6
XP Pro, NT4 Server, Nutzerrechte, Softwareinstallation
Hallo alle;
als Eigentlich-Unix-Admin kämpfe ich mich derzeit mit mehr oder weniger großer Begeisterung durch ein Netzwerk mit Windows NT4 - Servern und XP Pro - Clients. Momentan ärgert mich eigentlich ein konkretes Problem, welches ich nicht sinnvoll beseitigt bekomme:
Situation: Im Netz existiert eine NT4-Domäne, an der sich die Nutzer der XP-Clients anmelden respektive die für die Authentifizierung zuständig ist. Die Nutzer sind Domänennutzer, zudem ist die Gruppe der Domänennutzer Teil der lokalen Nutzergruppe auf den XP-Maschinen.
Problem: Ich will die Nutzer von der Installation von Software auf den Maschinen abhalten. Man sollte meinen, daß das trivial ist, aber es geht trotzdem nicht. Verschiedene Pakete (Acrobat Reader, WinZip, ...) verlangen zu Beginn nach Admin-Privilegien und stoppen das Setup gegebenenfalls. Andere Software (insbesondere das Bild.de - Online-Radio, welches sich hier gerade wie ein Virus verbreitet) lassen sich problemlos durchinstallieren. Was mich am meisten irritiert: Die Benutzer haben (laut ACL) keinen Schreibzugriff auf C:\Programme. Das hält mich (als Nutzer angemeldet) trotzdem nicht davon ab, unter C:\Programme nach Gutdünken Ordner und Dateien anzulegen, zu modifizieren, zu löschen, ...
Fragen also:
(a) Bin ich zu dumm oder verstehe ich die Dinge nur falsch?
(b) Wo klemmt die Säge / mein Verständnis hier?
(c) Kann mir jemand ein gutes Tutorial / Crash-Kurs / Buch zu Rechte- und Sicherheitskonzept in XP Pro nahelegen?
Danke und tschö,
Kris
als Eigentlich-Unix-Admin kämpfe ich mich derzeit mit mehr oder weniger großer Begeisterung durch ein Netzwerk mit Windows NT4 - Servern und XP Pro - Clients. Momentan ärgert mich eigentlich ein konkretes Problem, welches ich nicht sinnvoll beseitigt bekomme:
Situation: Im Netz existiert eine NT4-Domäne, an der sich die Nutzer der XP-Clients anmelden respektive die für die Authentifizierung zuständig ist. Die Nutzer sind Domänennutzer, zudem ist die Gruppe der Domänennutzer Teil der lokalen Nutzergruppe auf den XP-Maschinen.
Problem: Ich will die Nutzer von der Installation von Software auf den Maschinen abhalten. Man sollte meinen, daß das trivial ist, aber es geht trotzdem nicht. Verschiedene Pakete (Acrobat Reader, WinZip, ...) verlangen zu Beginn nach Admin-Privilegien und stoppen das Setup gegebenenfalls. Andere Software (insbesondere das Bild.de - Online-Radio, welches sich hier gerade wie ein Virus verbreitet) lassen sich problemlos durchinstallieren. Was mich am meisten irritiert: Die Benutzer haben (laut ACL) keinen Schreibzugriff auf C:\Programme. Das hält mich (als Nutzer angemeldet) trotzdem nicht davon ab, unter C:\Programme nach Gutdünken Ordner und Dateien anzulegen, zu modifizieren, zu löschen, ...
Fragen also:
(a) Bin ich zu dumm oder verstehe ich die Dinge nur falsch?
(b) Wo klemmt die Säge / mein Verständnis hier?
(c) Kann mir jemand ein gutes Tutorial / Crash-Kurs / Buch zu Rechte- und Sicherheitskonzept in XP Pro nahelegen?
Danke und tschö,
Kris
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5152
Url: https://administrator.de/contentid/5152
Ausgedruckt am: 15.11.2024 um 15:11 Uhr
6 Kommentare
Neuester Kommentar
In welcher lokalen Gruppe sind denn Deine User "Benutzer" der "Hauptbenutzer"? Normalerweise sollten sie als "Benutzer" diese Rechte nicht haben ...
Gruß
Atti
Gruß
Atti
Die Nutzer sind allesamt in der lokalen Gruppe "Benutzer". Allerdings scheint das völlig bedeutungslos zu sein; selbst wenn die Domänen-Benutzer in _keiner_ lokalen Gruppe sind, kann ich als Domänen-Benutzer Software installieren oder unter C:\Programme respektive C:\Windows\system32 Ordner erstellen, löschen, Dateien schreiben oder löschen. :/
Cheers,
Kris
Cheers,
Kris
Hallo Kris!
Zwar kenne ich XP-Pro nicht, aber das Problem habe ich auch unter NT 4 gehabt.
Es gibt meines Wissens keine Lösung dafür! Das Betriebssystem ist so aufgebaut, daß der Benutzer sehr viele Rechte hat und auch haben muß, weil viele (insb. microsoftsche) Programme sonst nicht laufen.
K3
Zwar kenne ich XP-Pro nicht, aber das Problem habe ich auch unter NT 4 gehabt.
Es gibt meines Wissens keine Lösung dafür! Das Betriebssystem ist so aufgebaut, daß der Benutzer sehr viele Rechte hat und auch haben muß, weil viele (insb. microsoftsche) Programme sonst nicht laufen.
K3
Welche Rechte hat denn ein Benutzer z.B. auf die Verzeichnisse "C:\Programme\MS Office" und "C:\Windows\system32" - bei mir dürfen sie nur (bei "Erweitert"-er Ansicht):
1. Dateien ausführen
2. Ordner listen
3. Attribute lesen
4. Erweiterte Attribute lesen
5. Berechtigungen lesen
daran haben wir aber auch nichts geändert (WinXP Pro - Standard)
Gruß
Atti
1. Dateien ausführen
2. Ordner listen
3. Attribute lesen
4. Erweiterte Attribute lesen
5. Berechtigungen lesen
daran haben wir aber auch nichts geändert (WinXP Pro - Standard)
Gruß
Atti
Hallo Atti;
...exakt so, wie die Rechte bei Dir eingestellt sind, ist das auch bei uns der Fall (an diesen Stellen XP-Pro - Standard ohne lokale Modifikationen). Somit ist die Situation offensichtlich die, daß die Domain-Nutzerdefinitionen _alle_ lokalen Einstellungen überschreiben... was die Frage nahelegt, ob sich überhaupt irgendeine Möglichkeit bietet, in dieser Konstellation wirksame Beschränkung der Nutzerrechte zu betreiben... :/
Anyhow, danke und bye,
Kris
...exakt so, wie die Rechte bei Dir eingestellt sind, ist das auch bei uns der Fall (an diesen Stellen XP-Pro - Standard ohne lokale Modifikationen). Somit ist die Situation offensichtlich die, daß die Domain-Nutzerdefinitionen _alle_ lokalen Einstellungen überschreiben... was die Frage nahelegt, ob sich überhaupt irgendeine Möglichkeit bietet, in dieser Konstellation wirksame Beschränkung der Nutzerrechte zu betreiben... :/
Anyhow, danke und bye,
Kris
Es ist insofern richtig, dass Domänenritlinien lokale Richtlinien überschreiben, wenn sie definiert sind, d.h., nur, wenn eine Richtlinie in der Domäne auf "enabled" oder "disabled" steht, übeschreibt sie die lokale Richtlinie, nicht, wenn sie auf "not configured" steht ...
Gruß
Atti
Gruß
Atti
