Zwischenfrage!
 

Wie kann man, als Domain-Administrator, Zugang zu den Daten auf dem Domain Client-Rechner erlangen ohne daß der User diese am Clientbetriebsystem freigibt?

LG:
confused:

Hi there!

Indem man die Administrativen, unsichtbaren Freigaben nutzt und einfach zugreift:

\\Client-Rechnername\C$

Damit kann man alles aus der Domäne lesen. Sollte etwas dem Domain Admin nicht als Lesen zugewiesen sein, kann er sich simpel als Besitzer eintragen und dann auch diese Rechte ohne Rückfrage beim alten Besitzer ändern.

WIE kann er sich simpel als Besitzer eintragen und dann auch diese Rechte ohne Rückfrage beim alten Besitzer ändern?

LG:
:confused:

Deswegen gibtes ja die Admins. Bei Linux sind es halt die Roots. Die dürfen halt mehr. Deshalb solltest du als User eingeloggt sein, wenn du im Internet arbeitest. Dann können die Viren und Trojaner nicht ganz soviel Unfug anstellen.

Hi there!

Rechts klick auf eine Datei/Ordner/Objekt und "Sicherheit". Dort bearbeiten.

Warum sollte er mehr dürfen? Wenn er sich laut c23 erst als Besitzer eintragen muß......
um auf Dateien zugreifen zu können was der User schon kann

Wie ist noch unbeantwortet!

LG:

Das bedeutet daß der Domain - Admin keinen Zugang hat solange ich ihn nicht an meinen PC lasse?

LG

Hi there!

Wieso sollte ein Admin auf einen PC davor sitzen? Das macht man übers Netz, das ist der Sinn eines Netzwerkes.
ich betreue Kunden quer durch at ohne dahin zu fahren. Man kann durchaus auch so auf andere Rechner, solange diese im Domänennetzwerk angehörig sind, normal zugreifen.

Das WIE genau habe ich oben geschrieben, aber eine Windows Administrations Einschulung mache ich hier jetzt ned.

Akzeptier es: ist das Netzwerkkabel an geht vieles. Ist jemand Admin geht dann so ziemlich alles.

Ned umsonst gibts T-shirts "Ich bin root, ich darf das!"

Jetzt tu ich mir etwas schwer:
Wer hat meinem PC gesagt, dass dieser Domänen-Admin auch Admin auf meiner Gurke ist? Vorher muss das erstmal eingerichtet werden, sonst gilt das ja nicht - und das passiert nicht mit Joinen in eine Domäne - kann es mir nicht vorstellen.
Lokal habe ich nur einen Administrator User, in der Gruppe Administratoren sind nur lokale User.

Jack, das ist ganz einfach.
Die Schule zwingt alle Schüler, sich ein Xp Professional, Vista Business oder Win7 Business zu kaufen.
Mit Microsoft Windows Professional/Business/Ultimate (NICHT mit Ms Windows Home !) kann man sich an einer Domäne anmelden.
Und die Schule zwingt alle Schüler, sich auf dieser Domäne anzumelden.
Wenn sie das nicht tun, dann sind sie vom Netzwerk ausgeschlossen und können gar nichts machen, so einfach ist das.

Oder in anderen Worten gesagt:
Wenn du dich als Client auf einer Domäne anmeldest, übergibst du automatisch die vollständige Kontrolle über deinen Rechner an den Domänen-Admin.
Damit gibst du faktisch die Admin-Rechte ab.
Du bist natürlich schon noch Admin, solange du noch Zugang zu einem Admin-Benutzer hast.
Aber da der Domänen Admin alles machen kann, kann er dich ganz einfach aus deinem Rechner aussperren, wenn er das möchte.
Oder er kann jegliche Policies auf allen Clients erzwingen bzw. festlegen, und damit machen alle Clients sofort nur noch das, was der Domänen-Admin will.

Das ist in einem Firmen-Netzwerk auch der Sinn der Sache.
Einmal abgesehen davon, daß der Mist einen Höllen-Traffik auf dem Netzwerk erzeugt, denn praktisch jeden Furz den irgendein Client macht, muss er mit der Domäne abstimmen.
Und natürlich brauchst du auch einen sehr starken Server.
Es gibt wirklich nichts ineffizienteres als einen Microsoft Domänen-Server.
Daher haben wir das Zeug schon vor 15 Jahren rausgeschmissen.

Wir brauchen das einfach nicht mehr, denn im Internet gibts sowieso kein Microsoft-Netzwerk, da gibts prinzipiell außer Tcpip sowieso nichts anderes.
Ich habe zu diesem Thema vor langer Zeit mal eine Schulung bekommen.
Aber ich habe es schon sehr lange nicht mehr gebraucht, weil das ist Technologie vom vorigen Jahrtausend.
Das ist vielleicht in kleinen Firmen mit wenigen Rechnern noch ganz übersichtlich.
In wirklich großen Netzwerken ist das aber derartig komplex, daß das kein vernünftiger Mensch wirklich einsetzen will.

Wie auch immer, es kann ja jede Firma tun was sie will.
Aber mit derartigen Zwangsmethoden die Kontrolle über private Rechner an sich zu reißen, das ist meiner Ansicht nach etwas, daß kein vernünftiger Schuldamin wirklich will.
Denn wenn irgendwas auf dem Netzwerk passiert, setzt er sich damit automatisch dem Verdacht aus, daß er manipuliert hat.
Oder wenn er irgendeinen blöden Fehler macht, dann kann der im schlimmsten Fall wichtige Daten von allen Rechnern löschen.

Oder wenn er so ein "Profi" ist, wie sie anscheinend bei Sony arbeiten, dann verteilt er brav einen Virus an alle Clients, und die können sich praktisch nicht dagegen wehren.
Denn der Admin hat ja Schreibrechte auf allen Clients.
Es ist wie gesagt ein Wahnsinn.
Wenn ich alle Clients einfach nur per Tcpip anbinden würde, so wie es jeder vernünftige Mensch heutzutage macht, dann kommt der nicht so leicht auf meinen Rechner, wenn ich alle Sicherheitsupdates installiert habe, einen aktuellen Virenscanner drauf habe und wenn ich die Firewall laufen habe.