Einschränkung lokaler Admins auf TS

30/08/2008 - 12:24 von Andreas Müller | Report spam
Hallo!

Wir haben kürzlich einen 64Bit Terminalserer ins Netz gestellt und mussten
leider alle TS-Benutzer zu lokalen Admins erheben, da ansonsten JAVA nicht
funktionierte (falls jemand eine Lösung hat, gerne her damit!).

Da die Gruppenrichtlinien die User ja ohnehin einschrànken ists eigentlich
nur ein kleineres übel, aber ich habe nun noch ein paar Dinge die mich
stören und suche nach einem Lösungsansatz: Wir sichern den Server mit
Acronis True Image Server. Wenn nun mal das Backup hàngt oder eine Meldung
von sich gibt "Datentràger ist voll, o.à.", hab ich gleich Mails von zig
Usern diesbezüglich, die meinen sie wàren die ersten die das sehen und
berichten...das ganze nervt zum einen ungemein und zum anderen bekommt die
Chefetage den Eindruck "oh gott, bei uns funktioniert das Backup nicht,
morgen bin ich ruiniert" usw Ich würde also gerne für die lokalen
Admins Acronis ausblenden.
Genauso verhàlt es sich auch mit den Windowsupdates - ich kann zwar die
Automatischen Updates gànzlich deaktivieren, hàtte es aber gerne so
beibehalten wie bisher, daß die Updates geladen werden und ich sie bei
Gelegenheit manuell installiere. Nun kam es aber in jüngster Vergangenheit
zu einem Update, welches sich nicht einspielen liess und ich hatte gleich
wieder meine Mailflut im Postfach "warum werden sicherheitskritische Updates
nicht eingespielt?!". Also... kann ich die lokalen Admins soweit
einschrànken, daß sie solche Dinge nimmer zu Gesicht bekommen?!

Ich weiß, daß es in den Grurilis eine Rubrik eingeschrànkte Gruppen gibt,
(falls es damit gehen sollte) aber ich hab noch nie damit gearbeitet und als
ich es mir anguckte auch nicht wirklich Einstellungen gesehen mit denen ich
definieren könnte, was sie trotz ihrer Einschrànkung alles dürften!?

Dankbar um jeden Hinweis!
Gruß
Andi
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
30/08/2008 - 13:49 | Warnen spam
Hi,

Andreas Müller schrieb:
Wir haben kürzlich einen 64Bit Terminalserer ins Netz gestellt und mussten
leider alle TS-Benutzer zu lokalen Admins erheben, da ansonsten JAVA nicht
funktionierte (falls jemand eine Lösung hat, gerne her damit!).



http://www.gruppenrichtlinien.de/Ho...uehren.htm
http://www.gruppenrichtlinien.de/Ho...gungen.htm

Da die Gruppenrichtlinien die User ja ohnehin einschrànken ists eigentlich
nur ein kleineres übel,



Nein ist es nicht. Als lokaler Admin die GPOs zu umgehen ist simpel.

[...]



Alle Probleme hàngen an deinen Lokalen Admins. Ändere das.

Für WindowsUpdate Notify schau in die BenKonf\AdmVorlagen\Windows Update
"Zugriff auf ... abschalten"

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Ähnliche fragen