win clients mit domaincontroler und lokale rechte

hi!
habe hier clients auf denen w2000 läuft. diese werden durch einen domaincontroler unter suse gesteuert.
läuft auch alles klasse.
jetzt möchte ich rechte vergeben, so das die user nicht mehr machen können was sie wollen. also, soll der user auf seiner winbüchse so gut wie keine rechte mehr haben. nichts lokal abspeichern dürfen, keine software installieren usw.

wie kann ich das machen ?

gruß
achim

Wenn die Win-User mit Benutzerrechten arbeiten ist schon mal das gröbste weg.
Alles andere hängt von den Anwendungen ab, die die Benutzer ausführen sollen.
Über ACLs auf dem Filesystem kann man auch eine Menge regulieren.

hi,
benutzerrechte sind vergeben. sie sollen nur nicht mehr viel auf den windowsrechner machen dürfen. eigentlich nur die textverarbeitung aufrufen und fertig. weder in der systemumgebung rumstellen etc.

werde mal nach ACL,s googeln.

Danke

nochmal, habe da echt probleme mit den access control listen.kann mir da nicht einmal einer ein tipp geben?

wie bekomme ich es hin, dass der winbenutzer z.b nicht den windows mediaplayer benutzen kann ???

danke
achim

hey achim_22

Gehe mal davon aus, dass die user sich nur mit einen eingeschränkter Benutzerkonto anmelden können, und auf gar keinen fall mit einem Admi_Konto.
Wäre jetzt ein Server2003 im Netz könntest du über Domänen - Richtlinien oder OU - Richtlinien die Sachen einstellen.

Mit einem SuSE - Server weiss ich jetzt nicht genau wie man die Richtlinien auf die Clients verknüpft. Muss aber auch irgendwie gehen.
Erstelle doch auf einen Client ( auf Konsole mmc eingeben ) ein Snap-In ( Gruppenrichtlinien - Editor ) und versuche dieses auf die Cliets zu importieren. Auch kannst du ein Snap - In erstellen dass auf Sicherheitsvorlaben beruht.

Ausführen: mmc ; Snap-In hinzufügen: Sicherheitsvorlagen und da z.B. die rootsec auswählen.
Alternativ könntest du auf jedem Client auf Konsole gpedit.msc ausführen und dann die Rechte beschneiden. Nur das ist, je nach Anzehl der Rechner, eine Lebensaufgabe.
Die beste Sache wäre meiner Meinung die mit der Sicherheitsvorlage und der rootsec. Die rootsec so konfigurieren wie du es dir vorstellst und die Datei dann Exportieren. Am besten im Netzwerk freigeben und dann auf den Clients die Datei Importieren. Oder du kannst sie auch brennen und dann auf den Clients die Sache importieren.

gruss milli4503

Das meine ich:
http://de.wikipedia.org/wiki/Access_Control_List

Wenn der Benutzer den Media-Player nicht starten sol, dann sperrst du die .exe oder eben das ganze Verzeichnis. Das ist einfach und effizient.

Wenn der User nur Benutzerrechte hat, sind die maßgeblichen Systemfunktionen bereits gesperrt, da brauchst Du i.d.R. nicht einzustellen.

hi danke, werde mir das morgen mal anschauen und mich melden.


danke

soooo habe mal weitergemacht.ist alles nicht so einfach wie ich dachte.die domänmitglieder haben nicht so viel rechte.können zb. die ip nicht ändern usw. aber über den arbeitsplatz unter laufwerk c datein oder verzeichnisse löschen. das sollte so nicht sein.
leider komme ich nicht weiter unter linux das zu verbieten. also machte ich mich mit mmc an die arbeit. habe da mal so ein paar einstellungen vorgenommen und.......nix ging. konnte alles so machen wie sonst auch obwohl die rootsec.inf abgespeichert wurde.

was mache ich nur falsch.
sagen wir mal, der benutzer darf nur den internetexplorer ausführen und sonst nichts.
wo muss ich was eintragen ???

gruß
achim

hallo achim_22

also. z.B. local am client. ausführen / gpedit.msc. bist im gruppenrichtlinienobjekt _ editor.
da gibt es zu einem die computerkonfiguration und zu anderem die benutzerkonfiguration. du willst z.B. den mediaplayer bearbeiten. da gehts du:

benutzerkonfiguration / administrative vorlagen / windows komponenten

ganz unten hast du den mediaplayer.

nur dass alles local auf jedem rechner zu machen bist du weichnachten noch dabei.

du hast ja mehrere sicherheitsvorlagen, nicht nur die rootsec. eine davon mit einem snap-in ( mmc ) bearbeiten. dass teil danach zum beispiel am desktop abspeichern ( müsste eine inf.datei sein wenn ich mich nicht irre ) und diese auf jeden pc importieren oder per script bei anmeldung der clients am netzwerk installieren lassen.

gruss milli4503

hey achim ich noch mal.

wieviele rechner hast du denn zu betreuen.
die sache mit den dateien löschen unter C kannst auch dadurch verhindern, dass du in die Laufwerkseigenschaften gehst und da unter SICHERHEIT / GRUPPEN UND BENUTZERNAMEN alles rauslöscht ausser die ADMINISTRATOREN und dass SYSTEM. System braucht Vollzugriff.

milli4503

hi milli4503.
war eine gute idee mit gpedit.msc. es sind so ca 6 rechner.kann ich unter liste exportieren diese nicht auf die anderen rechner überspielen ?
und noch eine frage, wenn ich mich an die domän anmelden will, kommt die meldung: das servergespeicherte benutzerprofil wurde nicht geladen.......
kann ich damit nicht was anfangen?

