12
Zugriff auf Aufgabenplanung einschränken
Hallo zusammen
Ich habe Windows 10 Pro und möchte den Zugriff auf die Aufgabenplanung einschränken.
Nun habe ich folgende lokale Richtlinie definiert, jedoch kann ich immer noch eine Aufgabe erstellen oder löschen.
Ich habe auch mal andere lokale Richtlinien versucht zu aktivieren, jedoch werden auch diese nicht aktiviert.
Was mache isch falsch?
Danke für eure Hilfe.
Gruss Martin
Ich habe Windows 10 Pro und möchte den Zugriff auf die Aufgabenplanung einschränken.
Nun habe ich folgende lokale Richtlinie definiert, jedoch kann ich immer noch eine Aufgabe erstellen oder löschen.
Ich habe auch mal andere lokale Richtlinien versucht zu aktivieren, jedoch werden auch diese nicht aktiviert.
Was mache isch falsch?
Danke für eure Hilfe.
Gruss Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 397398
Url: https://administrator.de/contentid/397398
Printed on: May 15, 2024 at 05:05 o'clock
12 Comments
Latest comment
Hi.
Wenn Du lokal mal mit
auf einem elevated command prompt prüfst, was wirklich greift, dann sehen wir weiter.
Wenn Du lokal mal mit
gpresult /h %temp%\results.html & %temp%\results.html
Ach Gott... es ist viel simpler. Lies mal die Bescreibung der GPO: das ist nur anwendbar auf Win2k, 2003 und xp.
Somit bleibt dir nur, die ACLs per GPO anzupassen: Dazu einfach die ACL auf c:\windows\System32\Tasks ändern (Schreibrechte für "authenticated users" entfernen ) -> schon läuft der Exploit nicht mehr. Die ACL könnte ich per GPO verteilen.
Vielen Dank
Grundsätzlich möchte ich ein Programm beim booten ausführen welches der User nicht deaktivierten kann.
Wie könnte ich das sonst lösen?
Grundsätzlich möchte ich ein Programm beim booten ausführen welches der User nicht deaktivierten kann.
Wie könnte ich das sonst lösen?
dazu muss ich noch sagen das es 2 User geben soll:
1. Administrator der alles kann
2. Administrator der alles kann ausser dieses Programm deaktivieren welcher beim booten ausgeführt wird
1. Administrator der alles kann
2. Administrator der alles kann ausser dieses Programm deaktivieren welcher beim booten ausgeführt wird
Zitat von @MartinFo:
dazu muss ich noch sagen das es 2 User geben soll:
1. Administrator der alles kann
2. Administrator der alles kann ausser dieses Programm deaktivieren welcher beim booten ausgeführt wird
Meinst du mit Administrator einen lokalen Admin der jeweiligen Maschine? Dann wäre das nämlich Blösinn denn ein Admin bleibt ein Admin bleibt ein Admin .... der alles was du konfigurierst wieder rückgängig machen kann!dazu muss ich noch sagen das es 2 User geben soll:
1. Administrator der alles kann
2. Administrator der alles kann ausser dieses Programm deaktivieren welcher beim booten ausgeführt wird
Die Tasks sind Dateien im Windows Tasks-Verzeichnis (C:\Windows\system32\Tasks). Wenn du also im Aufgabenplaner bestimme Aufgaben mit anderen Rechten versehen willst musst du dort entsprechende Dateisystem-ACLs setzen.
Aber wie gesagt, geht es um lokale Administratoren des Clients kannst du ändern was du willst wenn beide lokale Admins sind, denn ein lokaler Admin kann sich immer wieder die erforderlichen Rechte beschaffen!
Solange das normale User der Maschine oder Domainmember sind die keine lokalen Admins sind , s. Möglichkeit über die Dateisystem-ACLs oben.
Grundsätzlich möchte ich ein Programm beim booten ausführen welches der User nicht deaktivierten kann.
Würde ich ein GPO-Startskript nutzen, das wird mit Systemrechten schon vor dem Login ausgeführt.Gruß A.
Jou, Admins kannst Du nicht wirksam beschränken.
Vielen Dank für die aufschlussreichen Antworten.
Dann werde ich wohl ein AD Server einsetzen müssen.
Würde es funktionieren wenn ich folgendes tue?
1. den AD Server starte um den Clients die GPOs zuzuweisen
2. der AD Server nachher nie mehr läuft
Dann werde ich wohl ein AD Server einsetzen müssen.
