[rubbishbin]

Zitat (Decay: 13.12.2007, 20:18)

Wie gesagt, normalerweise sollten User auch kein lokalen Admin-Account haben.
In der Domäne haben sie es ja auch nicht.

Richtig. Deshalb kann das mit den Beschränkungen gar nicht funktionieren. Wenn Takeshi das mit dem "Adminrechte fuer alle" so beibehält, dann kann jeder User so viele Rechner in die Domäne einbringen wie er will. Und das wollte er ja nicht.

Aber es ist einfach mal wichtig zu wissen, um was es sich da genau handelt. Wenn das Schueler sind, die lernen sollen wie AD funktioniert, dann ist das mit den Adminrechten meiner Meinung nach auch nicht so schlimm. Natuerlich stellt es eine grosse Sicherheitsluecke dar.

[Decay]

Naja, Schüler frickeln auch nicht unbedingt an einem Produktiv-Netzwerk.
Da ist es mir auch egal, ob die lokale Admins wären.

Aber im Produktiv-Netzwerk, wo ich den Benutzer sowieso schon auf ein Minimum beschneide, brauchen die User nicht lokaler Admin sein.

Beispiel:
Wenn ich in der Domäne USB-Sticks per GPO verbiete, was will er dann mit einem lokalen Admin-Account?

[QuentinT]

@decay
in der registry den richtigen Eintrag ändern und schon kann man fast alle GPOs rückgängig machen bis sie das nächste mal aktualisiert werden... ;-)

@rest
Aber im Allgemeinen bekommen Domänen-User keine Adminrechte auf einer Maschine
allerhöchstens einen lokalen Installations-User mit Adminrechten...

Auch die Administratoren des Netzwerks bekommen keine Adminrechte, sie bekommen 2 User, einen Administrator-Account um sich auf die Serer zu verbinden etc. der dann auch auf den Clinets lokale Adminrechte hat und einen normalen Domänen-Benutzer zum täglichen Arbeiten.

Mit dem Adminaccount meldet man sich auch zum installieren nicht an dem Client selbst an, sonsern macht das über die alternative anmeldung "ausführen als..."

Den Standard Ordner zu ändern und den dann mit einer GPO zu harden ist an den Symptomen rumgeschraubt und nicht die Ursache bekämpft und meiner Meinung nach höchst fragwürdig.

Ich für meinen Teil würde so etwas niemals machen und an deiner Stelle mir wirklich mal Gedanken über ein ordentlichen Sicherheitsprinzip Gedanken machen...

Das ist gut gemeinte Kritik... Ich hab schon viele ADs gesehen, die werden alle nach diesem groben Schema administriert.

Gruß
QuentinT

Dieser Beitrag wurde von QuentinT bearbeitet: 17. Dezember 2007 - 14:40

[Decay]

Sofern der Admin den Aufruf des Registrierungseditor zulässt.

[QuentinT]

@decay
du meinst regedit32.exe ausführen verbieten? Weil gesanderte GPO gibts dafür soweit ich weiss nicht, oder?
Jap, dann gehts auch!

[Decay]

Naja, bei W2k3 gibt es den Eintrag in den GPs "Aufruf des Registrierungseditor nicht zulassen" oder so ähnlich. Damit sollte es gehen.
Ausserdem würde ich, wenn solche Leute da wären, ein Script shedulen..... mit dem Inhalt "gpupdate /force". Alle Std. ein Scriptdurchlauf, schon wäre das Thema auch gegessen.