maik87
Goto Top

Mitglied der Admin-Gruppe darf Admin-Kennwort nicht ändern

Hallo zusammen,

ich habe folgende Problemstellung:

Ich habe bei Win XP Benutzer die aus diversen Gründen in der Gruppe Administratoren sind. Wie kann ich nun verhindern, dass diese über die Benutzerverwaltung das PW das Kontos Administrator ändert? Kann ich auch verhindern, dass sie Gruppenmitlgliedschaften ändern können?

Danke euch!

Content-Key: 140736

Url: https://administrator.de/contentid/140736

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: HarLeaQuinn
HarLeaQuinn 15.04.2010 um 17:56:13 Uhr
Goto Top
nun ich würd's mal so sagen: Admins dürfen das! Wenn die User diesen Zugriff nicht haben sollen: Geht es denn nicht, wenn die User bloß Hauptbenutzer werden und ggf. Vollzugriff auf bestimmte Ordner bekommen?
Mitglied: callback
callback 16.04.2010 um 11:43:16 Uhr
Goto Top
Hallo,

rechtsklick auf Arbeitsplatz>Verwalten>Benutzer und Gruppen>Benutzer>rechtsklick auf den User>Eigenschaften>Benutzer kann Passwort nicht ändern häckchen aktivieren, allerdings gibt es hier nun dass problem, dass ein User mit Admin rechten dieses häckchen wieder entfernen kann, musst du mal schauen, ob man da vlt. was über ne Policy machen kann.

MfG

CALLBACK
Mitglied: Maik87
Maik87 16.04.2010 um 12:46:30 Uhr
Goto Top
Dann kann er es nur selbst nicht ändern, oder?
Mir gehts aber drum, dass es nicht von einem anderen User geändert werden kann.

Also folgendes:
Lokales Profil "Admin" ist vorhanden. Dient zu Wartungszwecken.
Jetzt gibt es Domänenuser "XY" mit lokalen Adminrechten. Dieser soll nicht das PW von "Admin" ändern dürfen, weil sonst die richtigen Administratoren nicht mehr an den PC kommen.
Mitglied: HarLeaQuinn
HarLeaQuinn 16.04.2010 um 16:45:20 Uhr
Goto Top
aber wenn die "richtigen" Administratoren einen Domänen-Admin-Zugang nutzen können, können die dann darüber das PW zur Not wieder zurücksetzen. (sollte das Deine einzige Sorge sein)
Mitglied: Maik87
Maik87 16.04.2010 um 16:50:47 Uhr
Goto Top
Problem ist nur, löscht der User die Gruppe DomainAdmins aus der Admingruppe, schon geht das nicht mehr. Problem zwei ist, dass ich nur Administrator für unseren Bereich (Abteilung) bin. Die Domäne wird von einem Dienstleister per Remote Management Center betreut, die für solche Zusatzaufgaben immer gut Geld haben wollen.
Mitglied: HarLeaQuinn
HarLeaQuinn 16.04.2010 um 16:54:58 Uhr
Goto Top
Hm zu welchem Zweck brauchen die User denn lokale Administrator-Rechte und sind trotzdem so "vertrauensunwürdig", dass Du Dir Gedanken machst, sie könnten das Administrator-PW ändern?
Mitglied: Maik87
Maik87 16.04.2010 um 17:00:05 Uhr
Goto Top
Wofür genau kann ich dir leider nicht sagen. So ist aber die Anweisung meines DV-Vorgesetzten.

Könnten ist gut... Ich frage ja nur, weil ich schon son Fall hatte, wo ich nicht mehr an den PC kam. Einzige Erklärung ist da wirklich, dass der "Typ" das PW geändert hat weil er Angst hatte, die Admins schnüffeln auf seinem Rechner rum.
Mitglied: HarLeaQuinn
HarLeaQuinn 16.04.2010 um 17:16:45 Uhr
Goto Top
sorry, aber da sich das bei mir zu einer Grundsatzdiskussion über Rechteverteilung entwickeln würde, steige ich hier lieber aus....
hoffe ein anderer kann helfen
Mitglied: Maik87
Maik87 16.04.2010 um 17:23:07 Uhr
Goto Top
Du hast ja absolut Recht damit. Mich kotzt die Rechtevergabe auch an. Aber ich hab das nunmal leider nicht zu entscheiden. Und da ich auch erst nen Monat in der neuen Abteilung bin werd ich nicht anfagnen zu diskutieren ob es nicht SInn macht es anders zu regeln. Da muss ich leider durch, sry.
Mitglied: callback
callback 17.04.2010 um 11:42:03 Uhr
Goto Top
Hallo,

vielleicht gibt es ja noch eine Möglichkeit, dass du dem User, der Lokaler-Admin ist (ich nehm jetzt einfach mal an, das ist trotzdem ein Domänen User), irgendwie über ne Policy einstellst, dass er keinen Zugriff auf dei Benutzerkontensteuerung hat. Bei Windows Server 2008 soll es ja so schön viele einstellungen geben, was man sagt, kannst ja mal schauen, ob da was in die richtiung dabei ist, weil ich glaube da wird dein Vorgesetzter auch verständnis dafür haben, dass der User keinen zugriff auf die benutzerkonntensteureung braucht.

MfG

CALLBACK