mattes007
Goto Top

User daran hindern Windows-Service zu ändern

Wir möchten eine Funktion nutzen, die den Start eines bestimmten "Windows-Services" benötigt. Wie man einen Service startet ist klar, jedoch wie kann man User (mit Admin-Rights) daran hindern diesen unter Win7 wieder zu beenden.

Wir suchen eine Möglichkeit auf Win7 64Bit "Enterprise" Clients einen Service gegen Änderungen seitens der User (mit Admin-Rights) zu sichern.

Wie geht dies?

Es ist nicht möglich den Usern diese Admin-Rechte zu entziehen. Dies hier auszuführen würde den Rahmen sprengen und zu sehr ins Detail gehen. Es haben nicht alle User Admin-Rechte.

Content-Key: 190816

Url: https://administrator.de/contentid/190816

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: 60730
60730 06.09.2012 aktualisiert um 10:17:46 Uhr
Goto Top
Wir moechten, sag ich auch jeden morgen zu meinem cheffe....

User mit adminrechten, nein nein nein....

Braucht es nicht, da brauchst es nur einen faehigen admin, der den usern die rechte auf das, was sie brauchen gibt - nicht mehr, nicht weniger.

Das das bei manchen programmen etwas aufwendiger ist, als .... Naja, dafuer haben wir das administrieren ja gelernt.

Oder?
Mitglied: goscho
goscho 06.09.2012 um 10:52:45 Uhr
Goto Top
Moin
Zitat von @mattes007:
Es ist nicht möglich den Usern diese Admin-Rechte zu entziehen.

Ein Admin ist ein Admin ist ein Admin...
Selbst wenn du ihm Rechte entziehen würdest, kann er sie sich zurückholen.

Darum gilt nur das, was Timo geschrieben hat.
Mitglied: mattes007
mattes007 06.09.2012 um 11:31:56 Uhr
Goto Top
Für alle diejenigen die des Lesens mächtig sind...die Admin-Rechte bleiben!

Wieso immer noch einige "Schlauberger" hier meinen darüber Ihre Kommentare abzugeben...dann lasst es doch am Besten. Die Meinung von Timo habe ich an anderer Stelle schon vernommen. Sorry, aber darüber rege ich mich auf.

Ein Chef ist ein Chef ist ein Chef...und wenn der Chef sagt "So isses", dann ist es so.

Ich will keine Vorträge wie man es nicht macht, sondern ich will Lösungen. Entweder gibt es Lösungen oder halt nicht *Punkt*.

Aber für die Schlauberger hier mal:
Anwender ist mit Notebook am Ende der Welt, bekommt von Kunde CD in die Hand...oder holt sich vor Ort UMTS Stick, der für Softwareinstall/Treiberinstall Admin-Rechte braucht. Remote und Runas hört sich gut an...nur RunAS funktioniert nicht bei allen Programmen. Wenn Ihr sämtliche UMTS-Stick Hersteller der Welt kennt und als Wahrsager die Programme auf den CDs der Kunden...und einen 24h/7 Service habt, dann mögt Ihr dafür eine Lösung haben. Das waren übrigens nur 2 Beispiele (!) wofür die Anwender Admin-Rechte brauchen.