Würde es funktionieren wenn ich folgendes tue?
1. den AD Server starte um den Clients die GPOs zuzuweisen
2. der AD Server nachher nie mehr läuft
Moin,
Gruß
Zitat von @MartinFo:
Würde es funktionieren wenn ich folgendes tue?
1. den AD Server starte um den Clients die GPOs zuzuweisen
2. der AD Server nachher nie mehr läuft
nö! Das Anmelden würde irgendwann fehl schlagen.Würde es funktionieren wenn ich folgendes tue?
1. den AD Server starte um den Clients die GPOs zuzuweisen
2. der AD Server nachher nie mehr läuft
Gruß
Moin
Das was @Kraemer schreibt, gilt auch noch, dass sich irgendwann keiner mehr anmelden kann. Auch würdest du Klimmzüge machen müssen, um DNS vernünftig zum Laufen zu bekommen, wenn dein DC (Domain Controller) eingerichtet ist und der dann nicht läuft.
Zitat von @MartinFo:
Vielen Dank für die aufschlussreichen Antworten.
Dann werde ich wohl ein AD Server einsetzen müssen.
Würde es funktionieren wenn ich folgendes tue?
1. den AD Server starte um den Clients die GPOs zuzuweisen
2. der AD Server nachher nie mehr läuft
Nein, denn wenn der User lokaler Admin ist, kann er an der Kiste weiterhin alles anpassen, was er möchte.Vielen Dank für die aufschlussreichen Antworten.
Dann werde ich wohl ein AD Server einsetzen müssen.
Würde es funktionieren wenn ich folgendes tue?
1. den AD Server starte um den Clients die GPOs zuzuweisen
2. der AD Server nachher nie mehr läuft
Das was @Kraemer schreibt, gilt auch noch, dass sich irgendwann keiner mehr anmelden kann. Auch würdest du Klimmzüge machen müssen, um DNS vernünftig zum Laufen zu bekommen, wenn dein DC (Domain Controller) eingerichtet ist und der dann nicht läuft.
Zitat von @MartinFo:
Würde es funktionieren wenn ich folgendes tue?
1. den AD Server starte um den Clients die GPOs zuzuweisen
2. der AD Server nachher nie mehr läuft
Würde es funktionieren wenn ich folgendes tue?
1. den AD Server starte um den Clients die GPOs zuzuweisen
2. der AD Server nachher nie mehr läuft
Witzbold
. Freitag kommt erst noch ...Nimm den Usern die Admin-Rechte.
Ich erkläre mal noch genau warum ich das mache:
Wir haben Programmierer welche Industrieanlagen programmieren und die auf der ganzen Welt zu Kunden reisen wo es möglicherweise kein Internet gibt.
Diese Programmieren müssen auch mal selbst eine Software installieren können da es viel zu aufwändig wäre wenn sie jedesmal das IT fragen müssen ob Sie eine Software installieren können.
Die Programmierer arbeiten teilweise auch am Wochenende und in anderen Zeitzonen.
Nun arbeiten diese mit einer VM (VMware Player) auf welcher sie dann Admin Rechte haben.
Das Problem ist das ich verhindern möchte das die VM kopiert werden kann (weil da Lizenzen drauf sind)
Nun hatte ich die Idee mit einem Startup Skript in der VM welches auf dem Host PC z.B. ein Zertifikat überprüft damit die VM nicht auf einem Fremd PC gestartet werden kann.
Wir haben Programmierer welche Industrieanlagen programmieren und die auf der ganzen Welt zu Kunden reisen wo es möglicherweise kein Internet gibt.
Diese Programmieren müssen auch mal selbst eine Software installieren können da es viel zu aufwändig wäre wenn sie jedesmal das IT fragen müssen ob Sie eine Software installieren können.
Die Programmierer arbeiten teilweise auch am Wochenende und in anderen Zeitzonen.
Nun arbeiten diese mit einer VM (VMware Player) auf welcher sie dann Admin Rechte haben.
Das Problem ist das ich verhindern möchte das die VM kopiert werden kann (weil da Lizenzen drauf sind)
Nun hatte ich die Idee mit einem Startup Skript in der VM welches auf dem Host PC z.B. ein Zertifikat überprüft damit die VM nicht auf einem Fremd PC gestartet werden kann.
