PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Rechte eines einzelnen lokalen Admins einschränken.


Avalox
2015-01-30, 08:13:10
Ich glaube das funktioniert nicht, aber vielleicht hat ja jemand eine Idee.

Das was bestimmt geht, obwohl ich mir dort auf einem Client Windows auch nicht sicher bin ist, dass ein Service Account geschaffen wird, mit den man sich am Windows nicht anmelden kann, aber im schnellen Cotextwechsel Admin Aufgaben im Betrieb erledigen kann. Ich denke vor Jahren mal etwas auf dem Server Windows Versionen in der Art gesehen zu haben.

Was aber m.M. nach nicht geht ist, dass einer von mehreren lokalen Adminstratoren, oder nennen wir dieses mal lokale Fachadminstratoren, die Rechte eingeschränkt bekommen. Dass z.B. unterbunden wird, dass dieser Fachadmin in seinem Context den Virenschutz ausschalten kann, das unterbunden wird, dass neue Benutzerkonten eingerichtet, oder verändert werden können. Unterbinden, dass Kennwort Policies geändert werden können usw.

Hübie
2015-01-30, 08:23:42
Puh. Das ist ne Menge Arbeit. Dafür musst du teilweise Tasks anlegen und in der gpedit.msc die Gruppenrechte definieren und zusätzlich halt die User zuordnen. Keine Ahnung wozu das gut sein soll aber mein Rat->Linux Distri is schneller gelernt ;D

Zafi
2015-01-30, 08:34:07
Probiere mal folgendes. Leg für diesen Pseudo-Admin einen regulären und eingeschränkten Benutzeraccount an. Dann definiere die einzelnen administrativen Aufgaben/Programme, die er ausführen kann. Und hinterleg nur dafür ein Admin-Name/-Passwort. So hat er dann, nur im Rahmen seiner administrativen Tätigkeit auch tatsächlich Admin-Rechte. Kann aber selbst nichts installieren oder dergleichen.

Voraussetzung dafür dürfte immer eine Windows Pro Version (oder höher) sein. Ich glaube unter Win7 geht es, weil Win7 nach Admin-Rechten fragt, wenn diese fehlen und man sie beim ersten Eingeben auch hinterlegen bzw. speichern kann. Bei Win XP fragt er auch (manchmal), aber man kann sie nicht hinterlegen, sondern muss sie jedesmal neu eingeben.

Hübie
2015-01-30, 08:38:30
Das muss dann über Gruppen laufen. Also wieder gpedit.msc was wie du sagst ja erst ab Pro drin is.

Avalox
2015-01-30, 08:39:49
Keine Ahnung wozu das gut sein soll aber mein Rat

Na ist das alte Gefluppe, dass Standardbenutzer am Wochenende auf ihren Notebook essentielle Software installieren können müssen, oder nach Feierabend einen Drucker mithilfe der Hersteller CD installieren wollen.

Mir ist NAP, NAC, TCG und TNC klar, aber dem steht schlicht das bestehende Sicherheitskonzept entgegen, den User generell einen zweiten Account eines lokalen Admins zu geben.

Ich hätte jetzt aber eher auf eine userindividuelle Konfiguration per MMC getippt, als an Gruppenrichtlinien. Es ist ja schließlich ein einzelner lokaler Account.

Lokadamus
2015-01-30, 10:08:31
Na ist das alte Gefluppe, dass Standardbenutzer am Wochenende auf ihren Notebook essentielle Software installieren können müssen, oder nach Feierabend einen Drucker mithilfe der Hersteller CD installieren wollen.Damit hast du schon das größte Problem schön beschrieben.
http://www.gruppenrichtlinien.de/artikel/softwareinstallation-als-benutzer-oder-das-recht-software-installieren/
So lange die Software auf die Ordner \Programme oder \Windows oder der Registry an bestimmten Stellen zugreifen will, scheitert die Installation.

