hma
Goto Top

User mit lokalen Adminrechten verändern lokalen Einstellungen der Domain-Policy

Hallo an alle,

in einer unserer Abteilungen ist es notwendig, dass die User lokale Admin-Rechte zum installieren und deinstallieren von Software benötigen. Ebenso müssen auch diverse Anpassungen in der Registry für das Testen der installierten Software durchgeführt werden können.

Nun nutzen diese User die erteilten Berechtigungen soweit aus, dass zum Beispiel die Benutzerberechtigungen eigenwillig geändert werden (Domänen-Admin ist nur noch Mitglied der Gruppe Hauptbenutzer), es werden die Kennwörter des lokalen Administrators geändert oder Einstellungen, die über die Domain-Policy verteilt werden, wieder rückgängig gemacht oder nach den eigenen Bedürfnissen angepasst (Wartezeit des Bildschirmschoner wird verändert usw.).

Gibt es eine Möglichkeit, diesen Usern zwar die lokalen Administratorberechtigungen weiter zu erhalten, aber dennoch solche eigenwilligen Änderungen zukünftig zu unterbinden.

Vielen Dank bereits im voraus.

Gruss

HMA

ps: Die Clients sind mit Windows XP Pro, SP3 installiert - aktuell ist eine W2K3-Domäne

Content-ID: 122046

Url: https://administrator.de/forum/user-mit-lokalen-adminrechten-veraendern-lokalen-einstellungen-der-domain-policy-122046.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

education
education 05.08.2009 um 11:55:49 Uhr
Goto Top
ja den usern die rechte des lokalen admin nehmen.

eine gruppe zu erstellen denen du die rechte gibts: ändern der reg , deinstall und install der programme


bzw eine gruppe erstellst was sie nicht dürfen macht logischerweise mehr sinn.
avenger82
avenger82 05.08.2009 um 19:33:08 Uhr
Goto Top
Nimm ihnen lokale Adminrechte weg und bastel ihnen eine schöne Gruppenrichtlinie.
HMA
HMA 06.08.2009 um 09:50:26 Uhr
Goto Top
vielen Dank für die Antworten.

Die lok. Adminrechte wegnehmen ist natürlich in erster Linie schon das, was wir bezwecken wollen.

Dennoch stellt sich mir die Frage, wie ich mittels GPO diesen Usern die Installation und Deinstallation von Software genehmigen, die Modifikation der Registry und ggfs. das setzen noch Rechten auf lokal auf der Platte liegenden Ordnern (sofern benötigt) erlauben kann.

Gibt es für diese genannten Einstellungen ein eigenes Template.
Leider konnte ich eben beim durchstöbern der GPO-Einstellungen diese Punkte nicht finden.

Danke schon im voraus für eure Hilfe
RedRabbit
RedRabbit 10.08.2009 um 13:57:28 Uhr
Goto Top
[
Unter XP sind das die Rechte der Hauptbenutzer, kann man sonst auch per GPO <<Computer/Windows-Einstellungen/Sicherheit/lokale Richtlinien/ >> einzeln einer Gruppe zuweisen.

Das Übernehmen von Benutzerrechten ist in derselben Abteilung und heisst:

<< Zuweisen von Benutzerrechten\Übernehmen des Besitzes von Dateien und Objekten >>

Die Modifikation der Registry wird so denke ich allerdings nicht möglich sein.