GPO fuer TCPIP settings?

Discussion:

(zu alt für eine Antwort)

marsias

2009-09-09 16:18:01 UTC

Hallo.

Ich moechte das alle Domain user Und Local administratoren auf allen PCs,
das aendern der TCPIP settings verbieten.

Nur ein Domain Admin muss das koennen.

Ist das machtbar? Welche GPO setting(s) muss ich aendern?

Danke.

Florian Frommherz [MVP]

2009-09-09 18:34:56 UTC

Permalink

Howdie!

Post by marsias
Ich moechte das alle Domain user Und Local administratoren auf allen PCs,
das aendern der TCPIP settings verbieten.
Nur ein Domain Admin muss das koennen.

Um die Nachricht aus den englischen Newsgroups zu übersetzen:
Geht nicht - es gibt kein Recht, das Berechtigungen für
Netzwerkeinstellungen vorschreibt/einstellt. Normale Benutzer dürfen die
Netzwerkeinstellungen nicht verändern, lokale Administratoren dürfen es.

Deine Regeln müssten also lauten:
- wenn sie die Einstellungen nicht ändern sollen: normale Benutzer
- wenn sie die Einstellungen ändern sollen:
Netzwerkoperatoren/Netzwerkkonfigurations-Operatoren

Cheers,
Florian

--
Microsoft MVP - Group Policy
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Maillist (german): http://frickelsoft.net/cms/index.php?page=mailingliste

Marco J.

2009-10-18 17:30:15 UTC

Permalink

Hallo

Post by Florian Frommherz [MVP]
Geht nicht - es gibt kein Recht, das Berechtigungen für
Netzwerkeinstellungen vorschreibt/einstellt. Normale Benutzer dürfen die
Netzwerkeinstellungen nicht verändern, lokale Administratoren dürfen es.
- wenn sie die Einstellungen nicht ändern sollen: normale Benutzer
Netzwerkoperatoren/Netzwerkkonfigurations-Operatoren

Irgendwie scheint das schon zu gehen. Ich hatte vor ein paar Jahren mal für
jemanden einen Win2k3 Root-Server eingerichtet. Ich konnte als Administrator
alles machen außer eben die öffentliche IP-Adresse bearbeiten.

Gruß

Marco

Winfried Sonntag [MVP]

2009-10-18 18:35:12 UTC

Permalink

Post by Marco J.

Du vergleichst Äpfel und Birnen. Interne IP ist nicht das gleiche wie
die externe IP.

Servus
Winfried

--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste

Marco J.

2009-10-19 21:09:08 UTC

Permalink

Post by Winfried Sonntag [MVP]
Du vergleichst Äpfel und Birnen. Interne IP ist nicht das gleiche wie
die externe IP.
Servus
Winfried

Ich rede von der IP-Adresse der Netzwerkkarte des Rootservers.
Das war wie bei einem Rootserver üblich eine öffentliche IP.
Spielt aber auch keine Rolle, die IP der Netzwerkkarte (öffentlich oder
nicht)
war auch als Admin nicht änderbar (die Felder waren grau).
Nicht dass ich vorgehabt hätte sie zu ändern, es fiel mir nur auf.

Gruß

Marco

Andreas Meile

2009-09-09 19:53:13 UTC

Permalink

Post by marsias
Ich moechte das alle Domain user Und Local administratoren auf allen PCs,
das aendern der TCPIP settings verbieten.

So etwas ist konzeptionell komplett falsch und würde dem Wunsch entsprechen,
bei Linux den "root"-Benutzer einschränken zu wollen. Merke:
Administratorenrechte (egal ob nur lokal oder domänenweit) = man darf alles,
wirklich ALLES!

=> Einzige richtige Lösung: Schauen, dass überall nur mit
Standard-Windowsbenutzerrechte gearbeitet wird. Dort, wo Programme nicht
laufen: Updates beschaffen (dank Vista hat sich vielerorts die
Software-Qualität in Bezug auf Arbeiten mit niedrigen Rechte massiv
verbessert), sonst vom Lieferant von Spezialsoftware explizit verlangen,
dass er sein Produkt nachbessert! In vielen Fällen lässt sich mit "cacls"
ein Programm häufig zum Laufen bringen.

Andreas

--
Teste die PC-Sicherheit mit www.sec-check.net