Dies war ein kleiner Einschub...also wenn hier "technisch-versierte" IT-FACHKRÄFTE gibt, dann freue ich mich auf Lösungen. Alle Anderen, die mit ihrem Halbwissen und Ihrer Überzeugung beitragen wollen, lassen es bitte.
Mitglied: goscho
goscho 06.09.2012 aktualisiert um 12:47:17 Uhr
Goto Top
Zitat von @mattes007:
Für alle diejenigen die des Lesens mächtig sind...die Admin-Rechte bleiben!
Du hast die Antworten wohl nur überflogen, oder?
Wenn ich dir schreibe, dass sich ein admin entzogene Rechte immer wider selbst zurückgeben kann, ist das doch klar genug formuliert.
Naja, vielleicht für dich nicht. face-sad
Wieso immer noch einige "Schlauberger" hier meinen darüber Ihre Kommentare abzugeben...dann lasst es doch am
Besten. Die Meinung von Timo habe ich an anderer Stelle schon vernommen. Sorry, aber darüber rege ich mich auf.
Wie sollen denn die "richtigen" Antworten aussehen?
Ein Chef ist ein Chef ist ein Chef...und wenn der Chef sagt "So isses", dann ist es so.
Dann sage deinem Chef doch einfach, dass es so ist und er mit diesem Umstand leben muss.
Man könnte seinen Mitarbeitern auch in einer Arbeitsanweisung untersagen, bestimmte Sachen zu machen (bspw. Services zu deaktivieren/verändern).
Damit erreicht man idR mehr, als dem (versierten) AdminUser diese Rechte zu entziehen.
Aber für die Schlauberger hier mal:
Anwender ist mit Notebook am Ende der Welt, bekommt von Kunde CD in die Hand...oder holt sich vor Ort UMTS Stick, der für
Softwareinstall/Treiberinstall Admin-Rechte braucht. Remote und Runas hört sich gut an...nur RunAS funktioniert nicht bei
allen Programmen. Wenn Ihr sämtliche UMTS-Stick Hersteller der Welt kennt und als Wahrsager die Programme auf den CDs der
Kunden...und einen 24h/7 Service habt, dann mögt Ihr dafür eine Lösung haben. Das waren übrigens nur 2
Beispiele (!) wofür die Anwender Admin-Rechte brauchen.
Ich habe kein Problem damit, einem mobilen User Adminrechte zu geben, wenn es nicht anders geht. Und das ist relativ oft der Fall.
Ich weiß aber auch, dass er dann auch andere Sachen machen kann.
Ob das der User weiß und wenn ja, ob er das auch ausnutzt, ist doch euer Problem.
Dies war ein kleiner Einschub...also wenn hier "technisch-versierte" IT-FACHKRÄFTE gibt, dann freue ich mich auf
Lösungen.
Auf diese kräftigen IT-Techniker oder technische IT-Versehrte warten wir jetzt gemeinsam. face-big-smile
Alle Anderen, die mit ihrem Halbwissen und Ihrer Überzeugung beitragen wollen, lassen es bitte.
Du möchtest also nur Antworten von Leuten, die dir genehm sind.
Das ist sehr schade, denn ich werde auch weiter meine Kommentare geben, wenn ich meine, was dazu sagen zu können, versprochen.
Bei Timo hoffe ich das auch.

Zum Schluss möchte ich noch etwas in die Richtung deines Anliegens von mir geben:
Seit jeher kann bspw. Symantec Antivirus/Endpoint Protection mit einem Deinstallationspasswort gesichert werden.
Das hilft in soweit vor dem Deinatsllieren durch einen mobilen AdminUser, wie er nur in der Lage ist, die Standard-Deinstallationsroutine aufzurufen.
Es gibt aber auch andere Wege, dieses Programm zu deinstallieren, da hilft auch das gesetzte Kennwort nicht mehr.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.09.2012 um 12:31:41 Uhr
Goto Top
NoNoNo-Moin,

Mein Beileid. Dieses Problem wirst Du technisch lösen können, solange der Chef sagt. "ich Chef, ich Admin!".

Manche Chefs sind soweit vernünftig, daß sie sich auf zwei Accounts einlassen. Einen normalen User-Account und einen Adminaccount (den sie dann fast nie benutzen face-smile).

Villeicht ist das eine Lösung für Euch?

NoCiao

lks

PS. Es gibt sogar Chefs, die ganz ohne Admin-Rechte auskommen. face-smile
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.09.2012 um 12:34:28 Uhr
Goto Top
Zitat von @mattes007:
Dies war ein kleiner Einschub...also wenn hier "technisch-versierte" IT-FACHKRÄFTE gibt, dann freue ich mich auf
Lösungen. Alle Anderen, die mit ihrem Halbwissen und Ihrer Überzeugung beitragen wollen, lassen es bitte.

Also wenn Du sagst, wasch mich aber mach mich nicht nass , wirst Du kaum Lösungen bekommen.

lks
Mitglied: goscho
goscho 06.09.2012 aktualisiert um 12:38:03 Uhr
Goto Top
[OT]
Zitat von @Lochkartenstanzer:
Also wenn Du sagst, wasch mich aber mach mich nicht nass , wirst Du kaum Lösungen bekommen.
Und ob das geht.
Ich habe Kinder und die sagen sehr oft sie haben sich gewaschen, einen Wasserverbrauch in dieserjenigen Zeit gab es jedoch nicht. face-big-smile
[/OT]
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.09.2012 um 12:46:57 Uhr
Goto Top
Zitat von @goscho:
[OT]
> Zitat von @Lochkartenstanzer:
> Also wenn Du sagst, wasch mich aber mach mich nicht nass , wirst Du kaum Lösungen bekommen.
Und ob das geht.
Ich habe Kinder und die sagen sehr oft sie haben sich gewaschen, einen Wasserverbrauch in dieserjenigen Zeit gab es jedoch nicht.
face-big-smile
[/OT]

