Verschieden Verhaltensweisen in der Domäne
Hallo,
im Firmennetzwerk bei uns sind ganz normale User einer GPO zugeteilt, diese jedoch verhält sich seltsamerweise unterschiedlich.
Es sind ca. 30 Clients im Netzwerk angemeldet bei ca 10 erscheint folgende Meldung wenn man z.B. die IP Adresse ändern möchte: IP Adresse ändern ist nur ein Beispiel - es geht um alle Administrativen Aufgaben
bei den anderen kommt das:
Erste Meldung ist für mich komplett neu diese kannte ich vorher noch nicht bewusst. Letzte ist die für mich gewohnte Meldung bei Arbeiten ohne Administrative Berechtigungen.
Die Benutzerkontensteuerung ist überall gleich konfiguriert, nur eben leider die Reaktion nicht.
Allgemein kann ich dazu noch sagen, dass es sogar Benutzer in der Domäne gibt welche mit identischen Rechten komplette Administrationsberechtigungen haben. Laut GPO's jedoch gleichgestellt sind.
Zum Verständnis: In der Firma gab es einen Admin der vor 15 Monaten gekündigt hatte. Seitdem durfte jeder mal ran weil man versucht hatte das ganze ohne Admin am laufen zu halten. nach einem Jahr hat man sich dann dafür entschieden, dass man doch besser auf einen Admin zurückgreift.
Der bin jetzt ich.
Grüße
im Firmennetzwerk bei uns sind ganz normale User einer GPO zugeteilt, diese jedoch verhält sich seltsamerweise unterschiedlich.
Es sind ca. 30 Clients im Netzwerk angemeldet bei ca 10 erscheint folgende Meldung wenn man z.B. die IP Adresse ändern möchte: IP Adresse ändern ist nur ein Beispiel - es geht um alle Administrativen Aufgaben
bei den anderen kommt das:
Erste Meldung ist für mich komplett neu diese kannte ich vorher noch nicht bewusst. Letzte ist die für mich gewohnte Meldung bei Arbeiten ohne Administrative Berechtigungen.
Die Benutzerkontensteuerung ist überall gleich konfiguriert, nur eben leider die Reaktion nicht.
Allgemein kann ich dazu noch sagen, dass es sogar Benutzer in der Domäne gibt welche mit identischen Rechten komplette Administrationsberechtigungen haben. Laut GPO's jedoch gleichgestellt sind.
Zum Verständnis: In der Firma gab es einen Admin der vor 15 Monaten gekündigt hatte. Seitdem durfte jeder mal ran weil man versucht hatte das ganze ohne Admin am laufen zu halten. nach einem Jahr hat man sich dann dafür entschieden, dass man doch besser auf einen Admin zurückgreift.
Der bin jetzt ich.
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 252270
Url: https://administrator.de/contentid/252270
Ausgedruckt am: 26.11.2024 um 05:11 Uhr
9 Kommentare
Neuester Kommentar
Hi.
Das Verhalten mit den IPs ist erklärbar: wenn die UAC aus ist, kommt keine UAC-Abfrage, sondern nur "darfste nicht".
Das Verhalten mit den IPs ist erklärbar: wenn die UAC aus ist, kommt keine UAC-Abfrage, sondern nur "darfste nicht".
Allgemein kann ich dazu noch sagen, dass es sogar Benutzer in der Domäne gibt welche mit identischen Rechten komplette Administrationsberechtigungen haben.
Was soll das bedeuten? Sind diese Nutzer denn in der lokalen Admingruppe drin bzw. in Gruppen, die in dieser Admingruppe enthalten sind? Scheint so.
Das kann nicht sein. Prüfe genauer.
Was passiert denn an diesen UAC-AN-Rechnern, wenn Du beispielsweise eine Datei direkt unter c: erstellen willst (Rechtsklick - neu) - wird das angeboten?
Was passiert, wenn Du in den taskplaner gehst - kommt da eine UAC Abfrage als Nutzer? Kommt eine als Admin?
Was passiert denn an diesen UAC-AN-Rechnern, wenn Du beispielsweise eine Datei direkt unter c: erstellen willst (Rechtsklick - neu) - wird das angeboten?
Was passiert, wenn Du in den taskplaner gehst - kommt da eine UAC Abfrage als Nutzer? Kommt eine als Admin?
die paar Benutzer bei denen es so ist sind ebenfalls Domänenuser mit identischen GPO
Lass die GPOs mal außen vor und prüfe den Inhalt der Admingruppe. Und gib genauere Antwort auf meine Frage nach der Bedeutung - was meinst Du mit "komplette Adminberechtigungen"? Weil - halbe gibt es eh nicht
Hallo,
die können aber per Hand in die Logale Gruppe der Adinistratoren auf dem Rechner hinzugefügt worden sein.
GPO sind schön aber LSDOU gillt trozdem.
Und gerade wenn es eine Zeit gab in der jeder mal was machen durfte würd ich mich nicht drauf verlassen das keiner die Gruppen Lokal an Clients barbeitet hat.
Per GPO kannste zwar alles überschrieben, aber solange die GPO einen Eintrag als nicht konfiguriert ausliefert gilt das was die lokalen Richtlinien gerne hätten.
Gruß
Chonta
die können aber per Hand in die Logale Gruppe der Adinistratoren auf dem Rechner hinzugefügt worden sein.
GPO sind schön aber LSDOU gillt trozdem.
Und gerade wenn es eine Zeit gab in der jeder mal was machen durfte würd ich mich nicht drauf verlassen das keiner die Gruppen Lokal an Clients barbeitet hat.
Per GPO kannste zwar alles überschrieben, aber solange die GPO einen Eintrag als nicht konfiguriert ausliefert gilt das was die lokalen Richtlinien gerne hätten.
Gruß
Chonta
Hallo,
Computerverwaltung > PC auswählen > System>Lokale Benutzer und Gruppen
Musst nicht von deiner WS weg
Ja GPO überschrieben alles andere, ABER nur wenn etwas gesetzt wird! Wenn in einer GPO steht nicht Kinfiguriert aber in der Lokalenrichtlinie steht HansPeterMaier dürfen, dann Dürfen die das solange bist in der GPO an selber Stelle gesagt wird Nur Hans darf, dann ist der Rest draußen.
Ein nicht Konfiguriert in einer GPO bedeutet wird nicht verarbeitet und im Normalfall bedeutet das Default werte, wenn diese aber durch wo anders gesetzt werden geht das die GPO nix an.
Gruß
Chonta
Computerverwaltung > PC auswählen > System>Lokale Benutzer und Gruppen
Musst nicht von deiner WS weg
Ja GPO überschrieben alles andere, ABER nur wenn etwas gesetzt wird! Wenn in einer GPO steht nicht Kinfiguriert aber in der Lokalenrichtlinie steht HansPeterMaier dürfen, dann Dürfen die das solange bist in der GPO an selber Stelle gesagt wird Nur Hans darf, dann ist der Rest draußen.
Ein nicht Konfiguriert in einer GPO bedeutet wird nicht verarbeitet und im Normalfall bedeutet das Default werte, wenn diese aber durch wo anders gesetzt werden geht das die GPO nix an.
Gruß
Chonta