intrepid
Goto Top

Wie domänen Benutzer lokal einschränken

Hallo,

folgendes Problem. In meiner Firma arbeiten viele Mitarbeiter mit Notebooks die diese auch mit nachhause bzw auf Dienstreise nehmen.
Da wir zum Teil Programme haben die lokal Adminrechte vorraussetzen muss ich ja dem jeweiligen Domänennutzer lokal adminrechte geben.
Was mich mittlerweile ziemlich stört und auch die Fehlersuche zum Teil erheblich behindert ist das die User dann antürlich alles ändern
können. sprich dienste, Desktop themes usw. Auch werden Spiele installiert usw. Meine frage ist wie kann ich die Domänennutzer
trotz lokalen Adminrechten einschränken?! Windows SteadyState ist mir da ein Begriff jedoch schaue ich da nicht durch wie ich das
auf DomänenNutzer anwenden kann.
Vielleicht habt ihr ja ein Lösung

Grüße

Matthias

Content-ID: 91292

Url: https://administrator.de/forum/wie-domaenen-benutzer-lokal-einschraenken-91292.html

Ausgedruckt am: 25.12.2024 um 04:12 Uhr

60730
60730 04.07.2008 um 11:12:45 Uhr
Goto Top
Moin,

lokale Adminrechte in Verbindung mit Notebooks - ergo XP im Einsatz?

Würdest du bitte die Frage umformulieren und explizit die Programme erwähnen, die die Kollegen auf den Notebooks benutzen?

Dann kann dir besser geholfen werden.

Stichwort - CACLS.exe und Rechte im Programmordner auf Authentifizierte Benutzer Write setzen sowie Schreibrechte auf bestimmte Regschlüssel - sollten dir sagen, warauf ich hinaus will.
Intrepid
Intrepid 04.07.2008 um 11:23:13 Uhr
Goto Top
Hallo,

Ja es geht vorrangig um XP. Es geht auch weniger um die Programme sondern um das sperren von diversen Funktionen trotz lokaler Adminrechte.

LG Matthias
manuel-r
manuel-r 04.07.2008 um 11:28:29 Uhr
Goto Top
Ich denke Timo wollte wohl eher darauf hinaus, dass nur die wenigsten Programme wirklich Adminrechte benötigen. Bei den meisten liegen die Probleme einfach darin begründet, dass sie irgendwo was hinschreiben wollen was normalerweise nur ein Admin darf.
Wenn man diese Orte also kennt kann man dem Normaluser dort Schreibrechte erteilen und schon laufen viele Programme die vormals Adminrechte benötigten.
Dann kannst du die User aus der lokalen Admingruppe rausnehmen und dein Problem hat sich in Luft aufgelöst.

Manuel
Logan000
Logan000 04.07.2008 um 11:34:29 Uhr
Goto Top
Moin

Welche Funktionen genau.
Die meisten lassen sich (wie Timo schon erwähnte) mit dem Entzug von Rechten auf einige Verz., Dateien bzw. Regschüssel sperren.

Unsere NB USer werden per GPO als Hauptbenutzer auf den Notebooks ausgewiesen.
Zusätzlich erhalten Sie einen lokalen Admin Account.

Und ganz wichtig: Wenn Sie zuviel herumspielen und irgendwelche Probleme auftreten, knallen wir da einfach das Standardimage rüber.

Bis jetzt sind alle Spielkinder spätestens nach dem 3. Verlust ihrer ach so wichtigen Spielereien wesentlich ruhiger geworden.

Gruß L.
Intrepid
Intrepid 04.07.2008 um 11:35:24 Uhr
Goto Top
ich würde kaum hier fragen wenn das gehen würde. Es geht nicht ohne lokale Adminrechte glaub mir mache das auch nicht erst seit gestern. darum geht es ja auch nicht.
Ich will gerne die Rechte eindämmen trotz lokaler Adminrechte, so in der art wie SteadyState. Will halt Rechte eindämmen wie Themes tauschen, hintergrundbild, das sie dienste wieder starten dürfen usw.
manuel-r
manuel-r 04.07.2008 um 11:36:03 Uhr
Goto Top
Bis jetzt sind alle Spielkinder spätestens nach dem 3. Verlust ihrer ach so wichtigen Spielereien wesentlich ruhiger geworden.
Das nennt sich, glaube ich, Erziehung face-wink
Intrepid
Intrepid 04.07.2008 um 11:41:07 Uhr
Goto Top
ja dazu braucht man zeit und will erst garkeine spielkinder haben. das wird bei ca 300 Notebookusern etwas aufwändig.
Ich will gerne ganz gezielt rechte beschränken... weil per Richtlinie beschneide ich zuviel.
60730
60730 04.07.2008, aktualisiert am 18.10.2012 um 18:35:56 Uhr
Goto Top
Moin und nachträglich willkommen im Club....

