GPO für "Admin light"

[Die wilde Inge]

Grüße,


ich hätte da mal eine Frage.

Mit localGPO habe ich für Geräte, welche nicht in der Domäne sind, Benutzer-Richtlinien erstellt - klappt auch alles ganz super.

Jetzt gibts die Forderung, dass es auf den Geräten lokale Admins geben soll, mit eingeschränkten Rechten.

Da es nicht möglich ist normalen Nutzern höhere Rechte zu gewähren, muss ich also einen lokalen Admin beschneiden und jetzt wirds kniffelig.

Wenn ich jemanden das Snap-in "lokale Benutzer und Gruppen" entziehe, sieht er das tatsächlich nicht mehr in der 'Verwaltung'. Per CMD.exe und 'net user' kann man aber weiterhin Benutzer anlegen - also völlig witzlos.

Und wenn ich dem Admin das Recht verweigere den GPedit.msc zu nutzen, kann er unter C Windows System32 GroupPolicyUser den Ordner einfach löschen und zack hat der Nutzer auch keine Richtlinien mehr.


Hat jemand eine Idee wie ich es hinkriege, dass ein Admin defintiv keine weiteren Benuztzer anlegen kann und sich auch die eigenen Berechtigung nicht ändert?

 

[Mar1u5]

C Windows System32 GroupPolicyUser

Dem Adminkonto die Rechte für diesen Ordner entziehen?

 

[Gulp]

Ein Admin ist ein Admin, da kann man soviel einschränken wollen wie man will, ein Admin kann sich alles wieder selbst verschaffen.

Grüsse

Gulp

 

[Die wilde Inge]

Habs.

Ich habe ihm GPedit.msc, 'lokale Benutzer und Gruppen'-Snap-In und CMD gesperrt und dann gescriptet dem Nutzer das 'Ändern'-Recht auf dem o.g. Ordner entzogen. Jetzt kann er ihn weder löschen noch ändern und kann auch die Einstellungen nicht mehr modifizieren. Zum Besitzer kann er sich auch nicht mehr ernennen.

Jetzt müsste der Nutzer schon aktiv nach einem Schlupfloch suchen und das wäre Vorsatz.

Zum Hintergrund, der Admin Light soll sich bei Abwesenheit um das Patch Management kümmern, also Programme aktualisieren, gleichzeitig den Laptop aber nicht missbrauchen und weitere Nutzer anlegen, etc. - immerhin ist der Nutzer kein ausgebildeter Admin.

 

[Moe.Joe]

falscher Ansatz. Nicht Admin beschneiden, sondern Userrechte ausweiten. Zum Patchmanagement gehört ein WSUS aufgesetzt, bzw. eine Softwareverteilung und dem User dann Zugriff auf den Besagten zu geben. Wie willst du denn sicherstellene, dass du dem User alle unnötigen Berechtigungen entziehst?
Ich wüsste spontan bereits einen weg, wie ich das Ganze aushebeln könnte. Du wirst nie alle Fälle abdecken können, deswegen Berechtigungen erweitern, nicht beschneiden.
Und wenn der User alles installieren darfst hast du sowieso schon verloren. Nach dem Urlaub darfst du dann erst mal die ganze Adware des Chip Installers entfernen :-D