winterj86
Goto Top

User Rechte via GPO, Usern erlauben Desktopverknüpfungen zu löschen und Ausnahmeberechtigungen schaffen

Hallo,

wir haben vor kurzem in unserem Unternehmen unseren Usern via GPO die Administratorrechte entzogen.
(wie hier beschrieben: http://blog.teamix.de/2014/08/11/lokale-administratorenrechte-per-grupp ... )
Da bei einigen Usern die UAC ausgeschalten war, wurde diese ebenfalls via GPO wieder eingeschalten.
612365ef7ad064e389ff3ca419a377fd

Nun habe ich das Problem, dass die User ihre Desktopverknüpfungen nicht löschen können und die Meldung auftaucht das hierfür Administratorberechtigungen bennötigt werden.
Hat jemand eine Ahnung woran dies liegen könnte?

Ich habe ebenfalls das Problem das bei einigen Clients, die UAC nicht wie gewünscht in der Stufe 3 eingeschalten wird sondern in der Stufe 4, was ich als eher eigenartig finde, dass sich die GPO nicht bei allen gleich auswirkt. (Die Clients haben alle WIN7)
Woran liegt das?

Nun zur größten Challange:
Wir haben einige Clients, auf denen Software für Steuerungen entwickelt wird.
Den Entwicklern will ich es ermöglichen, dass sie selbstständig Software sowie Treiber installieren können und auch änderungen im Gerätemanager vornehmen können ohne, dass diese lokale Admins sind.
Hat hier jemand eine Lösung wie ich das am besten umsetzen kann?

Die User sollen ausserdem ihre Programme updaten können. (Adobe Acrobat etc.)


Ich weis es ist etwas viel auf einmal, aber ich würde mich wirklich über eure Hilfe freuen.
Danke

Content-ID: 272331

Url: https://administrator.de/contentid/272331

Ausgedruckt am: 24.11.2024 um 06:11 Uhr

DerWoWusste
DerWoWusste 19.05.2015 um 20:59:01 Uhr
Goto Top
Hi.

Nun habe ich das Problem, dass die User ihre Desktopverknüpfungen nicht löschen können
Nein, das sind nicht ihre, das sind allgemeine. Der sichtbare Desktop besteht aus zwei Ordnern: %userprofile%\desktop und c:\users\public\desktop
- in letzterem können nur Admins schreiben/löschen, in ersterem %username%.
Lösung: Vergib allgemeines Ändernrecht in c:\users\public\desktop, falls dort wirklich jeder schreiben soll. Achtung: dies könnte die Sicherheit untergraben.
winterj86
winterj86 19.05.2015 um 21:03:56 Uhr
Goto Top
aahh ok verstehe. Das werde ich mir auf alle fälle ansehen. Vl. lässt sich da was machen auf der atomaren Berechtigungsebene.
Danke schon mal für diesen Tipp face-big-smile
jsysde
Lösung jsysde 19.05.2015, aktualisiert am 09.06.2015 um 13:49:43 Uhr
Goto Top
N'Abend.

Das wird so nix: Entwickler brauchen Admin-Rechte, daran wirst du nix ändern können.
Und auch zum Updaten von Software werden Admin-Rechte benötigt, das klappt (zumindest für Adobe etc.) nicht ohne Admin-Rechte - es sein denn, du hast eine Software-Verteilung am Start oder nutzt die Software-Verteilung per GPO, dann passieren diese Update im Kontext "System" und nicht im User-Kontext.

Zu den Shortcuts hat DWW ja schon was gesagt; was die GPOs angeht: Mal geprüft, ob die überhaupt korrekt übernommen werden?

Cheers,
jsysde
winterj86
winterj86 19.05.2015 um 21:22:28 Uhr
Goto Top
Guten Abend,

ok schade aber dann werde ich wohl nicht drum rum kommen denen die Adminrechte wieder zu geben, aber das mit der Software GPO klingt gut, werde ich gleich mal probieren.

Danke
Dani
Lösung Dani 19.05.2015, aktualisiert am 09.06.2015 um 13:49:57 Uhr
Goto Top
Moin,
Den Entwicklern will ich es ermöglichen, dass sie selbstständig Software sowie Treiber installieren können und auch änderungen im Gerätemanager vornehmen können ohne, dass diese lokale Admins sind.
Wir haben das getrennt. Wir haben einmal Notebooks für das Firmennetzwerk und Büroarbeiten.
Die Entwickler haben ein separates Netzwerk, in dem Sie machen dürfen was sie wollen. Alternativ reichen vllt. virtuelle Maschinen bei euch. Hängt davon ab, was ihr entwickelt.


Gruß,
Dani
rzlbrnft
rzlbrnft 20.05.2015 aktualisiert um 01:12:13 Uhr
Goto Top
Zitat von @winterj86:
Guten Abend,
ok schade aber dann werde ich wohl nicht drum rum kommen denen die Adminrechte wieder zu geben, aber das mit der Software GPO
klingt gut, werde ich gleich mal probieren.

Du kannst auch einfach einen Install-User erstellen ohne Fileserver Zugriff, den du über die GPO in die Gruppe der Lokalen Admins auf allen Entwicklungs Rechnern einträgst. Das Passwort änderst du im Viertel Jahres Takt und teilst es den Entwicklern immer per Email mit.

Das ist zumindest sicherer als ständig als Admin zu arbeiten.
Dani
Lösung Dani 20.05.2015, aktualisiert am 09.06.2015 um 13:49:27 Uhr
Goto Top
Das Passwort änderst du im Viertel Jahres Takt und teilst es den Entwicklern immer per Email mit.
Könnte man mit Microsoft LAPS entsprechend vereinfachen. Passwörter werden automatisch gewechselt und du könntest dann diese manuell oder per Powershellskript auslesen und den Personen zuschicken (lassen).


Gruß,
Dani