Wie domänen Benutzer lokal einschränken
Hallo,
folgendes Problem. In meiner Firma arbeiten viele Mitarbeiter mit Notebooks die diese auch mit nachhause bzw auf Dienstreise nehmen.
Da wir zum Teil Programme haben die lokal Adminrechte vorraussetzen muss ich ja dem jeweiligen Domänennutzer lokal adminrechte geben.
Was mich mittlerweile ziemlich stört und auch die Fehlersuche zum Teil erheblich behindert ist das die User dann antürlich alles ändern
können. sprich dienste, Desktop themes usw. Auch werden Spiele installiert usw. Meine frage ist wie kann ich die Domänennutzer
trotz lokalen Adminrechten einschränken?! Windows SteadyState ist mir da ein Begriff jedoch schaue ich da nicht durch wie ich das
auf DomänenNutzer anwenden kann.
Vielleicht habt ihr ja ein Lösung
Grüße
Matthias
folgendes Problem. In meiner Firma arbeiten viele Mitarbeiter mit Notebooks die diese auch mit nachhause bzw auf Dienstreise nehmen.
Da wir zum Teil Programme haben die lokal Adminrechte vorraussetzen muss ich ja dem jeweiligen Domänennutzer lokal adminrechte geben.
Was mich mittlerweile ziemlich stört und auch die Fehlersuche zum Teil erheblich behindert ist das die User dann antürlich alles ändern
können. sprich dienste, Desktop themes usw. Auch werden Spiele installiert usw. Meine frage ist wie kann ich die Domänennutzer
trotz lokalen Adminrechten einschränken?! Windows SteadyState ist mir da ein Begriff jedoch schaue ich da nicht durch wie ich das
auf DomänenNutzer anwenden kann.
Vielleicht habt ihr ja ein Lösung
Grüße
Matthias
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 91292
Url: https://administrator.de/forum/wie-domaenen-benutzer-lokal-einschraenken-91292.html
Ausgedruckt am: 25.12.2024 um 04:12 Uhr
16 Kommentare
Neuester Kommentar
Moin,
lokale Adminrechte in Verbindung mit Notebooks - ergo XP im Einsatz?
Würdest du bitte die Frage umformulieren und explizit die Programme erwähnen, die die Kollegen auf den Notebooks benutzen?
Dann kann dir besser geholfen werden.
Stichwort - CACLS.exe und Rechte im Programmordner auf Authentifizierte Benutzer Write setzen sowie Schreibrechte auf bestimmte Regschlüssel - sollten dir sagen, warauf ich hinaus will.
lokale Adminrechte in Verbindung mit Notebooks - ergo XP im Einsatz?
Würdest du bitte die Frage umformulieren und explizit die Programme erwähnen, die die Kollegen auf den Notebooks benutzen?
Dann kann dir besser geholfen werden.
Stichwort - CACLS.exe und Rechte im Programmordner auf Authentifizierte Benutzer Write setzen sowie Schreibrechte auf bestimmte Regschlüssel - sollten dir sagen, warauf ich hinaus will.
Ich denke Timo wollte wohl eher darauf hinaus, dass nur die wenigsten Programme wirklich Adminrechte benötigen. Bei den meisten liegen die Probleme einfach darin begründet, dass sie irgendwo was hinschreiben wollen was normalerweise nur ein Admin darf.
Wenn man diese Orte also kennt kann man dem Normaluser dort Schreibrechte erteilen und schon laufen viele Programme die vormals Adminrechte benötigten.
Dann kannst du die User aus der lokalen Admingruppe rausnehmen und dein Problem hat sich in Luft aufgelöst.
Manuel
Wenn man diese Orte also kennt kann man dem Normaluser dort Schreibrechte erteilen und schon laufen viele Programme die vormals Adminrechte benötigten.
Dann kannst du die User aus der lokalen Admingruppe rausnehmen und dein Problem hat sich in Luft aufgelöst.
Manuel
Moin
Welche Funktionen genau.
Die meisten lassen sich (wie Timo schon erwähnte) mit dem Entzug von Rechten auf einige Verz., Dateien bzw. Regschüssel sperren.
Unsere NB USer werden per GPO als Hauptbenutzer auf den Notebooks ausgewiesen.
Zusätzlich erhalten Sie einen lokalen Admin Account.
Und ganz wichtig: Wenn Sie zuviel herumspielen und irgendwelche Probleme auftreten, knallen wir da einfach das Standardimage rüber.
Bis jetzt sind alle Spielkinder spätestens nach dem 3. Verlust ihrer ach so wichtigen Spielereien wesentlich ruhiger geworden.
Gruß L.
Welche Funktionen genau.
Die meisten lassen sich (wie Timo schon erwähnte) mit dem Entzug von Rechten auf einige Verz., Dateien bzw. Regschüssel sperren.
Unsere NB USer werden per GPO als Hauptbenutzer auf den Notebooks ausgewiesen.
Zusätzlich erhalten Sie einen lokalen Admin Account.
Und ganz wichtig: Wenn Sie zuviel herumspielen und irgendwelche Probleme auftreten, knallen wir da einfach das Standardimage rüber.
Bis jetzt sind alle Spielkinder spätestens nach dem 3. Verlust ihrer ach so wichtigen Spielereien wesentlich ruhiger geworden.
Gruß L.
Moin und nachträglich willkommen im Club....
Wenn du meinst.....
Nur mal ein klitschkokleines was es mit "Adminrechten" auf sich hat.
Einem "Admin" Rechte wegzunehmen - ist so ziemlich das komplizierteste, was es gibt. Dagegen ist das obige Beispiel "Peanuts".
Und wie sich ein Admin diese Rechte auch wiederholen kann, das leichteste. - Zur Not einfach - indem er einen neuen Admin anlegt.
Es geht nicht ohne lokale Adminrechte glaub mir mache das auch nicht erst seit gestern.
Wenn du meinst.....
Nur mal ein klitschkokleines was es mit "Adminrechten" auf sich hat.
Einem "Admin" Rechte wegzunehmen - ist so ziemlich das komplizierteste, was es gibt. Dagegen ist das obige Beispiel "Peanuts".
Und wie sich ein Admin diese Rechte auch wiederholen kann, das leichteste. - Zur Not einfach - indem er einen neuen Admin anlegt.
ich will gerne ganz gezielt rechte beschränken... weil per Richtlinie beschneide ich zuviel.
Auch dafür brauch man Zeit und nicht zuknapp.
Wenn Die User lokale Adminrechte haben sind Richtlinien dein einziges Mittel.
Du machst es Dir leichter wenn Du die Rechte erste einschränkst und dann einzelne Funktionen freigibst.
Gruß L.
Servus Logan00,
ne sorry - genau andersherum - Rechte geben und Adminrechte wegnehmen.
Die meisten lassen sich (wie Timo schon erwähnte) mit dem Entzug von Rechten auf einige Verz., Dateien bzw. Regschüssel sperren.
ne sorry - genau andersherum - Rechte geben und Adminrechte wegnehmen.
Hallo!
Ich habe ein ähnliches Problem.
Unsere Schüler brauchen lokal Rechte um bestimmte Programme auszuführen. Adminrechte sind nicht notwendig aber lokale Hauptbenutzer müssen sie sein. Dadurch dürfen sie aber viele Sachen machen, die icheigentlich nicht erlauben möchte.
Bin hier im Forum nun auf das Programm SteadyState aufmerksam geworden, was mir sehr gut gefällt und genau das macht, was ich mir wünsche. Außerdem kann man die Einstellungen schnell auf alle Computer im Netz übertragen.
Allerdings habe ich es nicht geschafft Einstellungen für Domänenbenutzer zu machen. Es geht anscheinend nur bei lokalen Benutzern.
Oder habe ich da was übersehen?
Wir haben auch noch einen alten Windows NT Server, also kann ich noch nicht mit Gruppenrichtlinien arbeiten.
lg und danke!
Ich habe ein ähnliches Problem.
Unsere Schüler brauchen lokal Rechte um bestimmte Programme auszuführen. Adminrechte sind nicht notwendig aber lokale Hauptbenutzer müssen sie sein. Dadurch dürfen sie aber viele Sachen machen, die icheigentlich nicht erlauben möchte.
Bin hier im Forum nun auf das Programm SteadyState aufmerksam geworden, was mir sehr gut gefällt und genau das macht, was ich mir wünsche. Außerdem kann man die Einstellungen schnell auf alle Computer im Netz übertragen.
Allerdings habe ich es nicht geschafft Einstellungen für Domänenbenutzer zu machen. Es geht anscheinend nur bei lokalen Benutzern.
Oder habe ich da was übersehen?
Wir haben auch noch einen alten Windows NT Server, also kann ich noch nicht mit Gruppenrichtlinien arbeiten.
lg und danke!
Moin Moin
Falls Du mehr willst:
Gruß L.
Allerdings habe ich es nicht geschafft Einstellungen für Domänenbenutzer zu machen. Es geht anscheinend nur bei lokalen Benutzern.
Nun Ja, nur für diesen Zweck wurdes das Prog. auch programmiert.Falls Du mehr willst:
Wir haben auch noch einen alten Windows NT Server, also kann ich noch nicht mit Gruppenrichtlinien arbeiten.
In dieser Feststellung liegt auch die Lösung.Gruß L.
hi, danke für die Antwort!
Heißt das also, dass SteadyState definitiv nur mit lokalen Benutzern umgehen kann? Dann brauch ich nicht weiter suchen.
Kann ich irgendwie die Domänenbenutzer auch als lokale Benutzer anlegen? Der Domänenbenutzer schueler ist zwar der lokalen Gruppe Hauptbenutzer hinzugefügt aber er erscheint nicht in der Benutzerliste also auch nicht in SteadyState.
Mir gehts hauptsächlich darum, dass mit dem Schülerkonto die wichtigen Windows updates nicht zu installieren sind, also muss ich mich dann jedesmal als Administrator einloggen um das zu machen. Mit SteadyState kann man das ja zulassen.
Gibts dafür eine andere Lösung?
lg und danke!
Heißt das also, dass SteadyState definitiv nur mit lokalen Benutzern umgehen kann? Dann brauch ich nicht weiter suchen.
Kann ich irgendwie die Domänenbenutzer auch als lokale Benutzer anlegen? Der Domänenbenutzer schueler ist zwar der lokalen Gruppe Hauptbenutzer hinzugefügt aber er erscheint nicht in der Benutzerliste also auch nicht in SteadyState.
Mir gehts hauptsächlich darum, dass mit dem Schülerkonto die wichtigen Windows updates nicht zu installieren sind, also muss ich mich dann jedesmal als Administrator einloggen um das zu machen. Mit SteadyState kann man das ja zulassen.
Gibts dafür eine andere Lösung?
lg und danke!