Jetzt wo Du es sagst. Ich habe ja auch welche bei denen das ähnlich war. Aber sei gewarnt: mit zunehmendem Alter nimmt der Wasserverbrauch zu. Insbesondere, wenn das jeweils andere Geschlecht anfängt Attraktiv zu werden. Da muß man dann manchmal einschreiten, daß der Verbrauch nicht zu hoch wird. face-smile


lks
Mitglied: goscho
goscho 06.09.2012 um 12:50:04 Uhr
Goto Top
[OT]
Zitat von @Lochkartenstanzer:
Jetzt wo Du es sagst. Ich habe ja auch welche bei denen das ähnlich war. Aber sei gewarnt: mit zunehmendem Alter nimmt der
Wasserverbrauch zu. Insbesondere, wenn das jeweils andere Geschlecht anfängt Attraktiv zu werden. Da muß man dann
manchmal einschreiten, daß der Verbrauch nicht zu hoch wird. face-smile
Ja, ich habe auch Teenies dabei. Ich weiß, was du meinst. face-wink
[/OT]
Mitglied: mattes007
mattes007 06.09.2012 aktualisiert um 14:06:21 Uhr
Goto Top
@all

Es ging bei meiner Kritik nicht darum, dass man mit Adminrechten ne Menge kann, sondern darum, dass man mit mir nicht über den Sinn debattieren soll face-smile.

Ich brauche jetzt "kreative Ideen".

Kann man über GPO den Service starten und sperren, dass er nicht mehr von Admins lokal gestartet werden kann?
Man könnte den Dienst täglich starten (SCCM).
Kann man einstellen, dass Domain-Admins den Dienst stoppen können, lokale Admins es jedoch nicht?
Schaltflächen zum Stoppen deaktivieren?
Service über Hardwareprofil aktivieren?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.09.2012 aktualisiert um 14:35:25 Uhr
Goto Top
mal ne' frage: geht es darum, daß der User "bösartig" ist udn den Dienst absichtlich stoppt oder ist er eher gutartig und macht das eher aus versehen?

Dann sollte doch ein zweiter Account reichen, in den er nur hineingeht, wenn wirklich Adminrechte braucht.

lks
Mitglied: 60730
60730 06.09.2012 um 14:18:04 Uhr
Goto Top
moin,

Zitat von @mattes007:
@all

Es ging bei meiner Kritik nicht darum, dass man mit Adminrechten ne Menge kann, sondern darum, dass man mit mir nicht über den Sinn debattieren soll face-smile.
  • das macht aber keinen Sinn....
Ich brauche jetzt "kreative Ideen".
  • Stell dir mal vor, deine User, die Admins sind - können googeln und wollen wtf auch immer diesen (welchen überhaupt) Dienst trotzdem beenden....
Und hier schreiben wir dir, wie das geht...
  • Tick Tick Tick Tick... groschen gefallen?

Kann man über GPO den Service starten und sperren, dass er nicht mehr von Admins lokal gestartet werden kann?

Wie ich denk es geht um Notebook am Ende des heiligen Grals, wie holen die sich ne GPO?
Man könnte den Dienst täglich starten (SCCM).
  • SSCM braucht doch nen Server?
Kann man einstellen, dass Domain-Admins den Dienst stoppen können, lokale Admins es jedoch nicht?
Schaltflächen zum Stoppen deaktivieren?
Service über Hardwareprofil aktivieren?

kann man.
Aber siehe Goscho:
ein Admin ist usw usf.
Und wegen:
Ein Chef ist ein Chef ist ein Chef...und wenn der Chef sagt "So isses", dann
geh ich zum Betriebsrat, erzähl dem was ein Admin alles kann und der Chef war Admin punkt
Mit manchen (hin und wieder haben wir es mit Brüdern oder Kollegen) kann man aber auch normal reden und den Leuten sagen, wenn du das - dann ich das nicht und wenn du dann was von mir willst, dann hab ich flasche leer und....
Mitglied: goscho
goscho 06.09.2012 um 14:24:46 Uhr
Goto Top
Zitat von @mattes007:
@all

