10
Mitglied der Admin-Gruppe darf Admin-Kennwort nicht ändern
Hallo zusammen,
ich habe folgende Problemstellung:
Ich habe bei Win XP Benutzer die aus diversen Gründen in der Gruppe Administratoren sind. Wie kann ich nun verhindern, dass diese über die Benutzerverwaltung das PW das Kontos Administrator ändert? Kann ich auch verhindern, dass sie Gruppenmitlgliedschaften ändern können?
Danke euch!
ich habe folgende Problemstellung:
Ich habe bei Win XP Benutzer die aus diversen Gründen in der Gruppe Administratoren sind. Wie kann ich nun verhindern, dass diese über die Benutzerverwaltung das PW das Kontos Administrator ändert? Kann ich auch verhindern, dass sie Gruppenmitlgliedschaften ändern können?
Danke euch!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 140736
Url: https://administrator.de/contentid/140736
Ausgedruckt am: 25.11.2024 um 23:11 Uhr
10 Kommentare
Neuester Kommentar
nun ich würd's mal so sagen: Admins dürfen das! Wenn die User diesen Zugriff nicht haben sollen: Geht es denn nicht, wenn die User bloß Hauptbenutzer werden und ggf. Vollzugriff auf bestimmte Ordner bekommen?
Hallo,
rechtsklick auf Arbeitsplatz>Verwalten>Benutzer und Gruppen>Benutzer>rechtsklick auf den User>Eigenschaften>Benutzer kann Passwort nicht ändern häckchen aktivieren, allerdings gibt es hier nun dass problem, dass ein User mit Admin rechten dieses häckchen wieder entfernen kann, musst du mal schauen, ob man da vlt. was über ne Policy machen kann.
MfG
CALLBACK
rechtsklick auf Arbeitsplatz>Verwalten>Benutzer und Gruppen>Benutzer>rechtsklick auf den User>Eigenschaften>Benutzer kann Passwort nicht ändern häckchen aktivieren, allerdings gibt es hier nun dass problem, dass ein User mit Admin rechten dieses häckchen wieder entfernen kann, musst du mal schauen, ob man da vlt. was über ne Policy machen kann.
MfG
CALLBACK
Dann kann er es nur selbst nicht ändern, oder?
Mir gehts aber drum, dass es nicht von einem anderen User geändert werden kann.
Also folgendes:
Lokales Profil "Admin" ist vorhanden. Dient zu Wartungszwecken.
Jetzt gibt es Domänenuser "XY" mit lokalen Adminrechten. Dieser soll nicht das PW von "Admin" ändern dürfen, weil sonst die richtigen Administratoren nicht mehr an den PC kommen.
Mir gehts aber drum, dass es nicht von einem anderen User geändert werden kann.
Also folgendes:
Lokales Profil "Admin" ist vorhanden. Dient zu Wartungszwecken.
Jetzt gibt es Domänenuser "XY" mit lokalen Adminrechten. Dieser soll nicht das PW von "Admin" ändern dürfen, weil sonst die richtigen Administratoren nicht mehr an den PC kommen.
aber wenn die "richtigen" Administratoren einen Domänen-Admin-Zugang nutzen können, können die dann darüber das PW zur Not wieder zurücksetzen. (sollte das Deine einzige Sorge sein)
Problem ist nur, löscht der User die Gruppe DomainAdmins aus der Admingruppe, schon geht das nicht mehr. Problem zwei ist, dass ich nur Administrator für unseren Bereich (Abteilung) bin. Die Domäne wird von einem Dienstleister per Remote Management Center betreut, die für solche Zusatzaufgaben immer gut Geld haben wollen.
Hm zu welchem Zweck brauchen die User denn lokale Administrator-Rechte und sind trotzdem so "vertrauensunwürdig", dass Du Dir Gedanken machst, sie könnten das Administrator-PW ändern?
Wofür genau kann ich dir leider nicht sagen. So ist aber die Anweisung meines DV-Vorgesetzten.
Könnten ist gut... Ich frage ja nur, weil ich schon son Fall hatte, wo ich nicht mehr an den PC kam. Einzige Erklärung ist da wirklich, dass der "Typ" das PW geändert hat weil er Angst hatte, die Admins schnüffeln auf seinem Rechner rum.
Könnten ist gut... Ich frage ja nur, weil ich schon son Fall hatte, wo ich nicht mehr an den PC kam. Einzige Erklärung ist da wirklich, dass der "Typ" das PW geändert hat weil er Angst hatte, die Admins schnüffeln auf seinem Rechner rum.
sorry, aber da sich das bei mir zu einer Grundsatzdiskussion über Rechteverteilung entwickeln würde, steige ich hier lieber aus....
hoffe ein anderer kann helfen
hoffe ein anderer kann helfen
Du hast ja absolut Recht damit. Mich kotzt die Rechtevergabe auch an. Aber ich hab das nunmal leider nicht zu entscheiden. Und da ich auch erst nen Monat in der neuen Abteilung bin werd ich nicht anfagnen zu diskutieren ob es nicht SInn macht es anders zu regeln. Da muss ich leider durch, sry.
Hallo,
vielleicht gibt es ja noch eine Möglichkeit, dass du dem User, der Lokaler-Admin ist (ich nehm jetzt einfach mal an, das ist trotzdem ein Domänen User), irgendwie über ne Policy einstellst, dass er keinen Zugriff auf dei Benutzerkontensteuerung hat. Bei Windows Server 2008 soll es ja so schön viele einstellungen geben, was man sagt, kannst ja mal schauen, ob da was in die richtiung dabei ist, weil ich glaube da wird dein Vorgesetzter auch verständnis dafür haben, dass der User keinen zugriff auf die benutzerkonntensteureung braucht.
MfG
CALLBACK
vielleicht gibt es ja noch eine Möglichkeit, dass du dem User, der Lokaler-Admin ist (ich nehm jetzt einfach mal an, das ist trotzdem ein Domänen User), irgendwie über ne Policy einstellst, dass er keinen Zugriff auf dei Benutzerkontensteuerung hat. Bei Windows Server 2008 soll es ja so schön viele einstellungen geben, was man sagt, kannst ja mal schauen, ob da was in die richtiung dabei ist, weil ich glaube da wird dein Vorgesetzter auch verständnis dafür haben, dass der User keinen zugriff auf die benutzerkonntensteureung braucht.
MfG
CALLBACK