Es geht nicht ohne lokale Adminrechte glaub mir mache das auch nicht erst seit gestern.

Wenn du meinst.....

Nur mal ein klitschkokleines was es mit "Adminrechten" auf sich hat.
Einem "Admin" Rechte wegzunehmen - ist so ziemlich das komplizierteste, was es gibt. Dagegen ist das obige Beispiel "Peanuts".
Und wie sich ein Admin diese Rechte auch wiederholen kann, das leichteste. - Zur Not einfach - indem er einen neuen Admin anlegt.
Logan000
Logan000 04.07.2008 um 11:56:30 Uhr
Goto Top
ich will gerne ganz gezielt rechte beschränken... weil per Richtlinie beschneide ich zuviel.

Auch dafür brauch man Zeit und nicht zuknapp.

Wenn Die User lokale Adminrechte haben sind Richtlinien dein einziges Mittel.

Du machst es Dir leichter wenn Du die Rechte erste einschränkst und dann einzelne Funktionen freigibst.

Gruß L.
60730
60730 04.07.2008 um 11:58:35 Uhr
Goto Top
Servus Logan00,

Die meisten lassen sich (wie Timo schon erwähnte) mit dem Entzug von Rechten auf einige Verz., Dateien bzw. Regschüssel sperren.

ne sorry - genau andersherum - Rechte geben und Adminrechte wegnehmen.
Logan000
Logan000 04.07.2008 um 12:14:21 Uhr
Goto Top
gewähren - nehmen - linksrum - rechtsrum - ganz egal.
solange du einen LART hast.

Gruß L.
abraxa
abraxa 17.11.2008 um 19:06:12 Uhr
Goto Top
Hallo!
Ich habe ein ähnliches Problem.
Unsere Schüler brauchen lokal Rechte um bestimmte Programme auszuführen. Adminrechte sind nicht notwendig aber lokale Hauptbenutzer müssen sie sein. Dadurch dürfen sie aber viele Sachen machen, die icheigentlich nicht erlauben möchte.
Bin hier im Forum nun auf das Programm SteadyState aufmerksam geworden, was mir sehr gut gefällt und genau das macht, was ich mir wünsche. Außerdem kann man die Einstellungen schnell auf alle Computer im Netz übertragen.
Allerdings habe ich es nicht geschafft Einstellungen für Domänenbenutzer zu machen. Es geht anscheinend nur bei lokalen Benutzern.
Oder habe ich da was übersehen?
Wir haben auch noch einen alten Windows NT Server, also kann ich noch nicht mit Gruppenrichtlinien arbeiten.

lg und danke!
Logan000
Logan000 18.11.2008 um 14:05:40 Uhr
Goto Top
Moin Moin

Allerdings habe ich es nicht geschafft Einstellungen für Domänenbenutzer zu machen. Es geht anscheinend nur bei lokalen Benutzern.
Nun Ja, nur für diesen Zweck wurdes das Prog. auch programmiert.

Falls Du mehr willst:
Wir haben auch noch einen alten Windows NT Server, also kann ich noch nicht mit Gruppenrichtlinien arbeiten.
In dieser Feststellung liegt auch die Lösung.

Gruß L.
abraxa
abraxa 18.11.2008 um 14:59:41 Uhr
Goto Top
hi, danke für die Antwort!
Heißt das also, dass SteadyState definitiv nur mit lokalen Benutzern umgehen kann? Dann brauch ich nicht weiter suchen.
Kann ich irgendwie die Domänenbenutzer auch als lokale Benutzer anlegen? Der Domänenbenutzer schueler ist zwar der lokalen Gruppe Hauptbenutzer hinzugefügt aber er erscheint nicht in der Benutzerliste also auch nicht in SteadyState.
Mir gehts hauptsächlich darum, dass mit dem Schülerkonto die wichtigen Windows updates nicht zu installieren sind, also muss ich mich dann jedesmal als Administrator einloggen um das zu machen. Mit SteadyState kann man das ja zulassen.
Gibts dafür eine andere Lösung?

lg und danke!
Logan000
Logan000 19.11.2008 um 11:43:14 Uhr
Goto Top
Moin Moin

Hmm ein WSUS kommt wegen NT4 wohl nicht in Frage (genau weiß ich es allerdings nicht).
Nutzt du den Windows Update Dienst oder installiert Du die Updates manuell?

Gruß L.
abraxa
abraxa 19.11.2008 um 13:20:30 Uhr
Goto Top
Die Updates kommen zwar automatisch aber man kann sie nur als Administrator installieren, weil eben bei den Schülern die Rechte fehlen. Da kommt dann immer die Meldung: Sie müssen als Administrator eingeloggt sein um ...

lg