Nægte brugere adgang til administrative tools lokalt på en pc

> Nægte brugere adgang til administrative tools lokalt på en pc

- Det er hvad man kalder en mur af røg. Det er ikke noget jeg vil anbefale i praksis.

> Problemet er at de faktisk har mulighed for at ændre i lokale brugerkontoer og det undrer mig lidt da de ikke er tilfjet lokal admin.

- Det kan ikke lade sig gøre. Find hellere den virkelige årsag. Hvem er medlemmer af den lokale admin gruppe? Hvem er medlemmer af power users?

Det med at nægte adgang til bestemte tools; man kan jo gøre tingene på flere forskellige måder, end jeg lige kan komme i tanke om, bare man har de nødvendige rettigheder. Så der vil altid være en anden måde at gøre det på.

Så jeg synes det lyder ret klogt, det strych9 siger :)

hvis de er nomale bruger i AD kan de ikke ændre noget

Ja jeg er enig med jer i at det ikke må kunne være muligt at have adgang til administrative tools som alm user og det er bare standard user uden nogle ekstra rettigheder. Jeg kan så fortælle at jeg ikke selv har sat serverkonfigurationen op og der er lidt rod i brugergrupper , afht. grupper anvendt på Linux og mac server da vi kører et blandet server miljø. Men jeg ser lige på det og vender tilbage. Tak indtil vidre.

Der er ikke nogle brugergrupper som gør brugere til lokal administrator.
Det er lidt underligt at de kan anvende administrative tools ,selvom det er med begrænset adgang og det derfor ikke er en sikkerhedsbrist alligevel.     
Men kom med nogle svar. det var vist strych9 der var  på rette kurs.

hvad mener du med begrænset adgang, nomalt kan man kun som alm.bruger åbne mmc med run as

svar =)

i bruger properties  member of kan man se hvilke grupper brugeren tilhøre

-> Jager - det ved jeg godt og jeg er ikke ligefrem newbie på området , selvom der er nogle ting man glemmer.
Med begrænset adgang mener jeg at de kun har mulighed for at åbne admin tools og ikke administrations adgang til brugere , enhedshåndtering m.m.

ja nu ikke så sur men jeg har lige gjort det i gpo
opret en lokal gpo
user configuration start menu and taskbar
preventchanges to taskbar and start menu settings enable

control panel 
prohibit access to th controlpanel enable
link gpo til den/de ou hvor bruger er
administrator kontoen bliver ikke berørt

Der er ikke nogen der er sure.
Jeg har allerede nægtet brugere adgang til control panel samt command prompt.
Brugere er ikke medlem af admnistratorer eller power users - så jeg har stadig et problem et sted , men er indtil vidre tryg da de godt nok kan åbne administration , men ikke anvende de indstillinger som kræver admin adgang.
Stedet jeg taler om er en skole + ungdomsskole med mere end 100 brugere. Server backbone består af Mac server ,Linux og windows2003 - og der har været flere kokke til at oprette brugere , hvilket har medført at der er et temmeligt rodet antal brugergrupper.
Jeg er sandsynligt nødt til at have fat i den tidligere administrator , for at få en forklaring på de grupper som er oprettet - da der ikke er lavet dokumentation ang. grupper. Det er mit mål at få ryddet ud i grupper så der er kun er et min. antal samt de indbyggede.
Det ville være en stor hjælp hvis der havde været et "resultant user rights" tool for grupper/brugere på samme måde som der er i Group pol management. ?
Så selve server setup lider lidt af at der har været for mange kokke og forskellige konkurrenter inde - men tak for hjælpen til alle. mvh Dennis

føler ikke du har se denne her

gpo
user configuration
start menu and taskbar
preventchanges to taskbar and start menu settings enable

Jo tak - jeg vender tilbage når jeg har afprøvet og testet nævnte indstilling.
Men jeg har det bedst hvis jeg kan finde det problem mht. rettighed , men det skal da prøves som et tillæg til min policy.

Er det et egentligt problem? De kan jo ikke ændre noget vitalt, blot fordi de kan åbne en management konsol. Almindelige brugere har jo også læserettigheder til det meste af AD

Det er jo meget forskelligt hvilke krav man stiller til sikkerheden - men ja det er i vores tilfælde ikke nødvendigt at brugere har adgang til administration, og jeg mener også som Strych9 skriver at de ikke plejer at have det som alm. user.
Men mit spørgsmål er ikke ment som debatspørgsmål så andre er da velkommen til at oprette et hvis I har lyst.
Så er der vist ikke mere at sige i den her sag.