Gruppenrichtlinien (GPO) für Benutzer unlesbar machen

brigante
Goto Top
Gruppenrichtlinien (GPO) für Benutzer unlesbar machen

Servus,
folgendes Thema… Ist es möglich das die Einstellungen von GPOs für Domain Benutzer nicht lesbar gemacht werden, diese jedoch trotzdem greifen?

In der GPO-Verwaltung bei einer bestimmten GPO unter Delegierung können die Rechte angepasst werden. Dort ist immer der Eintrag „Authentifizierte Benutzer“ vorhanden. Dieser enthält die Gruppe „Domain User“, wodurch alle Domain User die GPO lesen können. Zum einen ist das Wichtig damit die GPOs auch greifen zum anderen können die einfachen Domain User (der Mensch dahinter) die Einstellungen über die GPO-Verwaltung abrufen und lesen, das ist in dem Fall nicht gewollt.

Wie kann es also eingestellt werden, sodass die GPO greift aber nicht gelesen werden kann?
Es ist keine Option den Zugang zu der GPO-Verwaltung zusperren.

BG
brigantos
ad

Content-Key: 1795030394

Url: https://administrator.de/contentid/1795030394

Ausgedruckt am: 04.07.2022 um 16:07 Uhr

Mitglied: DerWoWusste
DerWoWusste 01.02.2022 um 08:50:04 Uhr
Goto Top
Hi.

Wie auch immer du es anstellst, die Gruppe Domänencomputer muss lesen können. Und sobald ein User sich zum lokalen Admin machen kann, was durch die Massen von Exploits nie auszuschließen ist, kann er auch das Computerkonto impersonate und somit Einstellungen lesen.

Du kannst somit schützen, ja, aber je nach Schutzbedarf evtl. nicht ausreichend.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 01.02.2022 aktualisiert um 08:54:15 Uhr
Goto Top
Überdenke Dein Sicherheitskonzept. Das sollte nicht davon abhängen, das Du irgendein "Geheimnis" in der GPO hast, das nicht gesehen werden darf

lks
Mitglied: Hubert.N
Hubert.N 01.02.2022 um 09:14:18 Uhr
Goto Top
Moin

Es ist keine Option den Zugang zu der GPO-Verwaltung zusperren.

Ja... Du solltest mal das grundsätzliche Konzept überdenken...

Gruß
Mitglied: brigante
brigante 01.02.2022 um 09:19:59 Uhr
Goto Top
Sehr hilfreich zu sagen das ich mein Konzeptüberdenken soll... Habe ich nach einem Konzept gefragt?!
Mitglied: marc-1303
marc-1303 01.02.2022 um 09:25:46 Uhr
Goto Top
Hallo

Zudem kann jeder User, auch wenn er keine lokalen Admin-Rechte hat, mit gpresult /h Laufwerk:\Ausgabepfad\Datei.html einen Bericht erzeugen und nachlesen, welche GPOs auf seinem System angewendet wurden.

Gruss
Mitglied: DerWoWusste
DerWoWusste 01.02.2022 um 10:28:34 Uhr
Goto Top
Hast Du meinen Vorschlag gesehen?
Ich verlinke mal einen Wissensbeitrag, wo das angewendet wird - du kannst es Dir ja einmal ansehen.
Es muss klar sein, dass es bei Benutzerrichtlinien keinen Sinn ergibt, sondern lediglich bei Computerrichtlinien.
https://administrator.de/knowledge/usb-stick-verschl%C3%BCsselung-untern ...
->relevanter Abschnitt geht direkt vor den Screenshots los.
Mitglied: Hubert.N
Hubert.N 01.02.2022 um 10:38:44 Uhr
Goto Top
Zitat von @brigante:

Sehr hilfreich zu sagen das ich mein Konzeptüberdenken soll... Habe ich nach einem Konzept gefragt?!

Ja doch... Weil:normale Benutzer haben auf die GPO-Verwaltung normalerweise keinen Zugriff. Wenn die das bei Dir können, hast Du also den Benutzern Rechte eingeräumt, die sie normalerweise nicht haben. Da halte ich den Hinweis auf eine fragwürdiges Berechtigungskonzept durchaus für einen konstruktiven Kommentar.
Mitglied: LeReseau
LeReseau 01.02.2022 um 11:08:21 Uhr
Goto Top
Manche Hobbyadmins benötigen halt etwas länger bevor es "klick" macht... face-wink
Mitglied: LeReseau
LeReseau 05.03.2022 um 11:17:27 Uhr
Goto Top
Wenn es das denn nun war nicht vergessen deinen Thread dann auch als erledigt zu schliessen !
https://administrator.de/faq/32