kawazu
Goto Top

XP Pro, NT4 Server, Nutzerrechte, Softwareinstallation

Hallo alle;

als Eigentlich-Unix-Admin kämpfe ich mich derzeit mit mehr oder weniger großer Begeisterung durch ein Netzwerk mit Windows NT4 - Servern und XP Pro - Clients. Momentan ärgert mich eigentlich ein konkretes Problem, welches ich nicht sinnvoll beseitigt bekomme:

Situation: Im Netz existiert eine NT4-Domäne, an der sich die Nutzer der XP-Clients anmelden respektive die für die Authentifizierung zuständig ist. Die Nutzer sind Domänennutzer, zudem ist die Gruppe der Domänennutzer Teil der lokalen Nutzergruppe auf den XP-Maschinen.

Problem: Ich will die Nutzer von der Installation von Software auf den Maschinen abhalten. Man sollte meinen, daß das trivial ist, aber es geht trotzdem nicht. Verschiedene Pakete (Acrobat Reader, WinZip, ...) verlangen zu Beginn nach Admin-Privilegien und stoppen das Setup gegebenenfalls. Andere Software (insbesondere das Bild.de - Online-Radio, welches sich hier gerade wie ein Virus verbreitet) lassen sich problemlos durchinstallieren. Was mich am meisten irritiert: Die Benutzer haben (laut ACL) keinen Schreibzugriff auf C:\Programme. Das hält mich (als Nutzer angemeldet) trotzdem nicht davon ab, unter C:\Programme nach Gutdünken Ordner und Dateien anzulegen, zu modifizieren, zu löschen, ...

Fragen also:
(a) Bin ich zu dumm oder verstehe ich die Dinge nur falsch?
(b) Wo klemmt die Säge / mein Verständnis hier?
(c) Kann mir jemand ein gutes Tutorial / Crash-Kurs / Buch zu Rechte- und Sicherheitskonzept in XP Pro nahelegen?

Danke und tschö,
Kris

Content-ID: 5152

Url: https://administrator.de/forum/xp-pro-nt4-server-nutzerrechte-softwareinstallation-5152.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

Atti58
Atti58 28.12.2004 um 11:01:03 Uhr
Goto Top
In welcher lokalen Gruppe sind denn Deine User "Benutzer" der "Hauptbenutzer"? Normalerweise sollten sie als "Benutzer" diese Rechte nicht haben ...

Gruß

Atti
kawazu
kawazu 28.12.2004 um 11:09:10 Uhr
Goto Top
Die Nutzer sind allesamt in der lokalen Gruppe "Benutzer". Allerdings scheint das völlig bedeutungslos zu sein; selbst wenn die Domänen-Benutzer in _keiner_ lokalen Gruppe sind, kann ich als Domänen-Benutzer Software installieren oder unter C:\Programme respektive C:\Windows\system32 Ordner erstellen, löschen, Dateien schreiben oder löschen. :/

Cheers,
Kris
K3
K3 28.12.2004 um 11:48:15 Uhr
Goto Top
Hallo Kris!

Zwar kenne ich XP-Pro nicht, aber das Problem habe ich auch unter NT 4 gehabt.

Es gibt meines Wissens keine Lösung dafür! Das Betriebssystem ist so aufgebaut, daß der Benutzer sehr viele Rechte hat und auch haben muß, weil viele (insb. microsoftsche) Programme sonst nicht laufen.

K3
Atti58
Atti58 28.12.2004 um 12:47:21 Uhr
Goto Top
Welche Rechte hat denn ein Benutzer z.B. auf die Verzeichnisse "C:\Programme\MS Office" und "C:\Windows\system32" - bei mir dürfen sie nur (bei "Erweitert"-er Ansicht):

1. Dateien ausführen
2. Ordner listen
3. Attribute lesen
4. Erweiterte Attribute lesen
5. Berechtigungen lesen

daran haben wir aber auch nichts geändert (WinXP Pro - Standard)

Gruß

Atti
kawazu
kawazu 29.12.2004 um 13:30:17 Uhr
Goto Top
Hallo Atti;

...exakt so, wie die Rechte bei Dir eingestellt sind, ist das auch bei uns der Fall (an diesen Stellen XP-Pro - Standard ohne lokale Modifikationen). Somit ist die Situation offensichtlich die, daß die Domain-Nutzerdefinitionen _alle_ lokalen Einstellungen überschreiben... was die Frage nahelegt, ob sich überhaupt irgendeine Möglichkeit bietet, in dieser Konstellation wirksame Beschränkung der Nutzerrechte zu betreiben... :/

Anyhow, danke und bye,
Kris
Atti58
Atti58 29.12.2004 um 14:07:36 Uhr
Goto Top
Es ist insofern richtig, dass Domänenritlinien lokale Richtlinien überschreiben, wenn sie definiert sind, d.h., nur, wenn eine Richtlinie in der Domäne auf "enabled" oder "disabled" steht, übeschreibt sie die lokale Richtlinie, nicht, wenn sie auf "not configured" steht ...

Gruß

Atti