Es ging bei meiner Kritik nicht darum, dass man mit Adminrechten ne Menge kann, sondern darum, dass man mit mir nicht über
den Sinn debattieren soll face-smile.
Eine Debatte wurde daraus nur, weil du uns nicht glauben wolltest.
Ich brauche jetzt "kreative Ideen".
Bitte schön. face-smile
Kann man über GPO den Service starten und sperren, dass er nicht mehr von Admins lokal gestartet werden kann?
Wenn er doch schon gestartet ist, braucht den doch kein Admin mehr starten.
Man könnte den Dienst täglich starten (SCCM).
Der Admin könnte diesen aber auch wieder beenden (bspw. über die Konsole mit "net stop servicename"
Kann man einstellen, dass Domain-Admins den Dienst stoppen können, lokale Admins es jedoch nicht?
Nicht das ich wüsste.
Schaltflächen zum Stoppen deaktivieren?
Dann wird über die Konsole beendet.
Service über Hardwareprofil aktivieren?
Der Admin kann diesen Service trotzdem deaktivieren - er ist doch admin.

Es gibt in Windows auch Ausnahmen, wo sich Services nicht beenden lassen.
Das sind aber AFAIR alls Dienste, die zum Betrieb von Windows nötig sind und wo das der BS-Hersteller (MS) in das System eingebaut hat.
Mitglied: DerWoWusste
DerWoWusste 06.09.2012 aktualisiert um 14:29:34 Uhr
Goto Top
Moin.

Kann man über GPO den Service starten und sperren, dass er nicht mehr von Admins lokal gestartet werden kann?
Ja. Und ein kurzes Googeln oder Suchen durch die Excel-GPO-Referenztabelle hätte Dir längst verraten, wo. ->Computer Konfig - Policies - Windows Settings - Security Settings - System Services.
Dort kann man neben der Startart auch die ACL auf den Service ändern und explizit Admins rausnehmen und Domadmins rein.

Haken (="Hacken" für Schwaben) bei der Sache: Dir wird in der GPMC nur das an Services angezeigt, was der Computer selbst ausführt, auf dem die GPMC läuft. Willst Du also einen "exotischen" Service bearbeiten, dann musst Du die GPMC auch auf dem Rechner ausführen, der diesen Service beherbergt - zur Not mittels RSAT.
Mitglied: 60730
60730 06.09.2012 aktualisiert um 14:49:41 Uhr
Goto Top
Pongschnuurr,

[OT]
unser liebster Fragesteller ist ein alter hase aus der Schwarzweissfernsehzeit, der kennt nur User und Admins, Hauptbenutzer und anderen Tüddelkram kennt der gar nicht.
[/OT]

Es ist leichter "jemanden" in eine Gruppe zu stecken und dieser "mehr" Rechte, als Werksseitig vorgegeben sind zu geben, als einer Gruppe Rechte wieder wegzunehmen.
Hoffentlich kommt bald das Farbfernsehen, da sieht das mit der Kreativität auch viel schöner aus.

@dww: Gurgeln? Wer macht dass denn heute noch, das ist doch viel zu unkreativ face-wink

Sk0ll
Mitglied: goscho
goscho 06.09.2012 um 14:52:16 Uhr
Goto Top
Zitat von @DerWoWusste:
Moin.

> Kann man über GPO den Service starten und sperren, dass er nicht mehr von Admins lokal gestartet werden kann?
Ja. Und ein kurzes Googeln oder Suchen durch die Excel-GPO-Referenztabelle hätte Dir längst verraten, wo. ->Computer
Konfig - Policies - Windows Settings - Security Settings - System Services.
Dort kann man neben der Startart auch die ACL auf den Service ändern und explizit Admins rausnehmen und Domadmins rein.

