9
User mit lokalen Adminrechten in eingeschränkten User ändern !?
Hallo zusammen,
folgende Situation:
Wir haben bei uns in der Firma ca. 40 User-Accounts die alle über lokale Adminrechte verfügen.
Dies würde ich gerne ändern und den Usern nur noch eingeschränkten Zugriff gewähren.
Kann ich einfach hingehen und an den betreffenden Rechnern die Gruppe von Administrator in Standardbenutzer ändern ?!
Welche Auswirkungen könnte dies auf die User haben.
Hauptziel ist natürlich die Benutzer in Ihrer Handlungsfreiheit zu beschränken und Ihnen nicht jegliche Installation von Software zu ermöglichen.
Außerdem ist es wohl der größte Fehler eines Admins, den Usern lokale Adminrechte zu geben.
Wie würdet ihr vorgehen, bzw. was gibt es zu beachten.
Vielen Dank im voraus für eure Hilfe !
Grüße
Markus
folgende Situation:
Wir haben bei uns in der Firma ca. 40 User-Accounts die alle über lokale Adminrechte verfügen.
Dies würde ich gerne ändern und den Usern nur noch eingeschränkten Zugriff gewähren.
Kann ich einfach hingehen und an den betreffenden Rechnern die Gruppe von Administrator in Standardbenutzer ändern ?!
Welche Auswirkungen könnte dies auf die User haben.
Hauptziel ist natürlich die Benutzer in Ihrer Handlungsfreiheit zu beschränken und Ihnen nicht jegliche Installation von Software zu ermöglichen.
Außerdem ist es wohl der größte Fehler eines Admins, den Usern lokale Adminrechte zu geben.
Wie würdet ihr vorgehen, bzw. was gibt es zu beachten.
Vielen Dank im voraus für eure Hilfe !
Grüße
Markus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 174752
Url: https://administrator.de/contentid/174752
Ausgedruckt am: 05.11.2024 um 16:11 Uhr
9 Kommentare
Neuester Kommentar
Guten morgen,
verstehe ich das richtig, die User sind überall auf ihren Clients in der lokalen Gruppe Administratoren?
Das darf ja nicht sein. Böse ;)
Du kannst jetzt folgendes tun;
Erstelle eine GPO die die User permanent in die lokale Gruppe Benutzer hinzufügt und eine weitere,
die sie aus der lokalen Gruppe Administratoren entfernt.
hier ein kleines how-to
http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene ...
bedenke so würde ich es jetzt machen.
gibt best. noch andere Möglichkeiten.
gruß
verstehe ich das richtig, die User sind überall auf ihren Clients in der lokalen Gruppe Administratoren?
Das darf ja nicht sein. Böse ;)
Du kannst jetzt folgendes tun;
Erstelle eine GPO die die User permanent in die lokale Gruppe Benutzer hinzufügt und eine weitere,
die sie aus der lokalen Gruppe Administratoren entfernt.
hier ein kleines how-to
http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene ...
bedenke so würde ich es jetzt machen.
gibt best. noch andere Möglichkeiten.
gruß
Hi
ja es gibt noch die Turnschuh-Admin möglichkeit
jeden angemeldeten Benutzer (domänenbenutzer) in die lokale Gruppe "Benutzer" aufnehmen. viel Spass
das ist natürlich die aufwändigste Art, aber sie funktioniert
ja es gibt noch die Turnschuh-Admin möglichkeit
jeden angemeldeten Benutzer (domänenbenutzer) in die lokale Gruppe "Benutzer" aufnehmen. viel Spass
das ist natürlich die aufwändigste Art, aber sie funktioniert
Hallo Robobob,
vielen Dank für die schnelle Antwort.
Ja, du hast richtig gelesen ! Wirklich böse.
Dafür wollen wir es ja auch ändern.
Mit Gruppenrichtlinien habe ich bisher noch nichts gemacht.
Ich werde mich wohl heute Mittag in das Thema mal reinlesen.
Vielen Dank für deinen Link. Werde es mir mal anschauen.
