markus-sinzig
Goto Top

User mit lokalen Adminrechten in eingeschränkten User ändern !?

Hallo zusammen,

folgende Situation:

Wir haben bei uns in der Firma ca. 40 User-Accounts die alle über lokale Adminrechte verfügen.

Dies würde ich gerne ändern und den Usern nur noch eingeschränkten Zugriff gewähren.

Kann ich einfach hingehen und an den betreffenden Rechnern die Gruppe von Administrator in Standardbenutzer ändern ?!

Welche Auswirkungen könnte dies auf die User haben.

Hauptziel ist natürlich die Benutzer in Ihrer Handlungsfreiheit zu beschränken und Ihnen nicht jegliche Installation von Software zu ermöglichen.
Außerdem ist es wohl der größte Fehler eines Admins, den Usern lokale Adminrechte zu geben.

Wie würdet ihr vorgehen, bzw. was gibt es zu beachten.

Vielen Dank im voraus für eure Hilfe !

Grüße
Markus

Content-ID: 174752

Url: https://administrator.de/contentid/174752

Ausgedruckt am: 05.11.2024 um 16:11 Uhr

Robobob
Robobob 17.10.2011 um 09:51:04 Uhr
Goto Top
Guten morgen,

verstehe ich das richtig, die User sind überall auf ihren Clients in der lokalen Gruppe Administratoren?
Das darf ja nicht sein. Böse ;)

Du kannst jetzt folgendes tun;
Erstelle eine GPO die die User permanent in die lokale Gruppe Benutzer hinzufügt und eine weitere,
die sie aus der lokalen Gruppe Administratoren entfernt.

hier ein kleines how-to
http://www.serverhowto.de/Lokale-Gruppenmitgliedschaften-in-der-Domaene ...

bedenke so würde ich es jetzt machen.

gibt best. noch andere Möglichkeiten.

gruß
ChrisDynamite
ChrisDynamite 17.10.2011 um 10:17:15 Uhr
Goto Top
Hi

ja es gibt noch die Turnschuh-Admin möglichkeit


jeden angemeldeten Benutzer (domänenbenutzer) in die lokale Gruppe "Benutzer" aufnehmen. viel Spass face-smile

das ist natürlich die aufwändigste Art, aber sie funktioniert
markus-sinzig
markus-sinzig 17.10.2011 um 10:20:32 Uhr
Goto Top
Hallo Robobob,

vielen Dank für die schnelle Antwort.

Ja, du hast richtig gelesen ! Wirklich böse.
Dafür wollen wir es ja auch ändern.

Mit Gruppenrichtlinien habe ich bisher noch nichts gemacht.
Ich werde mich wohl heute Mittag in das Thema mal reinlesen.

Vielen Dank für deinen Link. Werde es mir mal anschauen.

Werde es aber wohl mal bei einzelnen Usern testen und schauen wie die Auswirkungen auf den Arbeitsalltag ausfallen.

Ich berichte dann noch über erfolge und misserfolge ! face-wink

Noch jemand eine Idee ?

Danke und Gruß
Ravers
Ravers 17.10.2011 um 11:30:09 Uhr
Goto Top
Moinsen!

Überlege ob auch wirklich alle Anwendungen dann noch funktionieren. Als ich meinen Job antrat, wollte ich das auch machen, da sehr viele lokale Admins waren. Jedoch fiel dann in der Vorbereitung auf, das einige Programme sonst nicht lauffähig sind. Fängt an bei Nero, was man jedoch mit einem Nero-Tool einstellen kann (unter XP); jedoch unsere Konstruktionssoftware klappte nicht.

Also nicht mal eben schnell machen, sondern genau checken warum Sie lokale Admin-Rechte haben!

Greetz
ravers
markus-sinzig
markus-sinzig 17.10.2011 um 11:42:10 Uhr
Goto Top
Hallo Ravers,

genau das ist das Ding.
Muss nun erstmal testen was eventuell nicht mehr funktioniert.

