"Robert" wrote:
> ich mache manchmal tageweise User zu lokalen Admins. Wie kann ich
> verhindern, dass sie in dieser Zeit andere Administratoren eintragen und
> sich
> so eine Hintertür verschaffen`?
Zu Beginn etwas, was du unter Umständen nicht hören möchtest: wenn du den
Leuten/Admins nicht 100% vertrauen kannst, nimm ihnen die Adminrechte. Für
dein konkretes Vorhaben kannst du dir "Eingeschränkte Gruppen" anschauen:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm
Cheers,
Florian
--
Microsoft MVP - Group Policy
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Maillist (german): http://frickelsoft.net/cms/index.php?page=mailingliste
Als Anmerkung vielleicht noch: Eingeschränkte Gruppen können dafür sorgen,
dass immer die gleiche Gruppe von Leuten in der Administratoren-Gruppe sind
(das kannst du so konfigurieren - klappt auch mit anderen/eigenen Gruppen).
Die GPO forciert also vorgegebene Gruppenmitgliedschaften mit jedem
policy-refresh - heißt, dass wenn du jemandem Administratorenrechte
"manuell" vergibst, sie bei der nächsten Richtlinienaktualisierung
rückgängig gemacht werden - was sich aber auf den betreffenden temporären
Admin-Benutzer erst nach einer erneuten Anmeldung (oder nach Ablauf der
KRB-Tickets) bemerkbar macht.
Cheers,
In-Grid.
Robert schrieb:
> ich mache manchmal tageweise User zu lokalen Admins. Wie kann ich
> verhindern, dass sie in dieser Zeit andere Administratoren eintragen
> und sich so eine Hintertür verschaffen`?
Garnicht. Es sind Lokale Admins.
http://www.gruppenrichtlinien.de/HowTo/Lokale_Gruppen.htm
Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate