5
Unterschied Benutzergruppe Benutzer und Administrator?
Hallo zusammen,
wir sind ein Unternehmen von ca. 40 Mitarbeitern, die alle auf ihren Computern lokale Admins sind. Wir nutzen Win XP und Win 7.
Wir möchten aber jetzt von lokalen Admins auf Benutzer umstellen.
Ich habe zwar schon verschiedene Funktionen getestet unter "Benutzer", aber leider funktioniert bzw. blockt Windows nicht alles so wie wir uns das vorstellen (beispielsweise unterbinden der Installation von ICQ usw.).
Hat jemand von euch eine Übersicht welche Unterschiede es gibt zwischen Benutzer und Admin?
Und kann mir vielleicht jemand erklären, warum für die Installation unserer Standardprogramme ein Adminpasswort benötigt wird und beispielweise für die Installation von ICQ kein Passwort benötigt wird?
Vielen Dank schon mal im Vorraus für die Antworten.
Gruß
Smile88
wir sind ein Unternehmen von ca. 40 Mitarbeitern, die alle auf ihren Computern lokale Admins sind. Wir nutzen Win XP und Win 7.
Wir möchten aber jetzt von lokalen Admins auf Benutzer umstellen.
Ich habe zwar schon verschiedene Funktionen getestet unter "Benutzer", aber leider funktioniert bzw. blockt Windows nicht alles so wie wir uns das vorstellen (beispielsweise unterbinden der Installation von ICQ usw.).
Hat jemand von euch eine Übersicht welche Unterschiede es gibt zwischen Benutzer und Admin?
Und kann mir vielleicht jemand erklären, warum für die Installation unserer Standardprogramme ein Adminpasswort benötigt wird und beispielweise für die Installation von ICQ kein Passwort benötigt wird?
Vielen Dank schon mal im Vorraus für die Antworten.
Gruß
Smile88
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 148714
Url: https://administrator.de/contentid/148714
Ausgedruckt am: 25.11.2024 um 08:11 Uhr
5 Kommentare
Neuester Kommentar
Hi, kurze Zwischenfrage: Du hast die entsprechenden Benutzer aber schon aus der Gruppe der Administratoren entfernt und diesen anschließend neu angemeldet bzw. den Rechner neu gestartet?
Hallo Smile,
also der Sinn des Benutzers ist ja grade ,dass man nicht wild irgendwas installieren kann.
Das ist halt nur den Admins vorbehalten, aber erstelle doch selber Gruppen und füge das den einzellen Benutzern zu...
Gruß Henschki
also der Sinn des Benutzers ist ja grade ,dass man nicht wild irgendwas installieren kann.
Das ist halt nur den Admins vorbehalten, aber erstelle doch selber Gruppen und füge das den einzellen Benutzern zu...
Gruß Henschki
Hallo,
Grob: Ein Benutzer darf eigentlich nur Daten in seinem Profilverzeichnis %Userprofile% sowie in dem Registry-Bereich HKey_Current_User schreiben.
Genauer kannst du das hier nachlesen (englisch).
Ob er jetzt ein Programm installieren darf, hängt nun davon ab, wo die Installation hinschreiben will. Office z.B. schreibt auch ins Windows-Verzeichnis, nach C:\Programme (selbst wenn man den Installationsordner ändert) und in alle möglichen Teile der Registry. Das geht nur als Admin. Programme mit Treibern erst recht.
Nun gibt es aber Programme, denen reicht vollkommen aus, was sie %Userprofile% bzw. HKey_Current_User können.
z.B. Google Chrome oder auch ICQ. Genauso wie "portable Apps", wie du sie hier z.B. zuhauf bekommst. Diese müssen nicht mal installiert werden, man startet sie einfach direkt.
Aber auch da gibt es ein Gegenmittel: Softwareeinschränkungen
Hiermit kannst du diese Ausführung von Programmen erlauben bzw. Verbieten. Und zwar auch Pfadweise.
Am besten per Whitelisting, d.h. du erlaubst alles, was aus Programme oder Windows kommt und verbietest alles andere.
Ist gleichzeitig ein Malware-Schutz, da so z.B. kein Schadcode aus dem Temp-Ordner des Browsers gestartet werden kann.
Nette Anleitung dazu gibt es auch hier
Gruß,
Schorsch
Grob: Ein Benutzer darf eigentlich nur Daten in seinem Profilverzeichnis %Userprofile% sowie in dem Registry-Bereich HKey_Current_User schreiben.
Genauer kannst du das hier nachlesen (englisch).
Ob er jetzt ein Programm installieren darf, hängt nun davon ab, wo die Installation hinschreiben will. Office z.B. schreibt auch ins Windows-Verzeichnis, nach C:\Programme (selbst wenn man den Installationsordner ändert) und in alle möglichen Teile der Registry. Das geht nur als Admin. Programme mit Treibern erst recht.
Nun gibt es aber Programme, denen reicht vollkommen aus, was sie %Userprofile% bzw. HKey_Current_User können.
z.B. Google Chrome oder auch ICQ. Genauso wie "portable Apps", wie du sie hier z.B. zuhauf bekommst. Diese müssen nicht mal installiert werden, man startet sie einfach direkt.
Aber auch da gibt es ein Gegenmittel: Softwareeinschränkungen
Hiermit kannst du diese Ausführung von Programmen erlauben bzw. Verbieten. Und zwar auch Pfadweise.
Am besten per Whitelisting, d.h. du erlaubst alles, was aus Programme oder Windows kommt und verbietest alles andere.
Ist gleichzeitig ein Malware-Schutz, da so z.B. kein Schadcode aus dem Temp-Ordner des Browsers gestartet werden kann.
Nette Anleitung dazu gibt es auch hier
Gruß,
Schorsch
er hat ja noch nicht einmal eine Domäne...
Gruß, Arch Stanton
Gruß, Arch Stanton
Wir sind alle zusammen in einer Domäne angemeldet.
In dieser Hinsicht haben meine Arbeitskollegen nur sehr wenige Rechte (Domänen-Admins sind nur zwei Kollegen und ich), aber auf ihren PC's selbst sind meine Kollegen alle lokale Admins.
Wir möchten jetzt unterbinden, das unsere Kollegen selbst Software installieren.
Danke für die Antworten, werde sie mir gleich anschauen.
Gruß
Smile88
In dieser Hinsicht haben meine Arbeitskollegen nur sehr wenige Rechte (Domänen-Admins sind nur zwei Kollegen und ich), aber auf ihren PC's selbst sind meine Kollegen alle lokale Admins.
Wir möchten jetzt unterbinden, das unsere Kollegen selbst Software installieren.
Danke für die Antworten, werde sie mir gleich anschauen.
Gruß
Smile88