Irgendwann ist mal damit angefangen worden den Usern, die nach der PC-einrichtung vergebenen Rechte, zu belassen.

Die User haben bisher auch meist nix verkehrt gemacht.
Möchte das ganze aber trotzdem gerne mehr einschränken.

Wir haben da so unsere Spezies die mir ein bisschen zuviel "rumspielen".
cardisch
cardisch 17.10.2011 um 12:55:25 Uhr
Goto Top
Mahlzeit,

dann würd eich zuerst eine Übersicht der installierten Programme erstellen und beim Hersteller anfragen, ob die OHNE Admin-Rechte läuft (kannst da in einem Abwasch auch noch nach Win7-Fähigkeit - auch mit 64 bit- nachfragen, dann lohnt sich das E-Mail-Schreiben schon eher).
Danach würde ich mir eine Testumgebung erstellen und das verifizieren, vor allem ob Updates der Software noch gehen...
Ansonsten geht das "gefrickel" mit dem Processexplorer los, welche Rechte der User innerhalb der Registry und innerhalb des Dateisystems benötigt.

Gruß

Carsten
dualhead
dualhead 17.10.2011 um 16:49:36 Uhr
Goto Top
Hi,

mal ganz neutral gerfragt, was ist denn daran so schlimm? Ich würde das gerne mal mit Euch diskutieren, denn ich sehe das ehrlich gesagt nicht so eng. Was kann denn ein Nutzer maximal anrichten, außer seine eigene Maschine zu vergurken? Vernünftig konfigurierte Server, Virenscanner, Firewall, etc. im Netz mal vorausgesetzt. Und vor allem, läßt sich denn auch der Chef in seinen lokalen Rechten einschränken? Gerade in kleineren Firmen habe ich da schon einiges erlebt ("Ich brauche das aber, keine Diskussion!!!").

Gruß D.

PS: Ist natürlich alles immer abhängig von der Größe des Netzwerks und dem Sicherheitsbedürfnis der Firma.
Logan000
Logan000 18.10.2011 um 09:09:08 Uhr
Goto Top
Moin Moin

.... was ist denn daran so schlimm?
Schlimm ist das falsche wort.
Was kann denn ein Nutzer maximal anrichten, außer seine eigene Maschine zu vergurken?
Nichts, aber das reicht doch. Wer fix die? Du.
...und dann kommt noch:
"Ich brauche das aber, keine Diskussion!!!"
Meist gefolgt von einem "Sofort!".

läßt sich denn auch der Chef in seinen lokalen Rechten einschränken?
Na Klar. Er leitet (nur) das Unternehmen. Ich vergebe die Rechte.

Natürlich sind Lokale Adminrechte für User denkbar.
Allerding solte man diese von Know How abhängig machen und nicht von der Position.

Zu diesem Thema habe ich ein Blogeintrag eines "Kollegen" gefunden. den ich euch hier nicht vorenthalten möchte.

Gruß L.
dualhead
dualhead 18.10.2011 um 10:12:25 Uhr
Goto Top
Moin,

Natürlich sind Lokale Adminrechte für User denkbar.
Allerding solte man diese von Know How abhängig machen und nicht von der Position.
Klar, es gibt ja auch Leute, die sind mit 'nem Toaster überfordert. Aber wenn's der Chef ist, in seiner grenzenlosen Weisheit, dann dumm gelaufen.

Zu diesem Thema habe ich ein [http://fieser-admin.de/2008/nein-ihr-kriegt-keine-admin-rechte/ Blogeintrag eines
"Kollegen"] gefunden. den ich euch hier nicht vorenthalten möchte.
Da hat sich aber jemand den Frust runtergeschrieben.... Aber genau das ist der Punkt. Wenn man User hat, die vernünftig damit umgehen und keinen Blödsinn machen, dann klappt das. Wenn man allerdings "Power User" hat, die die komplette Computer-Bild Beilagen-CD installieren, dann muß man die natürlich ein wenig einbremsen (Keine Rechte für nix!).

Gruß D.