ComputerBase Menü
Aktuelles

GPO für "Admin light"

D

Die wilde Inge

Lt. Commander
Registriert
Aug. 2009
Beiträge
2.041
Grüße,


ich hätte da mal eine Frage.

Mit localGPO habe ich für Geräte, welche nicht in der Domäne sind, Benutzer-Richtlinien erstellt - klappt auch alles ganz super.

Jetzt gibts die Forderung, dass es auf den Geräten lokale Admins geben soll, mit eingeschränkten Rechten.

Da es nicht möglich ist normalen Nutzern höhere Rechte zu gewähren, muss ich also einen lokalen Admin beschneiden und jetzt wirds kniffelig.

Wenn ich jemanden das Snap-in "lokale Benutzer und Gruppen" entziehe, sieht er das tatsächlich nicht mehr in der 'Verwaltung'. Per CMD.exe und 'net user' kann man aber weiterhin Benutzer anlegen - also völlig witzlos.

Und wenn ich dem Admin das Recht verweigere den GPedit.msc zu nutzen, kann er unter C Windows System32 GroupPolicyUser den Ordner einfach löschen und zack hat der Nutzer auch keine Richtlinien mehr.


Hat jemand eine Idee wie ich es hinkriege, dass ein Admin defintiv keine weiteren Benuztzer anlegen kann und sich auch die eigenen Berechtigung nicht ändert?
 
Ein Admin ist ein Admin, da kann man soviel einschränken wollen wie man will, ein Admin kann sich alles wieder selbst verschaffen.

Grüsse

Gulp
 
Habs.

Ich habe ihm GPedit.msc, 'lokale Benutzer und Gruppen'-Snap-In und CMD gesperrt und dann gescriptet dem Nutzer das 'Ändern'-Recht auf dem o.g. Ordner entzogen. Jetzt kann er ihn weder löschen noch ändern und kann auch die Einstellungen nicht mehr modifizieren. Zum Besitzer kann er sich auch nicht mehr ernennen.

Jetzt müsste der Nutzer schon aktiv nach einem Schlupfloch suchen und das wäre Vorsatz.

Zum Hintergrund, der Admin Light soll sich bei Abwesenheit um das Patch Management kümmern, also Programme aktualisieren, gleichzeitig den Laptop aber nicht missbrauchen und weitere Nutzer anlegen, etc. - immerhin ist der Nutzer kein ausgebildeter Admin.
 
falscher Ansatz. Nicht Admin beschneiden, sondern Userrechte ausweiten. Zum Patchmanagement gehört ein WSUS aufgesetzt, bzw. eine Softwareverteilung und dem User dann Zugriff auf den Besagten zu geben. Wie willst du denn sicherstellene, dass du dem User alle unnötigen Berechtigungen entziehst?
Ich wüsste spontan bereits einen weg, wie ich das Ganze aushebeln könnte. Du wirst nie alle Fälle abdecken können, deswegen Berechtigungen erweitern, nicht beschneiden.
Und wenn der User alles installieren darfst hast du sowieso schon verloren. Nach dem Urlaub darfst du dann erst mal die ganze Adware des Chip Installers entfernen :-D
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
Windows Server 2016 Admin durch GPO ausgesperrt,
Antworten
19
Aufrufe
4.571
Art Vandelay
Art Vandelay
PsychoX7
GPO - Servergesp. Profile für bestimmte Benutzer
Antworten
11
Aufrufe
9.427
Frightener
F
K
GPO für Verschiedene Nutzer
Antworten
9
Aufrufe
1.053
milch
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz