7
Windows einrichten, damit kein Admin auf Rechner zugreifen kann
Hallo, hab hier so ne Anforderung von der Geschäftsleitung mit der ich nicht ganz klar komme.
Anforderung: Alle Admins dürfen nicht auf die Platten der Geschäftsführer zugreifen. Also kein C$ oder sonstiges. Hab schon versucht, unter Sicherheit direkt unter C:\ die Gruppe Administratoren einzutragen und den Zugriff verwehren, aber das geht nicht. irgend eine andere idee?
Ich könnte jetzt alle Admin als Benutzer eintragen und Verwehren anklicken, aber der Admin kanns halt immer noch. Den kann man nämlich auch nicht eintragen
Anforderung: Alle Admins dürfen nicht auf die Platten der Geschäftsführer zugreifen. Also kein C$ oder sonstiges. Hab schon versucht, unter Sicherheit direkt unter C:\ die Gruppe Administratoren einzutragen und den Zugriff verwehren, aber das geht nicht. irgend eine andere idee?
Ich könnte jetzt alle Admin als Benutzer eintragen und Verwehren anklicken, aber der Admin kanns halt immer noch. Den kann man nämlich auch nicht eintragen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 35982
Url: https://administrator.de/forum/windows-einrichten-damit-kein-admin-auf-rechner-zugreifen-kann-35982.html
Ausgedruckt am: 13.04.2025 um 05:04 Uhr
7 Kommentare
Neuester Kommentar
hast du schon mal probiert die Administrativen Freigaben C$, evtl. D$ etc. zu entfernen.
Oder benötigt ihr diese für andere Zugriffe ?!?
Die IPC$ musst du vielleicht ja gar nicht löschen, diese ist schließlich für die Remote-Administration (Computerverwaltung, etc.) zuständig.
Wenn du aber die administrativen Freigaben löscht, kannst du auch wieder ganz normale Sicherheitsrechte vergeben (die dann auch funktionieren)
Oder benötigt ihr diese für andere Zugriffe ?!?
Die IPC$ musst du vielleicht ja gar nicht löschen, diese ist schließlich für die Remote-Administration (Computerverwaltung, etc.) zuständig.
Wenn du aber die administrativen Freigaben löscht, kannst du auch wieder ganz normale Sicherheitsrechte vergeben (die dann auch funktionieren)
Hallo,
auf den Rechnern die Domänen-Admins aus der lokale Benutzergruppe der Administratoren löschen.
Den lokalen Administrator aber stehen lassen.
Gruss
auf den Rechnern die Domänen-Admins aus der lokale Benutzergruppe der Administratoren löschen.
Den lokalen Administrator aber stehen lassen.
Gruss
Hallo,
du kannst zwar die administrativen Freigaben, wie bspw. c$ aufheben, sind aber nach einem Neustart des Rechners bzw. Neustart des Server-Dienstes wieder da.
Die administrativen Freigaben benötigt das Betriebssystem primär für Verwaltungsaufgaben und lassen sich demnach nicht auf Dauer deaktivieren.
Gruss
du kannst zwar die administrativen Freigaben, wie bspw. c$ aufheben, sind aber nach einem Neustart des Rechners bzw. Neustart des Server-Dienstes wieder da.
Die administrativen Freigaben benötigt das Betriebssystem primär für Verwaltungsaufgaben und lassen sich demnach nicht auf Dauer deaktivieren.
Gruss
Hallo,
Du kannst dem Admin zwar grundsätzlich die Rechte nehmen, aber als Admin kannst Du Dir diese auch jederzeit wieder selbst geben.
Ich würde der Geschäftsleitung dies versuchen zu erklären.
Klar, dass diese Herren manche Daten gerne sicher wissen wollen ... somit bietet sich Verschlüsselung an. Aber nicht unbedingt wie EFS-Verschlüsselung des Betriebsystems ... denn da gibt es zu viele Fallstricke und wenn man die nicht alle kennt kann es sehr schnell damit enden dass niemand mehr an die Daten kommt.
Das einzig sichere wäre, einen PC der nicht am Netz hängt.
Gruß,
Thomas
Du kannst dem Admin zwar grundsätzlich die Rechte nehmen, aber als Admin kannst Du Dir diese auch jederzeit wieder selbst geben.
Ich würde der Geschäftsleitung dies versuchen zu erklären.
Klar, dass diese Herren manche Daten gerne sicher wissen wollen ... somit bietet sich Verschlüsselung an. Aber nicht unbedingt wie EFS-Verschlüsselung des Betriebsystems ... denn da gibt es zu viele Fallstricke und wenn man die nicht alle kennt kann es sehr schnell damit enden dass niemand mehr an die Daten kommt.
Das einzig sichere wäre, einen PC der nicht am Netz hängt.