gruß
achim

ich nochmal.
habe das gerade mal ausprobiert. nur leider kann der admin,oder ein user mit adminrechten, auch nichts mehr machen wenn ich per administrative vorlagen was verbiete.

ist auch nicht so gut....


gruß
achim

hey achim_22

also bei 6 rechner kannst du auch jeden einzeln mit den gruppenrichtlinien konfigurieren, wenn du es nicht mit den sicherheitsvorlagen machen willst. obwohl dies eigentlich ganz leicht ist.

du kannst dich natürlich in den richtlinien auch als admi raussperren. und noch was, vorallem bei nur 6 rechnern: es sollte keine user mit admin_rechten geben!!!!!

dass mit dem benutzerprofil kann ich jetzt so nicht nachvollziehen. zuwenig info`s.
gehe davon aus, dass die benutzerprofile am server gespeichert sind. dass diese nicht von den usern geändert werden können, muss die ntuser.dat in ntuser.man umbenannt werden. und dann den usern vollzugriff auf die datei geben. sonst können sie die profile ja nicht laden.

aber um genaueres zu sagen wären mehr info`s gefragt.

gruss milli4503

hi milli4503!
so bin wieder da. hatte eine schwere grippe mit fieber etc.

der controler ist eine suse die als domäncontroler dient. die benutzer werden über suse angelegt. das heißt es gibt keinen benutzernamen auf den clients die dort abgespeichert werden. das profil , denke ich mal, wird von dem domäncontroler aus bereitgestellt.
die benutzer können schon jetzt nicht mehr alles machen. ip ändern etc.
vieleicht muss ich nur unter suse die rechte noch mehr einschränken, für gewisse benutzer. wenn diese sich dann anmelden werden diese so auf die windowrechner mit übernommen. aber wie gesagt, wissen tue ich es nicht zu 100 % .

gruß
achim

Ich klemm mich jetzt mal dazwisch, da ich ähnliche Probleme und auch schon erste Lösungsansätze habe.

1.) In gpedit.msc würde ich bei der Verwaltung von Gruppenrichtlinien erstmal überhaupt nicht mehr rumspielen. Diese Einstellungen, die du dort machst sind nur für diesen einen PC gültig und können nicht ohne weiteres auf andere PCs übertragen werden. Heißt: Du müsstest an jedem PC die Einstellungen manuell übernehmen = Lästig ;-)

2.) Wenn du mehrere PCs hast und alle auf die gleichen Gruppenrechtlinien zugreifen sollen benötigst du eine ntconfig.pol im NETLOGON-Verzeichnis deines Samba-Servers.

3.) Die zentrale Gruppenrechtlinieverwaltung wird über Samba OHNE pol-Dateien NIE läufen, da du mit deinem Samba-Server eine Windows-NT-Domäne nachbildest. Und eine NT-Domäne kann das einfach nicht. Bleibt dir nur die Möglichkeit mit den POL-Dateien.

4.) Um Pol-Dateien zu erstellen benötigst du Poledit von der Windows 2000 Server CD. Natürlich kann man sich auch schon was fertiges runterladen von z.B.: www.gruppenrechtlinien.de Du öffnest poledit --> Fehlermeldung wegklicken --> unter Optionen die Richtlinien hinzufügen --> Dann unter Datei Richtlinie hinzufügen, die entsprechenden Einstellungen vornehmen.

5.) Da du verschiedenen Benutzern verschiedene Rechte geben möchtest aber die Administratoren von all diesen Eigenschaften ausschließen willst, musst du mit poledit die entsprechenden Benutzer und Gruppen (von der Domäne) in das Programm hineinladen. Ab jetzt kannst du für jedes einzelne Element (Gruppe und User) entsprechende Einstellungen vornehmen.

Bis hierhin hat auch bei mir alles geklappt, aber jetzt kommen die Probleme:
1.) Ich habe zwei Gruppen im poledit und die domadmin-Gruppe überlagert die domuser-Gruppe. Nicht das ich mich als Admin anmelden will und nur User bin. Allein diese Einstellung klappt nicht wirklich. Damit das klappt musste ich mich per LDAP-Browser explizit aus der Gruppe der User entfernen. In den domadmins bleib ich natürlich weiterhin drin!!!

2.) Nach späteren Änderungen (auf jeden Fall nachdem ich mich schon mal angeldet habe) an der ntconfig.pol werden die geänderten Einstellungen erst übernommen, wenn ich das serverseitige und das clientseitige Profil gelöscht und mich neu angemeldet habe.

Ich hoffe ich konnte dir helfen und würde mich freuen, wenn auch mir jemand Hilfe geben kann.

Danke euch

Stefan

Meine beiden Fragen 1 und 2 haben sich soebend geklärt.

Dadurch, dass ich in den Admin-Vorlagen alles auf "nicht konfiguriert" hab stehen lassen, wurden meine User-Einstellungen auch NIE mit denen der Admin-Vorlage überschrieben. Folglich brauchte ich also nur immer das Gegenteilige der User-Vorlagen in die Adminvorlagen fest zu integrieren.

Und siehe da: jetzt klappts. Freu!

Stefan

danke für die antwort.
ich bin morgen bei dem kunden vor ort und werde dieses mal so ausprobieren.

melde mich sobald ich fertrig bin

gruß
achim