4
User mit lokalen Adminrechten verändern lokalen Einstellungen der Domain-Policy
Hallo an alle,
in einer unserer Abteilungen ist es notwendig, dass die User lokale Admin-Rechte zum installieren und deinstallieren von Software benötigen. Ebenso müssen auch diverse Anpassungen in der Registry für das Testen der installierten Software durchgeführt werden können.
Nun nutzen diese User die erteilten Berechtigungen soweit aus, dass zum Beispiel die Benutzerberechtigungen eigenwillig geändert werden (Domänen-Admin ist nur noch Mitglied der Gruppe Hauptbenutzer), es werden die Kennwörter des lokalen Administrators geändert oder Einstellungen, die über die Domain-Policy verteilt werden, wieder rückgängig gemacht oder nach den eigenen Bedürfnissen angepasst (Wartezeit des Bildschirmschoner wird verändert usw.).
Gibt es eine Möglichkeit, diesen Usern zwar die lokalen Administratorberechtigungen weiter zu erhalten, aber dennoch solche eigenwilligen Änderungen zukünftig zu unterbinden.
Vielen Dank bereits im voraus.
Gruss
HMA
ps: Die Clients sind mit Windows XP Pro, SP3 installiert - aktuell ist eine W2K3-Domäne
in einer unserer Abteilungen ist es notwendig, dass die User lokale Admin-Rechte zum installieren und deinstallieren von Software benötigen. Ebenso müssen auch diverse Anpassungen in der Registry für das Testen der installierten Software durchgeführt werden können.
Nun nutzen diese User die erteilten Berechtigungen soweit aus, dass zum Beispiel die Benutzerberechtigungen eigenwillig geändert werden (Domänen-Admin ist nur noch Mitglied der Gruppe Hauptbenutzer), es werden die Kennwörter des lokalen Administrators geändert oder Einstellungen, die über die Domain-Policy verteilt werden, wieder rückgängig gemacht oder nach den eigenen Bedürfnissen angepasst (Wartezeit des Bildschirmschoner wird verändert usw.).
Gibt es eine Möglichkeit, diesen Usern zwar die lokalen Administratorberechtigungen weiter zu erhalten, aber dennoch solche eigenwilligen Änderungen zukünftig zu unterbinden.
Vielen Dank bereits im voraus.
Gruss
HMA
ps: Die Clients sind mit Windows XP Pro, SP3 installiert - aktuell ist eine W2K3-Domäne
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 122046
Url: https://administrator.de/contentid/122046
Ausgedruckt am: 23.11.2024 um 00:11 Uhr
4 Kommentare
Neuester Kommentar
ja den usern die rechte des lokalen admin nehmen.
eine gruppe zu erstellen denen du die rechte gibts: ändern der reg , deinstall und install der programme
bzw eine gruppe erstellst was sie nicht dürfen macht logischerweise mehr sinn.
eine gruppe zu erstellen denen du die rechte gibts: ändern der reg , deinstall und install der programme
bzw eine gruppe erstellst was sie nicht dürfen macht logischerweise mehr sinn.
Nimm ihnen lokale Adminrechte weg und bastel ihnen eine schöne Gruppenrichtlinie.
vielen Dank für die Antworten.
Die lok. Adminrechte wegnehmen ist natürlich in erster Linie schon das, was wir bezwecken wollen.
Dennoch stellt sich mir die Frage, wie ich mittels GPO diesen Usern die Installation und Deinstallation von Software genehmigen, die Modifikation der Registry und ggfs. das setzen noch Rechten auf lokal auf der Platte liegenden Ordnern (sofern benötigt) erlauben kann.
Gibt es für diese genannten Einstellungen ein eigenes Template.
Leider konnte ich eben beim durchstöbern der GPO-Einstellungen diese Punkte nicht finden.
Danke schon im voraus für eure Hilfe
Die lok. Adminrechte wegnehmen ist natürlich in erster Linie schon das, was wir bezwecken wollen.
Dennoch stellt sich mir die Frage, wie ich mittels GPO diesen Usern die Installation und Deinstallation von Software genehmigen, die Modifikation der Registry und ggfs. das setzen noch Rechten auf lokal auf der Platte liegenden Ordnern (sofern benötigt) erlauben kann.
Gibt es für diese genannten Einstellungen ein eigenes Template.
Leider konnte ich eben beim durchstöbern der GPO-Einstellungen diese Punkte nicht finden.
Danke schon im voraus für eure Hilfe
[
Unter XP sind das die Rechte der Hauptbenutzer, kann man sonst auch per GPO <<Computer/Windows-Einstellungen/Sicherheit/lokale Richtlinien/ >> einzeln einer Gruppe zuweisen.
Das Übernehmen von Benutzerrechten ist in derselben Abteilung und heisst:
<< Zuweisen von Benutzerrechten\Übernehmen des Besitzes von Dateien und Objekten >>
Die Modifikation der Registry wird so denke ich allerdings nicht möglich sein.
Unter XP sind das die Rechte der Hauptbenutzer, kann man sonst auch per GPO <<Computer/Windows-Einstellungen/Sicherheit/lokale Richtlinien/ >> einzeln einer Gruppe zuweisen.
Das Übernehmen von Benutzerrechten ist in derselben Abteilung und heisst:
<< Zuweisen von Benutzerrechten\Übernehmen des Besitzes von Dateien und Objekten >>
Die Modifikation der Registry wird so denke ich allerdings nicht möglich sein.