Werde es aber wohl mal bei einzelnen Usern testen und schauen wie die Auswirkungen auf den Arbeitsalltag ausfallen.
Ich berichte dann noch über erfolge und misserfolge !
Noch jemand eine Idee ?
Danke und Gruß
vielen Dank für die schnelle Antwort.
Ja, du hast richtig gelesen ! Wirklich böse.
Dafür wollen wir es ja auch ändern.
Mit Gruppenrichtlinien habe ich bisher noch nichts gemacht.
Ich werde mich wohl heute Mittag in das Thema mal reinlesen.
Vielen Dank für deinen Link. Werde es mir mal anschauen.
Werde es aber wohl mal bei einzelnen Usern testen und schauen wie die Auswirkungen auf den Arbeitsalltag ausfallen.
Ich berichte dann noch über erfolge und misserfolge !
Noch jemand eine Idee ?
Danke und Gruß
Moinsen!
Überlege ob auch wirklich alle Anwendungen dann noch funktionieren. Als ich meinen Job antrat, wollte ich das auch machen, da sehr viele lokale Admins waren. Jedoch fiel dann in der Vorbereitung auf, das einige Programme sonst nicht lauffähig sind. Fängt an bei Nero, was man jedoch mit einem Nero-Tool einstellen kann (unter XP); jedoch unsere Konstruktionssoftware klappte nicht.
Also nicht mal eben schnell machen, sondern genau checken warum Sie lokale Admin-Rechte haben!
Greetz
ravers
Überlege ob auch wirklich alle Anwendungen dann noch funktionieren. Als ich meinen Job antrat, wollte ich das auch machen, da sehr viele lokale Admins waren. Jedoch fiel dann in der Vorbereitung auf, das einige Programme sonst nicht lauffähig sind. Fängt an bei Nero, was man jedoch mit einem Nero-Tool einstellen kann (unter XP); jedoch unsere Konstruktionssoftware klappte nicht.
Also nicht mal eben schnell machen, sondern genau checken warum Sie lokale Admin-Rechte haben!
Greetz
ravers
Hallo Ravers,
genau das ist das Ding.
Muss nun erstmal testen was eventuell nicht mehr funktioniert.
Irgendwann ist mal damit angefangen worden den Usern, die nach der PC-einrichtung vergebenen Rechte, zu belassen.
Die User haben bisher auch meist nix verkehrt gemacht.
Möchte das ganze aber trotzdem gerne mehr einschränken.
Wir haben da so unsere Spezies die mir ein bisschen zuviel "rumspielen".
genau das ist das Ding.
Muss nun erstmal testen was eventuell nicht mehr funktioniert.
Irgendwann ist mal damit angefangen worden den Usern, die nach der PC-einrichtung vergebenen Rechte, zu belassen.
Die User haben bisher auch meist nix verkehrt gemacht.
Möchte das ganze aber trotzdem gerne mehr einschränken.
Wir haben da so unsere Spezies die mir ein bisschen zuviel "rumspielen".
Mahlzeit,
dann würd eich zuerst eine Übersicht der installierten Programme erstellen und beim Hersteller anfragen, ob die OHNE Admin-Rechte läuft (kannst da in einem Abwasch auch noch nach Win7-Fähigkeit - auch mit 64 bit- nachfragen, dann lohnt sich das E-Mail-Schreiben schon eher).
Danach würde ich mir eine Testumgebung erstellen und das verifizieren, vor allem ob Updates der Software noch gehen...
Ansonsten geht das "gefrickel" mit dem Processexplorer los, welche Rechte der User innerhalb der Registry und innerhalb des Dateisystems benötigt.
Gruß
Carsten
dann würd eich zuerst eine Übersicht der installierten Programme erstellen und beim Hersteller anfragen, ob die OHNE Admin-Rechte läuft (kannst da in einem Abwasch auch noch nach Win7-Fähigkeit - auch mit 64 bit- nachfragen, dann lohnt sich das E-Mail-Schreiben schon eher).
Danach würde ich mir eine Testumgebung erstellen und das verifizieren, vor allem ob Updates der Software noch gehen...
