R0l1nck Geschrieben 24. Oktober 2016 Teilen Geschrieben 24. Oktober 2016 Wie kann ich einem Lokalen Benutzer installationsrechte geben ohne ihn als Administrator einzurichten? Secpol.msc lässt ja viel zu nur finde ich da nichts zur Installation von Programmen. Ziel ist das der Benutzer Programme installieren kann, aber die Lan Schnittstelle nicht aktivieren kann. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Eratum Geschrieben 24. Oktober 2016 Teilen Geschrieben 24. Oktober 2016 Geht nach meinem aktuellen Wissensstand so nicht. Was sollen die denn warum installieren können? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Crash2001 Geschrieben 24. Oktober 2016 Teilen Geschrieben 24. Oktober 2016 (bearbeitet) Verbote gehen vor Erlaubnisrechten. Wenn man bestimmte Sachen nicht explizit erlauben kann, dann kann man den umgekehrten Ansatz gehen und das verbieten, was er nicht können soll. Also vielleicht gehts so, dass du einfach den Admin-User nimmst und entsprechend beschränkst, was er nicht tun können soll. Bearbeitet 24. Oktober 2016 von Crash2001 Eratum reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
R0l1nck Geschrieben 24. Oktober 2016 Autor Teilen Geschrieben 24. Oktober 2016 Problem ist Computer wird von der Abteilung eingerichtet was Software angeht, will aber keine Administrationsrechte vergeben. Damit der Computer nicht ans hausinterne Lan angeschlossen werden kann ist die Lan Karte deaktiviert das soll auch so bleiben. Deswegen wäre Installationsrechte für einen Benutzer ausreichend. vor 27 Minuten schrieb Crash2001: Also vielleicht gehts so, dass du einfach den Admin-User nimmst und entsprechend beschränkst, was er nicht tun können soll. Wüsste nicht wie ich einem Admin das recht wegnehme den Gerätemanager zu öffnen und das Recht Hardware zu aktivieren Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Crash2001 Geschrieben 24. Oktober 2016 Teilen Geschrieben 24. Oktober 2016 Es gibt z.B. die Richtlinie für Softwareeinschränkung in den GPOs. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Eratum Geschrieben 24. Oktober 2016 Teilen Geschrieben 24. Oktober 2016 Ich revidiere meine Aussage von vorhin. Geht doch Ich habe gerade mal kurz probiert (nach dem Hinweis von Crash): Nutzer in der Gruppe der Administratoren anlegen MMC öffnen Gruppenrichtlinienobjekteditor hinzu (Fokus auf den speziellen Benutzer setzen) Einschränkungen erstellen (bspw. Zugriff auf Systemsteuerung entziehen) ==> geht Getetstet mit W10, sollte aber mit W7 auch kein Problem sein Crash2001 und R0l1nck reagierten darauf 2 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
R0l1nck Geschrieben 24. Oktober 2016 Autor Teilen Geschrieben 24. Oktober 2016 Danke für die Info Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
t0pi Geschrieben 24. Oktober 2016 Teilen Geschrieben 24. Oktober 2016 hätte im Bios den LAN Anschluss gesperrt und das Bios mit einem Kennwort blockiert. Eratum reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Eratum Geschrieben 24. Oktober 2016 Teilen Geschrieben 24. Oktober 2016 So geht's natürlich auch... Auf die einfachen Ansätze kommt man immer zuletzt :-D Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
mqr Geschrieben 24. Oktober 2016 Teilen Geschrieben 24. Oktober 2016 Hallo t0pi, vor 2 Stunden schrieb t0pi: hätte im Bios den LAN Anschluss gesperrt und das Bios mit einem Kennwort blockiert. ich halte das auch für eine gute Idee. Doch leider hat dieser Weg zwei Haken: 1- Es werden immer mehr Funktionen des BIOS vom Betriebssystem übernommen und die Einstellungen geändert. 2- Ob das in diesem Fall wichtig ist, weis ich nicht, jedoch würdest Du evt. einen Adminaccount auch aussperren oder es hätte ein weiteres Passwort zu Folge dessen Pflege, wie die Aufhebung der Sperre aufwendig ist. Grüße Micha Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Crash2001 Geschrieben 25. Oktober 2016 Teilen Geschrieben 25. Oktober 2016 Die Frage wäre halt, ob man auch unterbindet, dass der User sich z.B. einfach eine USB-Netzwerkkarte oder einen UMTS-Stick installiert und darüber dann ins Internet oder Firmen-LAN kommt. Hier müsste z.B. auch noch das Recht, Hardware hinzuzufügen / Treiber zu installieren eventuell entzogen werden (falls möglich auf Netzwerkgeräte beschränkt, damit eine neue Maus,Tastatur, Monitor, usw. problemlos dran gemacht werden könnte). Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