O.K. diese GPO-Funktion habe ich bisher nicht gekannt.
Hast du das schon mit Diensten gemacht und es klappte zuverlässig?
Mitglied: DerWoWusste
DerWoWusste 06.09.2012 um 14:54:09 Uhr
Goto Top
Moin Goscho.
Hast du das schon mit Diensten gemacht und es klappte zuverlässig?
Ja, klappte zuverlässig.
Mitglied: DerWoWusste
DerWoWusste 06.09.2012 aktualisiert um 15:11:31 Uhr
Goto Top
Moin Timo.
@dww: Gurgeln? Wer macht dass denn heute noch, das ist doch viel zu unkreativ face-wink

Hatte letztens Deinen Tipp mit https://www.ixquick.com/ gesehen. Wann gehen die denn wieder online?
Edit: ok, https://ixquick.de/ geht immerhin. Wenn ich mich nicht sehr irre, ging der letztens auch zumindest ein paar Stunden nicht.
Mitglied: mattes007
mattes007 06.09.2012 um 17:40:13 Uhr
Goto Top
@timobeil

Zitat von @60730:
moin,

nabend

* das macht aber keinen Sinn....

Doch es macht Sinn. Wie ich schon beim Anfangsbeitrag geschrieben habe...gibt es keine (!) Debatte darüber, ob die Admin Rechte Sinn machen oder abgeschafft werden. Dies würde den Rahmen sprengen! Wer lesen kann ist klar im Vorteil.

> Ich brauche jetzt "kreative Ideen".
  • Stell dir mal vor, deine User, die Admins sind - können googeln und wollen wtf auch immer diesen (welchen überhaupt)
Dienst trotzdem beenden....
Und hier schreiben wir dir, wie das geht...
  • Tick Tick Tick Tick... groschen gefallen?

Natürlich ist mir dies klar.
1.) Daher habe ich nicht im Detail alles geschrieben, um welche Funktion es sich handelt.
2.) Man kann auch Beiträge/Threads löschen ;). Groschen gefallen!
3.) Ein anderer User hat ja gezeigt, dass man unterscheiden kann zwischen lokale Admin und Domain-Admins.


Wie ich denk es geht um Notebook am Ende des heiligen Grals, wie holen die sich ne GPO?

Klar, wenn sie gerade nicht greifbar sind, bekommen sie auf keine GPO...wenn sie aber einen Standort aufsuchen oder per VPN einwählen...bekommen sie GPO.

* SSCM braucht doch nen Server?

Schlaues Köpfchen...wir haben einen, sonst hätte ich es nicht erwähnt.

kann man.
Aber siehe Goscho:

Das man es kann ist schön, aber mich interessiert nur die Lösung.

geh ich zum Betriebsrat, erzähl dem was ein Admin alles kann und der Chef war Admin punkt
Wer hat denn gesagt, dass es um den Chef geht? Ein bestimmter Userbereich hat diese Rechte. Ohne diese Rechte ist dieser User-Stamm nicht arbeitsfähig...das ist so...das ist fakt...und wurde 2 Jahre überprüft.

Der Chef hat nur gesagt "Sie haben eine Lösung zu suchen".

(Auf den letzten Kommentar gehe ich nicht ein, weil Du meine/unsere Situation nicht kennst.)


@DerWoWusste
Vielen Dank. Endlich jemand der mich verstanden hat und nicht um den heißen Brei redet.
Habe selbst auf gruppenrichtlinien.de geschaut und dort nicht Deine Settings gefunden. Scheint über Google Glückssache zu sein ;).

Werde es morgen mal testen. Wenn es so klappt, wie Du beschreibst, schreibe ich am Ende mal den Hintergrund ;).
Mitglied: ColdZero89
ColdZero89 07.09.2012 aktualisiert um 16:31:08 Uhr
Goto Top
Anwender ist mit Notebook am Ende der Welt, bekommt von Kunde CD in die Hand...oder holt sich vor Ort UMTS Stick, der für
Softwareinstall/Treiberinstall Admin-Rechte braucht. Remote und Runas hört sich gut an...nur RunAS funktioniert nicht bei
allen Programmen.

Falsch RUNAS muss bei EXEn IMMER funktionieren und ich hab noch nie erlebt das es nicht funktioniert.

Da du ja aber behauptet hast es funktioniert nicht bei allen Programmen - das stimmt - aber bei allen EXEn und soweit ich weiß sind treiber immer EXE oder irre ich? Ôo nein ich glaube net.

Gruß Zero
Mitglied: Metzger-MCP
Metzger-MCP 10.09.2012 aktualisiert um 15:52:35 Uhr
Goto Top
hmmm ich weis gerade nicht ob du ... sofern es möglich wäre ... alles bedacht hättest

Ein Admin darf von Haus aus ...

· Konfiguration von Diensten
· Stoppen und Starten von Diensten

Wenn du nun hingehen würdest und der Gruppe der Administratoren den Zugriff auf die Verwaltung von Diensten und desen Verhalten sperren würdest, wäre es nicht mehr möglich zu einem späteren Zeitpunkt irgendwas an Diensten zu ändern ... und das Geschrei möchte ich dann sehen. Lösche mal den Ordner SoftwareDistribution unter Windows, weil du keine Updates mehr bekommst, weil der Windows Updatedienst dort irgendwas zersäbelt hat. XD

Wie war das denn noch mal gleich ? War der Dom-Admin nicht auch nur ein Standartuser der über / durch die Mitgliedschaft einer Berechtigungsgruppe in der Domain automatisch zu der lokalen Administratorengruppe beim Client eingepflegt wurde ?

Das einzige was du machen könntest, sofern das Möglich ist, in der Registrierung rum zu fuddeln, und dann jeglichen Registrierungseditoren zu killen / sperren / löschen.
Aber wehe wende da ein Bug reingeschossen hast oder Sachen den Zugriff nimmst die später mal von nöten sind ... dann gibt es nur eine schöne Sache face-smile die mir einfällt

NEUINSTALLATION

ach ja ... sofern du solche Dinge wirklich in Betracht ziehst, gebe bitte jedes mal an, das du wegen Adminrechtekastration in der Registrierung warst.

MFG Uwe
Mitglied: ColdZero89
ColdZero89 11.09.2012 aktualisiert um 10:12:12 Uhr
Goto Top
Moin,

zu Metzgers Beitrag: Es gibt auch die Möglichkeit die Registry zu backupen, diese kann dann später - ein wenig kompliziert aber möglich - wieder einegspielt werden solltest du mist bauen face-big-smile

Und ich würde es nicht Kastration nennen, da wird dann ja alles genommen, es ist ehr sowas wie eine Beschneidung face-big-smile also eine Adminrechtebeschneidung. Es wird ja nur ein Teil genommen.

Gruß Zero
Mitglied: Metzger-MCP
Metzger-MCP 11.09.2012 um 10:48:35 Uhr
Goto Top
Zitat von @ColdZero89:
Moin,

Und ich würde es nicht Kastration nennen, da wird dann ja alles genommen, es ist ehr sowas wie eine Beschneidung face-big-smile also
eine Adminrechtebeschneidung. Es wird ja nur ein Teil genommen.

Gruß Zero

Ich habe ein femto face-smile mikrigen hang zum Dramatischen XD

Gruß Uwe

@registrierung
ggf auch ein Systemwiederherstellungspunkt ... aber zuviel gefrickel an was gefrickeltem ... wird nur noch frickeliger ... bis nichts mehr geht

Gruß Uwe
Mitglied: ColdZero89
ColdZero89 11.09.2012 um 11:17:28 Uhr
Goto Top
Moin,

auch schön face-big-smile Dramatik PUR hier.

Naja wenn das System aufgrund von verfrickelter Registry nicht mehr startet bleibt nur das einspielen der Registry übrig.
Das geht dann über die DOS-Konsole und schnickschnack face-big-smile
Net janz einfach, aber machbar.

Gruß Zero
Mitglied: mattes007
mattes007 13.09.2012 um 12:22:21 Uhr
Goto Top
These: "Adminrechte sind nicht gleich Adminrechte"

Ihr habt ja alle gemeint mit lokalen Adminrechten kann man alles ändern...dies ist aber nicht der Fall.

Wir haben - wie DerWoWusste beschrieben hat - den Service per Policy auf eine AD-OU auf "Automatisch" gesetzt (ohne an den Security-Settings etwas zu ändern). Anschließend an dem Notebook mit einem Admin-Account an der Domäne angemeldet (vorher mit gpupdate /force sichergestellt, dass die Policy auch zieht)...und ich konnte den Service "Starten/Stoppen".

Daraufhin mit einem lokalen Admin-Account angemeldet und versucht den Service zu "stoppen". Fehlanzeige, denn die Schaltfläche ist ausgegraut. Neu gestartet, Netzwerkkabel entfernt und wieder lokal angemeldet...macht keinen Unterschied.

Fazit: Per GPO gesetzte Services lassen sich selbst mit lokalem Admin-Account nicht ändern.