Gruß,
Thomas
Danke für die Tips. Hab ihm jetzt mal ne Mail geschickt, dass wir immer ein Hintertürchen haben werden. Habe ihm empfohlen sensible Daten in ein Datensafe wie DriveCrypt zu legen, was er ka drauf hat...
Hi @ all
Den Admin kann man nicht wirklich ausperren.
Man kann nur den "normalen" zugriffsweg unterbinden.
Den jedes "Häckchen" was er setzt, kann er irgendwie wieder rausnehmen.
Theoretisch möglich, aber sehr umständlich wäre noch folgende Lösungsmöglichkeit.
Der Administrator erstellt einen "User" sowie eine "Admingruppe"
Dieser werden über Grüppenrichtlinien alle "nötigen" Rechte gegeben.
Die Geschäftsleitung ändert dann das normale Adminpasswort.
Der Administrator der Firma abeitet von da ab mit dem "abgespekten" admin Account.
Einrichtung sowie Test usw. usw dauert bestimmt ein paar Tage.
Kostet also auch viel Geld.
Das einzigste was Sinn macht ist der Lösungsweg von Superboh.
Mit einer Einschränkung
Es hilft nix, wenn der Geschäftsleitung`s PC ein Standalone Rechner ist.
Wer macht den die Backups ? wo werden Sie verwahrt ?
Der nicht IT`ler von Geschäftsführer soll mit einem USB Stick seine Dokumente hin und her kopieren ? Virenschutz und Uptades auf dem Standalone PC ? Fragen über Fragen *grins*
Ne ne ne das wird GARANTIERT irgendwann schiefgehen.
Sinn macht nur eine Verschlüsselung der Daten.
Schau dir mal dieses Tool an.
http://www.archicrypt.com/SBLiveN.htm
Kostet zwar auch Geld, ist aber bestimmt günstiger und einfacher zu handeln wie der Lösung mit dem beschnittenen Admin.
Gruß Nex
Den Admin kann man nicht wirklich ausperren.
Man kann nur den "normalen" zugriffsweg unterbinden.
Den jedes "Häckchen" was er setzt, kann er irgendwie wieder rausnehmen.
Theoretisch möglich, aber sehr umständlich wäre noch folgende Lösungsmöglichkeit.
Der Administrator erstellt einen "User" sowie eine "Admingruppe"
Dieser werden über Grüppenrichtlinien alle "nötigen" Rechte gegeben.
Die Geschäftsleitung ändert dann das normale Adminpasswort.
Der Administrator der Firma abeitet von da ab mit dem "abgespekten" admin Account.
Einrichtung sowie Test usw. usw dauert bestimmt ein paar Tage.
Kostet also auch viel Geld.
Das einzigste was Sinn macht ist der Lösungsweg von Superboh.
Mit einer Einschränkung
Es hilft nix, wenn der Geschäftsleitung`s PC ein Standalone Rechner ist.
Wer macht den die Backups ? wo werden Sie verwahrt ?
Der nicht IT`ler von Geschäftsführer soll mit einem USB Stick seine Dokumente hin und her kopieren ? Virenschutz und Uptades auf dem Standalone PC ? Fragen über Fragen *grins*
Ne ne ne das wird GARANTIERT irgendwann schiefgehen.
Sinn macht nur eine Verschlüsselung der Daten.
Schau dir mal dieses Tool an.
http://www.archicrypt.com/SBLiveN.htm
Kostet zwar auch Geld, ist aber bestimmt günstiger und einfacher zu handeln wie der Lösung mit dem beschnittenen Admin.
Gruß Nex
ohhh
Da haben wir uns gerade mit ein paar Minuten überschnitten
Noch ein kleiner Nachtrag.
Weise deine Geschätsleitung darauf hin, das sie aber das Passwort aus solchen Softwarepaketen auf einen Zettel schreiben und diesen in einen Tresor / Schliesfach verwahren sollen.
Wollen ja nicht den Teufel an die Wand malen.
Aber stell dir mal vor der Chef fährt vor einen Baum und ist im Koma oder Tod ???
Die Firma "sollte" weiterlaufen was warscheinlich nur mit den Dokumenten aus seinem Bereich geht.
Gruß Nex
Da haben wir uns gerade mit ein paar Minuten überschnitten
Noch ein kleiner Nachtrag.
Weise deine Geschätsleitung darauf hin, das sie aber das Passwort aus solchen Softwarepaketen auf einen Zettel schreiben und diesen in einen Tresor / Schliesfach verwahren sollen.
Wollen ja nicht den Teufel an die Wand malen.
Aber stell dir mal vor der Chef fährt vor einen Baum und ist im Koma oder Tod ???
Die Firma "sollte" weiterlaufen
was warscheinlich nur mit den Dokumenten aus seinem Bereich geht.Gruß Nex
