Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Re: Verhindern dass lokale Administratoren andere Admini eintragen

0 views
Skip to first unread message

Florian Frommherz [MVP]

unread,
Mar 18, 2009, 10:09:08 AM3/18/09
to
Howdie!

"Robert" wrote:
> ich mache manchmal tageweise User zu lokalen Admins. Wie kann ich
> verhindern, dass sie in dieser Zeit andere Administratoren eintragen und
> sich
> so eine Hintertür verschaffen`?

Zu Beginn etwas, was du unter Umständen nicht hören möchtest: wenn du den
Leuten/Admins nicht 100% vertrauen kannst, nimm ihnen die Adminrechte. Für
dein konkretes Vorhaben kannst du dir "Eingeschränkte Gruppen" anschauen:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm

Cheers,
Florian
--
Microsoft MVP - Group Policy
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Maillist (german): http://frickelsoft.net/cms/index.php?page=mailingliste

Florian Frommherz [MVP]

unread,
Mar 18, 2009, 10:18:37 AM3/18/09
to
"Florian Frommherz [MVP]" wrote:
>> ich mache manchmal tageweise User zu lokalen Admins. Wie kann ich
>> verhindern, dass sie in dieser Zeit andere Administratoren eintragen und
>> sich
>> so eine Hintertür verschaffen`?
> dein konkretes Vorhaben kannst du dir "Eingeschränkte Gruppen" anschauen:
> http://www.gruppenrichtlinien.de/index.html?/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm

Als Anmerkung vielleicht noch: Eingeschränkte Gruppen können dafür sorgen,
dass immer die gleiche Gruppe von Leuten in der Administratoren-Gruppe sind
(das kannst du so konfigurieren - klappt auch mit anderen/eigenen Gruppen).
Die GPO forciert also vorgegebene Gruppenmitgliedschaften mit jedem
policy-refresh - heißt, dass wenn du jemandem Administratorenrechte
"manuell" vergibst, sie bei der nächsten Richtlinienaktualisierung
rückgängig gemacht werden - was sich aber auf den betreffenden temporären
Admin-Benutzer erst nach einer erneuten Anmeldung (oder nach Ablauf der
KRB-Tickets) bemerkbar macht.

Cheers,
In-Grid.

Mark Heitbrink [MVP]

unread,
Mar 20, 2009, 4:00:04 AM3/20/09
to
Hi,

Robert schrieb:


> ich mache manchmal tageweise User zu lokalen Admins. Wie kann ich
> verhindern, dass sie in dieser Zeit andere Administratoren eintragen
> und sich so eine Hintertür verschaffen`?

Garnicht. Es sind Lokale Admins.
http://www.gruppenrichtlinien.de/HowTo/Lokale_Gruppen.htm

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

0 new messages