Vielleicht sollten alle, die hier groß mit Ihrem Fachwissen über Admin-Rechte getönt haben, in Zukunft erst überlegen bevor man groß mosert.

Ach ja, ich brauchte den Dienst, weil man unter Win7 "unerwünschte" Programme "blocken" kann. So kann man lokale Admin das Recht einräumen etwas zu installieren, aber durch eine Blacklist unerwünschte Software verhindern zu installieren oder auszuführen (klappt auch mit portable Versionen).

Wünsche allen noch einen schönen Tag...
Mitglied: ColdZero89
ColdZero89 13.09.2012 aktualisiert um 12:36:11 Uhr
Goto Top
Kein Moin,

mattes, eine bitte werd net aufmüpfig und provizierend, wenn du nicht lesen und verstehen kannst is das eindeutig nicht unser Problem. Allgemein solltest du dein Verhalten bei Vorschlägen die dir auf deine Frage gegeben werden mal ändern, du hast häufiger doch einen sehr komischen Ton angeschlagen.

Wenn du dir die beiträge erneut durchließt, dein Hirn dabei einschaltest und auch nachdenkst über das geschriebene dann wirst du folgendes feststellen:

Hier wurde sich ehr gefragt wieso NORMALE User standardmäßig mitm Admin Account arbeiten.
Dies hat mehrere Gründe, die größten - und die die mri spontan einfallen - liste ich ma flott auf

- Virusgefahr um einiges erhöt, nen normaler user kommt net überall hin also auch kein virus der unter einem normalen user eingezogen wurde
- Installieren was er will, wann er will etc
- In der IT sollte einfach NICHT MIT ADMIN ACCOUNTS STANDARDMÄßIG GEARBEITET WERDEN. Das war die Rule Nr 1 die mir beigebracht wurde. ZUVIELE Sicherheitsrisikos.

Nein du beschimpfst uns durch die Blume als INkompetente Admins.
Das wie du/ihr eure Außendienstmitarbeiter Arbeiten lasst, ist Inkompetent auf ganzer Linie der IT.

Ja ich wurde nun gerade Kritisierend, denn es Zeugt nicht grad von Fachwissen, user mitm Adminaccount arbeiten zu lassen. Jeder Admin kennt die Risiken nud Probleme die da mehr auf ihn Zukommen.

Daher wurden allgemein Vorschläge gemacht dieses abzuändern.
Und Btw: Es gibt immer einen Weg auch Domänengesteuerte Services mit nem Lokalen Admin Account zu ändern face-wink da würd ich glatt drum wetten!

Gruß Zero
Mitglied: goscho
goscho 13.09.2012 aktualisiert um 12:33:38 Uhr
Goto Top
Zitat von @mattes007:
Wir haben - wie DerWoWusste beschrieben hat - den Service per Policy auf eine AD-OU auf "Automatisch" gesetzt (ohne an
den Security-Settings etwas zu ändern). Anschließend an dem Notebook mit einem Admin-Account an der Domäne
angemeldet (vorher mit gpupdate /force sichergestellt, dass die Policy auch zieht)...und ich konnte den Service
"Starten/Stoppen".
War das ein Domänen-Admin oder ein normaler Domänen-User, der auf dem NB als Admin eingetragen ist?
Daraufhin mit einem lokalen Admin-Account angemeldet und versucht den Service zu "stoppen". Fehlanzeige, denn die
Schaltfläche ist ausgegraut. Neu gestartet, Netzwerkkabel entfernt und wieder lokal angemeldet...macht keinen Unterschied.
Anmeldung per Domäne\Admin-User (nicht Domänen-Admin) oder NB-Name\Admin-User?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 13.09.2012 um 12:34:28 Uhr
Goto Top
Zitat von @mattes007:
Fazit: Per GPO gesetzte Services lassen sich selbst mit lokalem Admin-Account nicht ändern.

Nach deine Aussagen hat das so geklungen, als ob der User eine regulären Adminaccount hat und nicht nur einen lokalen (Chefs wollen das meistens so, auch wenn es nicht sinnvoll ist).

Un dwenn Du als Domainadmin da dran rumfummelst, nützt Dir die GPO nichts.

lks
Mitglied: ColdZero89
ColdZero89 13.09.2012 um 12:37:56 Uhr
Goto Top
Da ham was wieder, INFORMATIONEN INFORMATIONEN INFORMATIONEN face-big-smile wo sind die INFORMATIONEN.

Also im Endeffekt bist du - mattes - der Verursacher unseres angeblichen nicht vorhandenen Fachwissens. WEil DU zu wenig Informationen gegeben hast face-wink

Naja SO what, sei freundlicher wenn man dir helfen will.

Zero
Mitglied: Lochkartenstanzer
Lochkartenstanzer 13.09.2012 um 12:41:19 Uhr
Goto Top
Zitat von @ColdZero89:
Da ham was wieder, INFORMATIONEN INFORMATIONEN INFORMATIONEN face-big-smile wo sind die INFORMATIONEN.

Also im Endeffekt bist du - mattes - der Verursacher unseres angeblichen nicht vorhandenen Fachwissens. WEil DU zu wenig
Informationen gegeben hast face-wink


An ende sind natürlich wir Schuld, weil unsere Kristallkugeln nicht alles korrekt vorhersagen. BTW: Ich muß mal meine wieder in die Wartung geben, die war in der letzten Woche zu oft im Gebrauch.

lks
Mitglied: ColdZero89
ColdZero89 13.09.2012 um 13:01:18 Uhr
Goto Top
Moin lks,

ich probiers momentan mit Wasserflaschen, ob sich dort eine Vision abbildet!
Meine Kristallkugel hat ihren dienst versagt...
Aber das Funktioniert auch nicht und soviel Magische Vorhersehenskraft zu opfern, neee face-smile

Gruß Zero
Mitglied: DerWoWusste
DerWoWusste 13.09.2012 um 15:40:00 Uhr
Goto Top
@mattes007
Fazit: Per GPO gesetzte Services lassen sich selbst mit lokalem Admin-Account nicht ändern.
Ja, so ist es gedacht. Natürlich können lokale Admins alle ACLs auf Dienste abändern. Wenn ein Admin das also will, dann schafft er es. Echte Wirksamkeit gewinnt diese Einstellung also erst dann, wenn man die ACLs auf diesen Service ebenso überwacht (NTFS Auditing). Das gilt für alle GPOs und lokale Admins: erst wenn überwacht wird, dass der Admin die GPOs nicht manipuliert, kann man ihn kontrollieren.
Mitglied: goscho
goscho 13.09.2012 um 15:50:32 Uhr
Goto Top
Zitat von @DerWoWusste:
> Fazit: Per GPO gesetzte Services lassen sich selbst mit lokalem Admin-Account nicht ändern.
Ja, so ist es gedacht. Natürlich können lokale Admins alle ACLs auf Dienste abändern. Wenn ein Admin das also will,
dann schafft er es. Echte Wirksamkeit gewinnt diese Einstellung also erst dann, wenn man die ACLs auf diesen Service ebenso
überwacht (NTFS Auditing). Das gilt für alle GPOs und lokale Admins: erst wenn überwacht wird, dass der Admin die
GPOs nicht manipuliert, kann man ihn kontrollieren.
Hi DWW,
dann lag ich doch nicht so falsch damit, dass sich ein Admin die Rechte wieder besorgen kann, oder?

Nach allem was ich in diesem Thread gelesen habe, geht es dem mattes007 um genau solche Leute, bei denen Verbote/Dienstanweisungen nicht reichen.
Was hilft denn hier das Auditing?
Dann weiß man hinterher auch nur, dass dieser Adminuser am NB den Dienst beendet/gestartet hat, was man ja ohnehin weiß, da er der einzige User (mit Notebook am Ende der Welt) war.
Mitglied: DerWoWusste
DerWoWusste 13.09.2012 um 16:06:52 Uhr
Goto Top
Hi Goscho.
dann lag ich doch nicht so falsch damit, dass sich ein Admin die Rechte wieder besorgen kann, oder?
Nein, lagst Du auch nicht. Aber der so erreichte Schutz reicht dem mattes007 ja.
Was hilft denn hier das Auditing?
Man gibt den Leuten Adminrechte und lässt sie unterschreiben: "ich darf die Adminrechte für Aufgabe X und sonst nichts nutzen". Dann schaltet man Auditing ein und wenn jemand u.a. Policies verbiegt, dann bekommt der einen auf den Deckel. Ich finde das ausreichend, da Auditing wasserdicht genug ist, um es nicht auch noch als vom lokalen Admin manipulierbar ansehen zu müssen.