Wie befehle für Benutzer eingrenzen?
Hi, wir haben über eine Softwreverteilung Win10 verteilt. Soweit alles gut.
Nun ist uns aufgefallen, das die "Kinder" den "netsh....." Befehl nutzen um z.B. das WLAN PW auszulesen.
Die Frage ist, wie kann ich das verhindern?
Ich bin davon ausgeganen, das nur Admins das nutzen können, aber Benutzer können das auch.
Also evtl per GPO einschränken? Macht das Sinn, da wir über unseren Server noch Befehle raussenden, die z.B. dafür sorgen, das eben das WLAN-PW gesetzt wird. Dafür läuft im Hintergrund OPSI.
Eine Option wäre die Verwaltung durch unsere WLAN-infrastruktur zu machen, aber das wäre etwas aufwendiger.
Hat jemand ein paar Tipps?
Danke.
Nun ist uns aufgefallen, das die "Kinder" den "netsh....." Befehl nutzen um z.B. das WLAN PW auszulesen.
Die Frage ist, wie kann ich das verhindern?
Ich bin davon ausgeganen, das nur Admins das nutzen können, aber Benutzer können das auch.
Also evtl per GPO einschränken? Macht das Sinn, da wir über unseren Server noch Befehle raussenden, die z.B. dafür sorgen, das eben das WLAN-PW gesetzt wird. Dafür läuft im Hintergrund OPSI.
Eine Option wäre die Verwaltung durch unsere WLAN-infrastruktur zu machen, aber das wäre etwas aufwendiger.
Hat jemand ein paar Tipps?
Danke.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2189230205
Url: https://administrator.de/forum/wie-befehle-fuer-benutzer-eingrenzen-2189230205.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
14 Kommentare
Neuester Kommentar
Servus
Sehr schön, haben wir noch nicht
Sehr schön, haben wir noch nicht
Nun ist uns aufgefallen, das die "Kinder" den "netsh....." Befehl nutzen um z.B. das WLAN PW auszulesen.
Welche Kinder? Schule? WIe wärs damit: Die Nutzung von cmd und powershell einfach komplett verbieten?Die Frage ist, wie kann ich das verhindern?
Die nutzung von cmd und powershell komplett verbieten?Danke.
BitteZitat von @simpsonetti:
Also das wäre ja auch meine Überlegung, aber ich möchte das eben nur auf Benutzerebene tun und die Frage ist, ob das möglich ist?
Also das wäre ja auch meine Überlegung, aber ich möchte das eben nur auf Benutzerebene tun und die Frage ist, ob das möglich ist?
Ja, das geht.
Moin,
du kannst die Ausführung von cmd.exe und powershell.exe via GPO Verbieten.
Benutzerrichtlinie, Admin Vorlage, System, Windows-Anwendung nicht ausführen: Powershell.exe
und
Benutzerrichtlinie, Admin Vorlage, System, Zugriff auf Eingabeaufforderung verhindern: aktivieren
Greift dann nur für den Benutzer, bei dem die GPO konfiguriert ist.
Gruß
Doskias
du kannst die Ausführung von cmd.exe und powershell.exe via GPO Verbieten.
Benutzerrichtlinie, Admin Vorlage, System, Windows-Anwendung nicht ausführen: Powershell.exe
und
Benutzerrichtlinie, Admin Vorlage, System, Zugriff auf Eingabeaufforderung verhindern: aktivieren
Greift dann nur für den Benutzer, bei dem die GPO konfiguriert ist.
Gruß
Doskias
Du musst die GPO halt der entsprechenden OU bzw. der Benutzergruppe zuweisen. Wie jede GPO halt. Da ich deinen Aufbau der Domäne nicht kenne und nicht weiß wie deine OUs aufgebaut sind, kann ich es dir nicht sagen:
Es ist eine Benutzerkonfiguration, die nur für die Benutzer gilt. System Accounts sind lokale Accounts, da greift die GPO nicht, da die nicht in der OU sein werden. Für Domainadmins greift sie, wenn die in der gleichen OU wie deine Schüler sind, was hoffentlich nicht der Fall ist.
Ansonsten: GPO-erstellen, authentifizierten Benutzer im Sicherheitsfilter rauswerfen, authentifizierten Benutzer in Delegierung mit leserechte hinzufügen, Testbenutzer oder ganze Benutzergruppe im Sicherheitsfilter hinzufügen. Sollte aber bei der GPO und einem strukturiertem AD nicht erforderlich sein
Gruß
Doskias
Es ist eine Benutzerkonfiguration, die nur für die Benutzer gilt. System Accounts sind lokale Accounts, da greift die GPO nicht, da die nicht in der OU sein werden. Für Domainadmins greift sie, wenn die in der gleichen OU wie deine Schüler sind, was hoffentlich nicht der Fall ist.