Ansonsten geht das "gefrickel" mit dem Processexplorer los, welche Rechte der User innerhalb der Registry und innerhalb des Dateisystems benötigt.
Gruß
Carsten
Hi,
mal ganz neutral gerfragt, was ist denn daran so schlimm? Ich würde das gerne mal mit Euch diskutieren, denn ich sehe das ehrlich gesagt nicht so eng. Was kann denn ein Nutzer maximal anrichten, außer seine eigene Maschine zu vergurken? Vernünftig konfigurierte Server, Virenscanner, Firewall, etc. im Netz mal vorausgesetzt. Und vor allem, läßt sich denn auch der Chef in seinen lokalen Rechten einschränken? Gerade in kleineren Firmen habe ich da schon einiges erlebt ("Ich brauche das aber, keine Diskussion!!!").
Gruß D.
PS: Ist natürlich alles immer abhängig von der Größe des Netzwerks und dem Sicherheitsbedürfnis der Firma.
mal ganz neutral gerfragt, was ist denn daran so schlimm? Ich würde das gerne mal mit Euch diskutieren, denn ich sehe das ehrlich gesagt nicht so eng. Was kann denn ein Nutzer maximal anrichten, außer seine eigene Maschine zu vergurken? Vernünftig konfigurierte Server, Virenscanner, Firewall, etc. im Netz mal vorausgesetzt. Und vor allem, läßt sich denn auch der Chef in seinen lokalen Rechten einschränken? Gerade in kleineren Firmen habe ich da schon einiges erlebt ("Ich brauche das aber, keine Diskussion!!!").
Gruß D.
PS: Ist natürlich alles immer abhängig von der Größe des Netzwerks und dem Sicherheitsbedürfnis der Firma.
Moin Moin
...und dann kommt noch:
Natürlich sind Lokale Adminrechte für User denkbar.
Allerding solte man diese von Know How abhängig machen und nicht von der Position.
Zu diesem Thema habe ich ein Blogeintrag eines "Kollegen" gefunden. den ich euch hier nicht vorenthalten möchte.
Gruß L.
.... was ist denn daran so schlimm?
Schlimm ist das falsche wort.Was kann denn ein Nutzer maximal anrichten, außer seine eigene Maschine zu vergurken?
Nichts, aber das reicht doch. Wer fix die? Du....und dann kommt noch:
"Ich brauche das aber, keine Diskussion!!!"
Meist gefolgt von einem "Sofort!".läßt sich denn auch der Chef in seinen lokalen Rechten einschränken?
Na Klar. Er leitet (nur) das Unternehmen. Ich vergebe die Rechte.Natürlich sind Lokale Adminrechte für User denkbar.
Allerding solte man diese von Know How abhängig machen und nicht von der Position.
Zu diesem Thema habe ich ein Blogeintrag eines "Kollegen" gefunden. den ich euch hier nicht vorenthalten möchte.
Gruß L.
Moin,
Gruß D.
Natürlich sind Lokale Adminrechte für User denkbar.
Allerding solte man diese von Know How abhängig machen und nicht von der Position.
Klar, es gibt ja auch Leute, die sind mit 'nem Toaster überfordert. Aber wenn's der Chef ist, in seiner grenzenlosen Weisheit, dann dumm gelaufen.Allerding solte man diese von Know How abhängig machen und nicht von der Position.
Zu diesem Thema habe ich ein [http://fieser-admin.de/2008/nein-ihr-kriegt-keine-admin-rechte/ Blogeintrag eines
"Kollegen"] gefunden. den ich euch hier nicht vorenthalten möchte.
Da hat sich aber jemand den Frust runtergeschrieben.... Aber genau das ist der Punkt. Wenn man User hat, die vernünftig damit umgehen und keinen Blödsinn machen, dann klappt das. Wenn man allerdings "Power User" hat, die die komplette Computer-Bild Beilagen-CD installieren, dann muß man die natürlich ein wenig einbremsen (Keine Rechte für nix!)."Kollegen"] gefunden. den ich euch hier nicht vorenthalten möchte.
Gruß D.
