge natürlich auch Notepad (via Datei-Öffnen-Dialog lässt sich ja im dateisystem browsen).
Um den Explorer selbst mit runas starten zu können, ist nur ein kleiner Registryeingriff nötig
In regedit, go to
HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}
make a right click on Permissions and set your user as owner (click on advanced button to be
able to take ownership) of the key and give your current user writing permissions.
Next, rename the value RunAs to _Runas
Danach kann man explorer.exe Rechtsklicken und „als Administrator ausführen wählen“ und er
handelt dann auch so wie erwartet.
--
Starte doch einen alternativen Dateiexplorer mit Adminrechten, zum Beispiel Totalcommander. Es ginge natürlich auch Notepad (via Datei-Öffnen-Dialog lässt sich ja im dateisystem browsen).
Um den Explorer selbst mit runas starten zu können, ist nur ein kleiner Registryeingriff nötig
In regedit, go to
HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}
make a right click on Permissions and set your user as owner (click on advanced button to be
able to take ownership) of the key and give your current user writing permissions.
Next, rename the value RunAs to _Runas
Danach kann man explorer.exe Rechtsklicken und „als Administrator ausführen wählen“ und er
handelt dann auch so wie erwartet.
Danke für den Tipp mit dem Domänenadmin. Momentan ist es auf einem Test-System und ich soll es mit dem Domänenadmin machen. Aber trotzdem danke für die Info!
Ich habe den Explorer auch schon mal als Administrator ausgeführt. Ich habe den Pfad geöffnet, eine Verknüpfung auf dem Desktop erstellt und da mit Rechtsklick als Administrator ausführen geöffnet, bevor ich irgendwas in den Registry änder, sollte ich diesen Schritt machen (laut meinem Arbeitskollegen). Dennoch hat dieser Schritt nicht funktioniert. Also den Explorer mit Admin Rechten zu öffnen, funktioniert leider auch nicht :/.
Aber trotzdem danke!
Mit freundlichen Grüßen,
RealShibii
Ich habe den Explorer auch schon mal als Administrator ausgeführt. Ich habe den Pfad geöffnet, eine Verknüpfung auf dem Desktop erstellt und da mit Rechtsklick als Administrator ausführen geöffnet, bevor ich irgendwas in den Registry änder, sollte ich diesen Schritt machen (laut meinem Arbeitskollegen). Dennoch hat dieser Schritt nicht funktioniert. Also den Explorer mit Admin Rechten zu öffnen, funktioniert leider auch nicht :/.
Aber trotzdem danke!
Mit freundlichen Grüßen,
RealShibii
trotzdem danke!
Wie "trotzdem"? Das Ding ist gelöst. Du kannst Laufwerke nur für die Nutzer ausblenden. Du kannst den Explorer als Admin starten - das war doch alles, oder nicht?
Die Laufwerke nur ausblenden reicht nicht, so wurde es mir gesagt.
Fehlermeldung wenn ich den Explorer mit Admin rechten starte und ein Laufwerk öffnen möchte:
Einschränkungen
Der Vorgang wurde aufrund von aktuellen Beschränkungen auf dem Computer abgebrochen. Wenden Sie sich an den Systemadministrator.
---
Und nochmal:
Ich möchte auf die Laufwerke mit dem ganz normalen Explorer zugreifen können. Dies gelingt nicht mit Admin Rechten und auch nicht mit der Funktion "als anderer Benutzer ausführen". Und das sogar mit dem Domänenadmin Konto.
Fehlermeldung wenn ich den Explorer mit Admin rechten starte und ein Laufwerk öffnen möchte:
Einschränkungen
Der Vorgang wurde aufrund von aktuellen Beschränkungen auf dem Computer abgebrochen. Wenden Sie sich an den Systemadministrator.
---
Und nochmal:
Ich möchte auf die Laufwerke mit dem ganz normalen Explorer zugreifen können. Dies gelingt nicht mit Admin Rechten und auch nicht mit der Funktion "als anderer Benutzer ausführen". Und das sogar mit dem Domänenadmin Konto.
Hier geht es so, wie ich das beschrieben habe. Genau das, was Du möchtest.
Erklär bitte mal, was Du für Probleme hast, die Registry anzupassen.
Erklär bitte mal, was Du für Probleme hast, die Registry anzupassen.
Ich werde das mal so weitergeben.
Problem ist:
Laut meinem Arbeitskollegen darf ich nicht die Registry bearbeiten, es gibt anscheinend einen anderen Weg den er nur nicht kennt und er sich sonst einlesen müsste..
Problem ist:
Laut meinem Arbeitskollegen darf ich nicht die Registry bearbeiten, es gibt anscheinend einen anderen Weg den er nur nicht kennt und er sich sonst einlesen müsste..
Auch einen Umweg ohne Registrymodifikation und ohne Zusatzprogramme habe ich dir genannt: notepad.
Da kommt die gleiche Fehlermeldung:
Einschränkungen
Der Vorgang wurde aufrund von aktuellen Beschränkungen auf dem Computer abgebrochen. Wenden Sie sich an den Systemadministrator.
Einschränkungen
Der Vorgang wurde aufrund von aktuellen Beschränkungen auf dem Computer abgebrochen. Wenden Sie sich an den Systemadministrator.
Du, ich weiß nicht, was Du da machst - wenn Du notepad mit einem Nutzerkonto startest, auf das die Policy nicht wirkt, dann läuft das - ich habe das hier alles getestet.
Habe mal Bilder eingefügt, mach ich das so richtig?
Habe bei dem 2ten Bild auf ein Laufwerk geklickt, welches ich öffnen möchte.
Habe bei dem 2ten Bild auf ein Laufwerk geklickt, welches ich öffnen möchte.
Ja, das machst Du richtig. Du müsstest notepad als Admin starten - tust Du das?
Das habe ich vergessen mein Fehler, hat funktioniert.
Ich hoffe das diese Lösung auch ausreichend ist für meinen Arbeitskollegen und nicht zu "unhandlich".
Danke Dir!
Ich hoffe das diese Lösung auch ausreichend ist für meinen Arbeitskollegen und nicht zu "unhandlich".
Danke Dir!