t0pi Geschrieben 25. Oktober 2016 Teilen Geschrieben 25. Oktober 2016 @Crash2001Naja wenn du mit soviel dreistigkeit bei den Usern dieses PCs rechnen musst dann muss du vom prinzip her erstmal alles sperren und dann jede einzelne Funktion die Sie nachweislich benötigen freischalten oder sorgst dafür das nur noch 1 USB Anschluss zur Verfügung steht (z.B. Heisskleber in die USB Ports)(wobei wer sagt das dann nicht ein USB Hub angeklemmt wird oder einfach das OS neuinstallieren wo dann deine lokal eingerichteten Rechte mitgelöscht werden). Viel Spass dabei damit kann man sich dann wochenlang beschäftigen. @mqrdas ist richtig, aber seien wir mal ehrlich: Bei der Passwort Politik die manche Firmen betreiben (ein Kennwort für alles, wird nie ausgetauscht, jeder Praktikant kennt das Kennwort) sollte man sich über andere Sachen sorgen machen als ein Bios Kennwort. Gibt ja Admins die drucken sich ihre Kennwörter aus und verschließen sie im Safe. Lösungen gibt es viele, die Frage ist halt immer: Wie aufwendig kann/darf/soll/muss es sein: Wie dreist/schlau ist der User etc. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Crash2001 Geschrieben 25. Oktober 2016 Teilen Geschrieben 25. Oktober 2016 ICh kenne ja die User nicht, die an den entsprechenden Rechnern arbeiten sollen... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SilentDemise Geschrieben 25. Oktober 2016 Teilen Geschrieben 25. Oktober 2016 Ich würde dann auch mal prüfen, ob die LAN Karte nicht über CMD/Powershell aktiviert werden kann. Zugriff zur Systemsteuerung begrenzen ist nett, aber würd mich mit script kenntnissen jetzt nicht aufhalten Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
R0l1nck Geschrieben 25. Oktober 2016 Autor Teilen Geschrieben 25. Oktober 2016 hab schon gemerkt so einfach und mal eben ist das nicht gelöst -.- gibt wohl immer einen Weg drumrum. User hat die Anweisung bekommen Lan darf nicht aktiviert werden und er darf nicht ans Netzwerk (seh ich im DHCP ) Lokaler Admin darf nicht verändert werden und gut. Ansonsten melde ich das weiter und es gibt Arbeitsrechtlich halt eins drauf. Wollte mich jetzt nicht Tagelang damit beschäftigen dachte nur da gibts was wie bei GPO Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Crash2001 Geschrieben 25. Oktober 2016 Teilen Geschrieben 25. Oktober 2016 Ansonsten gibt es aber auch eine ganz einfache Möglichkeit das zu unterbinden - NAC (Network Access Control) einführen Oder aber die MAC-Adresse des Rechners auf eine Blacklist setzen, so dass dieser Rechner über den für ihn zuständigen Switch nicht ins Netz kommt. Sollte das für IPV4-Pakete nicht gehen, kann man auch Port-Security einsetzen und (eine) andere MAC-Adresse(n) auf dem entsprechenden Port eintragen, so dass nur diese MAC-Adresse(n) auf dem entsprechenden Port erlaubt wäre(n). Alternativ kann man das Pferd natürlich auch andersrum aufzäumen und auf dem DHCP-Server für diese MAC-Adresse auf die Blacklist setzen, so dass dem Gerät keine IP-Adresse zugeordnet wird. ( Hier mal beispielhaft bei einem Windows Server 2008 als DHCP-Server). Es gibt wirklich viele Möglichkeiten, aber alle haben ihre Schwachstellen - NAC (mit MAB- oder dot1x-Authentifizierung) ist wohl noch die sicherste Möglichkeit, den Zugang wirkungsvoll zu verhindern. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
mqr Geschrieben 25. Oktober 2016 Teilen Geschrieben 25. Oktober 2016 Hallo Community, vor 55 Minuten schrieb R0l1nck: User hat die Anweisung bekommen Lan darf nicht aktiviert werden und er darf nicht ans Netzwerk so hätte ich das auch zunächst auf die Schnelle gelöst. Aufkleber drauf: "Kein Netzwerk, bei Nichtbeachtung droht die fristlose Kündigung!" Vielleicht könnte man das ja noch zusätzlich anbringen, wer weis vielleicht hat der User ja Gedächtnislücken. Grüße Micha Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Eratum Geschrieben 25. Oktober 2016 Teilen Geschrieben 25. Oktober 2016 Ich würde zusätzlich zur Weisung nen einfachen Schutz (bspw eben per Policy für den Benutzer den Zugriff auf Netzwerkeinstellungen sperren). Ist sicherlich alles umgehbar, aber das siehst du ja dann und bekommst es mit. So verhinderst du dann das jemand "aus Versehen" das Gerät ins Netzwerk hängt (also das das Netzwerkkabel sich auf magische Weise einsteckt und der Nutzer zufällig und unwissend die NW Karte aktiviert). Und wenn doch dann war's wohl doch irgendwie Vorsatz... So hast du keinen harten Aufwand und gehst trotzdem halbwegs auf Nummer sicher P.s.: Falls du den doch weiter absichern musst, vergiss nicht die Bootoptionen einzuschränken. Utilman.exe funktioniert auch bei W10 noch ^^ Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.