Tach die Kollegen,
also ich brauch ne Lösung für ein richtig deftiges Problem.
Wir haben folgende Situation - Active Directory (AD) - viele viele viele Win2000 Rechner.
In der Situation können wir auch davon ausgehen, das alle Standardfreigaben C$ via RegKey unterbunden worden sind. So ... User werden ja bekanntlich im AD zentral angelegt und gepflegt. In dem Beispiel gibt es User und Administratoren. Die User sind die Mitarbeiter denen die jeweiligen Rechner gehören und die an Diesen arbeiten. Die Administratoren erhalten auf jedem Rechner Adminrechte, da die Accounts so im AD Konto definiert sind. Sind also quasi die "Vorortbetreuer".
Nun kann ein Administrator von einem PC auf einen Anderen mit den Microsoft Administrative Tools zugreifen und dort Freigaben erstellen. Anschließend über die Netzwerkumgebung auf den Rechner zugreifen und sich in aller seelen Ruhe die Daten auf seinen PC runter saugen!
Jetzt der Witz: Das funktioniert nicht nur mit der lokalen HD, sondern auch mit allen Netzlaufwerken, die beim User gemapt sind - unter Anderen auch eine PGP Disk, welche der USER ja vor gebrauch mit seiner PASSPHRASE entschlüsseln muss. Dies ist in dem Fall also der Fall, da der User gerade mit Daten in dieser PGP Disk arbeitet.
Gibts ne Möglichkeit das zu verhindern, dass ein Admin von einem PC aus die Konfiguration eines anderen PCs ändern kann?
Ich suche sowas ähnliches wie RegEinträge, die das verhindern. Es gibt ja z.B. welche für die Standard Windowsfreigaben.
@Tong du weisst bissl mehr als die anderen, ich bitte dich das für dich zu behalten!
Nun bin ich aber gespannt auf Antworten
Windows Standardfreigaben.
Moderatoren: Krallzehe, Quickkiller
- Hunter
- UC Admin
- Beiträge: 8314
- Registriert: Do 15. Nov 2001, 01:00
- Wohnort: Frankfurt/Main
- Kontaktdaten:
Re: Windows Standardfreigaben.
deus hat geschrieben: Nun kann ein Administrator von einem PC auf einen Anderen mit den Microsoft Administrative Tools zugreifen und dort Freigaben erstellen. Anschließend über die Netzwerkumgebung auf den Rechner zugreifen und sich in aller seelen Ruhe die Daten auf seinen PC runter saugen!
Ein Administrator hat nun mal volle Rechte an einem PC - aber nicht alles was man kann darf man auch
Gibts ne Möglichkeit das zu verhindern, dass ein Admin von einem PC aus die Konfiguration eines anderen PCs ändern kann?
Das einzige was mir dazu einfällt ist ein Benutzerrecht :
Verwaltung\Lokale Sicherheitseinstellungen : Lokale Richtlinien\Zuweisen von Benutzerrechten\Auf diesen PC vom Netzwerk aus zugreifen
Da müsstest Du die Administratoren rausnehmen.
Es gibt auch noch die Option "Zugriff vomn Netzwerk auf diesen Computer verweigern" - ist das selbe in Grün nur andersrum...
Dazu brauchst du aber selbst lokale Adminrechte und ausserdem dürfte der Admin nicht sonderlich erfreut darüber sein...
Ansonsten denke ich dass Du da eher ein rechtliches Problem hast und kein technisches.