lokale profile bei lokalen Admins

26/06/2008 - 14:34 von Uwe Leuckert | Report spam
Hallo, wir haben ein W2k3 AD und setzen unter WinXP servergespeicherte
Profile ein. Auf einigen Notebooks sind die entsprechenden User lokale
Administratoren. Manchmal stellt ein NB-User einem anderen Anwender sein
Notebook für eine Pràsentation zur Verfügung. Dann wird dessen Profil auf
das Notebook geladen. Als nàchstes hat dann der Hauptnutzer des Notebooks,
wenn er lokaler Admin ist, die Möglichkeit auf die Dateien im profil des
gastanwenders zuzugreifen. Einige, ganz wenige User haben kein
Profilgrößenlimit, was die Situation verschàrft, weil das dann nur Personen
in höherer Stellung sind. Wir arbeiten an zwei Standorten, Verzicht auf
lokale Profile würde am non-home-Standort die Anmeldezeiten zu hoch ziehen.

1.: Verzicht auf servergespeicherte Profile ist keine Option
2.: Verzicht auf lokale Profile ist keine Option
3.: Einige User müssen unterwegs Treiber/Programme installieren können
4.: lokal gespeicherte Profile müssen in jedem Fall geschützt sein

Wie löst ihr sowas? Ich bin für jede konstruktive Idee dankbar. Bitte kein:
"Dann musst Du eben deine Anwender besser erziehen!" oder sowas.

Danke
Uwe
 

Lesen sie die antworten

#1 Thorsten Kampe
26/06/2008 - 14:53 | Warnen spam
* Uwe Leuckert (Thu, 26 Jun 2008 14:34:20 +0200)
Hallo, wir haben ein W2k3 AD und setzen unter WinXP servergespeicherte
Profile ein. Auf einigen Notebooks sind die entsprechenden User lokale
Administratoren. Manchmal stellt ein NB-User einem anderen Anwender sein
Notebook für eine Pràsentation zur Verfügung. Dann wird dessen Profil auf
das Notebook geladen. Als nàchstes hat dann der Hauptnutzer des Notebooks,
wenn er lokaler Admin ist, die Möglichkeit auf die Dateien im profil des
gastanwenders zuzugreifen. Einige, ganz wenige User haben kein
Profilgrößenlimit, was die Situation verschàrft, weil das dann nur Personen
in höherer Stellung sind. Wir arbeiten an zwei Standorten, Verzicht auf
lokale Profile würde am non-home-Standort die Anmeldezeiten zu hoch ziehen.

1.: Verzicht auf servergespeicherte Profile ist keine Option
2.: Verzicht auf lokale Profile ist keine Option
3.: Einige User müssen unterwegs Treiber/Programme installieren können
4.: lokal gespeicherte Profile müssen in jedem Fall geschützt sein

Wie löst ihr sowas? Ich bin für jede konstruktive Idee dankbar. Bitte kein:
"Dann musst Du eben deine Anwender besser erziehen!" oder sowas.



Die Sache ist doch ganz einfach: wenn jemand Admin ist, hat er Zugang zu
/allem/ (oder kann sich zumindest leicht alle Rechte verschaffen). Wenn
ihr also meint, daß die Benutzer lokale Admins sein müssen, dann müßt
ihr auch die Konsequenzen tragen.

Ordnerumleitung und löschen der lokalen Profile beim Abmelden wollt ihr
ja nicht (ganz abgesehen davon, daß auch das keine Garantie ist, daß
nichts lokal gespeichert wird).

Thorsten

Ähnliche fragen