Avalox
2015-01-30, 12:32:25
Damit hast du schon das größte Problem schön beschrieben.
http://www.gruppenrichtlinien.de/artikel/softwareinstallation-als-benutzer-oder-das-recht-software-installieren/


Ich dachte auch eher an den umgekehrten Fall.
Das ein lokaler Administrator einige Sachen nicht können soll, die er im Normalfall könnte.

Beispiel: Meinetwegen soll er alles machen, aber einen weiteren lokalen Adminaccount nicht löschen können, oder den Dienst, bzw. gleich den ganzen Malwareschutz zu deaktivieren etc.
Mal unabhängig davon betrachtet, dass er sich diese Berechtigungen wieder beschaffen kann.
Auch im generellen Kontext hat ein Windows Administrator ja nicht grundsätzlich alle Rechte.

Also im Prinzip fällt mir spontan dazu jedenfalls nichts ein, bzw. nicht ein da jemals schon etwas in der Art gesehen zu haben.

Ausser bis darauf, dass ich schon denke, dass man durchaus ein Konto einrichten kann, welches man zwar als Serviceaccount nutzen kann als User, aber sich nicht damit direkt anmelden kann.

qiller
2015-01-30, 14:15:02
Sowas wird nicht funktionieren. Über irgendwelche Tricks wird sich der beschnittene(?) Admin doch wieder die Rechte besorgen können (man denke nur mal an die Besitzrechte von Ordner und Dateien im NTFS-Dateisystem, die kann jeder Admin anpassen und damit dann auch die einzelnen NTFS-Berechtigungen).

Guck dir mal SuRun an. Man kann damit zumindest einzelne Programme vorbestimmen, die ein Standardbenutzer dann mit administrativen Berechtigungen starten darf.

mg Oli

e.v.o
2015-02-04, 15:48:37
Stell die Frage mal im Administrator Forum. Die haben extrem gute Ideen dort und ich denke da wird dir mit Sicherheit weitergeholfen auch wenn dein "Problem" etwas komisch ist.

Lutscher
2015-02-04, 20:28:27
Ich dachte auch eher an den umgekehrten Fall.
Das ein lokaler Administrator einige Sachen nicht können soll, die er im Normalfall könnte.
Das kann prinzipbedingt nicht funktionieren, auf keinem System.

Wie soll verhindert werden, dass ein lokaler Administrator den Virenscanner beendet?
Irgendeine Konfigurationsoption die den Beenden-Knopf ausblendet:
Dann beendet der lokale Admin den kompletten Virenscanner-Dienst!
Also nimmst du dem Administrator das Recht Dienste zu beenden:
Dann löscht er den Dienst übergangsweise aus der Registry!
Du nimmt ihm das Recht Änderungen am entsprechenden Registry-Pfad vorzunehmen:
Dann gibt er sich dieses selbst wieder!
Etc...

Microsoft hat nicht zufällig das Konzept der Hauptbenutzer beerdigt, weil

Was ich dir vorschlagen kann (der Virenscanner ist hier nur Platzhalter für alle möglichen unerwünschten Aktionen):
* Treffe eine Abwägung was wichtiger ist: Dass Nutzer den Virenscanner nicht beenden können, oder dass sie am Wochenende Programme installieren können.
* Versuche den Nutzern zu erklären, dass der Virenscanner nützlich für sie ist, und sie ihn nicht abschalten sollten.
* Finde heraus, warum einzelne Nutzer den Virenscanner trotzdem abschalten, und beseitige diese Gründe.
* Überprüfe mit einem Monitoring-System wie Icinga, Zabbix, SCCM, etc, ob auf den Systemen der Virenscanner abgeschaltet wurde. Entweder mit einem Agenten der regelmäßig den Status prüft, oder per SNMP-Trap. Falls der Virenscanner gestoppt wurde, sprich den jeweiligen Nutzer am nächstes Tag darauf an.
* Wenn du es schaffst exakt zu definieren, was die Nutzer außerhalb ihres persönlichen Benutzerkontos tun können sollen, kannst du ihnen genau diese Recht geben und sonst nichts. So rum funktioniert es.