9
Gruppenrichtlinien (GPO) für Benutzer unlesbar machen
Gruppenrichtlinien (GPO) für Benutzer unlesbar machen
Servus,
folgendes Thema… Ist es möglich das die Einstellungen von GPOs für Domain Benutzer nicht lesbar gemacht werden, diese jedoch trotzdem greifen?
In der GPO-Verwaltung bei einer bestimmten GPO unter Delegierung können die Rechte angepasst werden. Dort ist immer der Eintrag „Authentifizierte Benutzer“ vorhanden. Dieser enthält die Gruppe „Domain User“, wodurch alle Domain User die GPO lesen können. Zum einen ist das Wichtig damit die GPOs auch greifen zum anderen können die einfachen Domain User (der Mensch dahinter) die Einstellungen über die GPO-Verwaltung abrufen und lesen, das ist in dem Fall nicht gewollt.
Wie kann es also eingestellt werden, sodass die GPO greift aber nicht gelesen werden kann?
Es ist keine Option den Zugang zu der GPO-Verwaltung zusperren.
BG
brigantos
Servus,
folgendes Thema… Ist es möglich das die Einstellungen von GPOs für Domain Benutzer nicht lesbar gemacht werden, diese jedoch trotzdem greifen?
In der GPO-Verwaltung bei einer bestimmten GPO unter Delegierung können die Rechte angepasst werden. Dort ist immer der Eintrag „Authentifizierte Benutzer“ vorhanden. Dieser enthält die Gruppe „Domain User“, wodurch alle Domain User die GPO lesen können. Zum einen ist das Wichtig damit die GPOs auch greifen zum anderen können die einfachen Domain User (der Mensch dahinter) die Einstellungen über die GPO-Verwaltung abrufen und lesen, das ist in dem Fall nicht gewollt.
Wie kann es also eingestellt werden, sodass die GPO greift aber nicht gelesen werden kann?
Es ist keine Option den Zugang zu der GPO-Verwaltung zusperren.
BG
brigantos
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1795030394
Url: https://administrator.de/contentid/1795030394
Printed on: May 14, 2024 at 18:05 o'clock
9 Comments
Latest comment
Hi.
Wie auch immer du es anstellst, die Gruppe Domänencomputer muss lesen können. Und sobald ein User sich zum lokalen Admin machen kann, was durch die Massen von Exploits nie auszuschließen ist, kann er auch das Computerkonto impersonate und somit Einstellungen lesen.
Du kannst somit schützen, ja, aber je nach Schutzbedarf evtl. nicht ausreichend.
Wie auch immer du es anstellst, die Gruppe Domänencomputer muss lesen können. Und sobald ein User sich zum lokalen Admin machen kann, was durch die Massen von Exploits nie auszuschließen ist, kann er auch das Computerkonto impersonate und somit Einstellungen lesen.
Du kannst somit schützen, ja, aber je nach Schutzbedarf evtl. nicht ausreichend.
Überdenke Dein Sicherheitskonzept. Das sollte nicht davon abhängen, das Du irgendein "Geheimnis" in der GPO hast, das nicht gesehen werden darf
lks
lks
Moin
Ja... Du solltest mal das grundsätzliche Konzept überdenken...
Gruß
Es ist keine Option den Zugang zu der GPO-Verwaltung zusperren.
Ja... Du solltest mal das grundsätzliche Konzept überdenken...
Gruß
Sehr hilfreich zu sagen das ich mein Konzeptüberdenken soll... Habe ich nach einem Konzept gefragt?!
Hallo
Zudem kann jeder User, auch wenn er keine lokalen Admin-Rechte hat, mit gpresult /h Laufwerk:\Ausgabepfad\Datei.html einen Bericht erzeugen und nachlesen, welche GPOs auf seinem System angewendet wurden.
Gruss
Zudem kann jeder User, auch wenn er keine lokalen Admin-Rechte hat, mit gpresult /h Laufwerk:\Ausgabepfad\Datei.html einen Bericht erzeugen und nachlesen, welche GPOs auf seinem System angewendet wurden.
Gruss
Hast Du meinen Vorschlag gesehen?
Ich verlinke mal einen Wissensbeitrag, wo das angewendet wird - du kannst es Dir ja einmal ansehen.
Es muss klar sein, dass es bei Benutzerrichtlinien keinen Sinn ergibt, sondern lediglich bei Computerrichtlinien.
USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht
->relevanter Abschnitt geht direkt vor den Screenshots los.
Ich verlinke mal einen Wissensbeitrag, wo das angewendet wird - du kannst es Dir ja einmal ansehen.
Es muss klar sein, dass es bei Benutzerrichtlinien keinen Sinn ergibt, sondern lediglich bei Computerrichtlinien.
USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht
->relevanter Abschnitt geht direkt vor den Screenshots los.
2Zitat von @brigante:
Sehr hilfreich zu sagen das ich mein Konzeptüberdenken soll... Habe ich nach einem Konzept gefragt?!
Sehr hilfreich zu sagen das ich mein Konzeptüberdenken soll... Habe ich nach einem Konzept gefragt?!
Ja doch... Weil:normale Benutzer haben auf die GPO-Verwaltung normalerweise keinen Zugriff. Wenn die das bei Dir können, hast Du also den Benutzern Rechte eingeräumt, die sie normalerweise nicht haben. Da halte ich den Hinweis auf eine fragwürdiges Berechtigungskonzept durchaus für einen konstruktiven Kommentar.
1
Manche Hobbyadmins benötigen halt etwas länger bevor es "klick" macht... 
Wenn es das denn nun war nicht vergessen deinen Thread dann auch als erledigt zu schliessen !
How can I mark a post as solved?
How can I mark a post as solved?