Ansonsten: GPO-erstellen, authentifizierten Benutzer im Sicherheitsfilter rauswerfen, authentifizierten Benutzer in Delegierung mit leserechte hinzufügen, Testbenutzer oder ganze Benutzergruppe im Sicherheitsfilter hinzufügen. Sollte aber bei der GPO und einem strukturiertem AD nicht erforderlich sein
Gruß
Doskias
Wo die Gruppen drin sind ist total egal. Es geht darum wo die User drin sind. Da wo die User drin sind , da muss die GPO und die wird dann auf alle User angewendet, es sei denn du änderst den Sicherheitsfilter.
Prinzipiell kannst du dir so viele OUs bauen wie du willst. Aber: jeder User kann nur in einer OU gleichzeitig sein. Und wenn du User verschiebst, dann kann es sein, dass Skripte oder Programme nicht mehr funktionieren, da die die User in spezifischen OUs suchen, wo der User dann halt nicht mehr ist. Da dir offenbar der Gesamtüberblick fehlt, würde ich dir raten die Finger von der Neustrukturierung des ADs zu lassen.
Generell solltest du dich mal schlau lesen, wie GPOs funktionieren und wie sie aufgebaut sind. Dann wird sich deine Frage auch beantworten wo du es eintragen musst. Ggf. hol dir doch deinen Dienstleister dazu (oder einen anderen). Das was du vorhast ist kein Hexenwerk und schneller erledigt als du Zeit hier im Forum brauchst .
Also:
Schritt 1: Mach dich schlau was GPOs sind, wie sie aufgebaut sind und wie man sie konfiguriert
Schritt 2: Konfiguriere die GPO für einen Test-Benutzer
Schritt 3: Roll die GPO auf alle User aus, die sie haben sollen.
Google kennt viele gute Seiten, die dir erklären wie man eine GPO aufbaut. Es wäre mir jetzt zu mühsam, das ganze hier noch mal abzutippen oder reinzukopieren
Gruß
Doskias
Prinzipiell kannst du dir so viele OUs bauen wie du willst. Aber: jeder User kann nur in einer OU gleichzeitig sein. Und wenn du User verschiebst, dann kann es sein, dass Skripte oder Programme nicht mehr funktionieren, da die die User in spezifischen OUs suchen, wo der User dann halt nicht mehr ist. Da dir offenbar der Gesamtüberblick fehlt, würde ich dir raten die Finger von der Neustrukturierung des ADs zu lassen.
Generell solltest du dich mal schlau lesen, wie GPOs funktionieren und wie sie aufgebaut sind. Dann wird sich deine Frage auch beantworten wo du es eintragen musst. Ggf. hol dir doch deinen Dienstleister dazu (oder einen anderen). Das was du vorhast ist kein Hexenwerk und schneller erledigt als du Zeit hier im Forum brauchst .
Also:
Schritt 1: Mach dich schlau was GPOs sind, wie sie aufgebaut sind und wie man sie konfiguriert
Schritt 2: Konfiguriere die GPO für einen Test-Benutzer
Schritt 3: Roll die GPO auf alle User aus, die sie haben sollen.
Google kennt viele gute Seiten, die dir erklären wie man eine GPO aufbaut. Es wäre mir jetzt zu mühsam, das ganze hier noch mal abzutippen oder reinzukopieren
Gruß
Doskias
Zitat von @DerWoWusste:
Hier liegt ein simpler Fehler vor.
Nur Admins könne das WLAN-Passwort auslesen, es sei denn, du hast es mit dem Nutzerkonto der Kinder eigenhändig eingegeben, dann kann deren Konto es auch lesen.
Also: pw im Kindernutzerkonto löschen, als Admin neu eingeben, fertig.
Hier liegt ein simpler Fehler vor.
Nur Admins könne das WLAN-Passwort auslesen, es sei denn, du hast es mit dem Nutzerkonto der Kinder eigenhändig eingegeben, dann kann deren Konto es auch lesen.
Also: pw im Kindernutzerkonto löschen, als Admin neu eingeben, fertig.
Ich vermute das eingesetzt OPSI verteilt das Kennwort unter dem Benutzerkonto.
Ich kann DWWs Aussage zumindest bestätigen. Wenn ich es als Admin eingebe und dann mit einem nicht-Adminkonto auslese, dann erhalte ich nur "vorhanden" beim Sicherheitsschlüssel.