Jump to content

Domäne wie zeitweise lokaler admin auf den clients


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

inzwischen haben alle Clients Windows 10 und auch lokal nur noch Benutzer Rechte.

 

Zwei Benutzer sollen aber Software installieren dürfen und auch Systemeinstellungen ändern (Administratoren Rechte)

 

Wie ist die Vorgeschlagene Lösung um den zwei Benutzer zeitweise "mit ausführen als" Administratoren Rechte zu geben.

 

Mir sind 2 Optionen eingefallen:

- lokaler Benutzer Account anlegen mit Administratorenrechten und diesen als ausführen als aufrufen, funktionierte beim Testen

 

- zweiten Benutzer in der Domäne anlegen mit Adminrechten und diesen dann benutzen, das habe ich auch getestet hat allerdings nicht funktioniert die Fehlermeldung:

Der angeforderte Vorgang benötigt höhere Rechte (obwohl der Benutzer Mitglied von Administratoren war)

 

Wie wird so etwas normalerweise gelöst?

 

Danke

Link zu diesem Kommentar
vor 24 Minuten schrieb prinzenrolle:

nein, aber mit dem Domänen "Administrator" Account funktioniert es ja auch.

Die DomänenAdmingruppe ist ja auch lokaler Admin auf allen PCs (per Default, was ziemlich blödes Design ist und geändert werden sollte.

Also wirst du wohl dem DomänenAccount lokale Adminrechte auf dem/den jeweiligen PC geben müssen. Ja das geht per GPO.

Link zu diesem Kommentar

Moin,

 

... und zwar so:

 

[Verwaltung der lokalen Administratoren - Gruppenrichtlinien by Mark Heitbrink]
https://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/

 

[Zentrale Vergabe lokaler Berechtigungen - Gruppenrichtlinien by Mark Heitbrink]
https://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berechtigungen/


Gruß, Nils

 

Link zu diesem Kommentar

Moin,

 

vor 1 Stunde schrieb prinzenrolle:

die Benutzer benötigen nur admin Rechte lokal auf dem PC und das eben nur zeitweise.

dann erzeuge pro PC einen Admin-Account im AD, den du z.B. nach obigem Verfahren der lokalen Admingruppe zuweist. Dieser Account ist im Normalbetrieb deaktiviert und wird nur Bei Bedarf aktiviert und dann wieder abgeschaltet. Behalte dabei aber im Kopf, dass während dieser Zeit mit dem Account eben auch "alles" auf dem PC geht. Ein User könnte sich dann also einfach einen separaten Admin-Account erzeugen oder das System sonstwie kompromittieren. 

 

Einen Administrator in Windows kann man immer nur scheinbar einschränken, aber nicht wirksam.

 

Gruß, Nils

 

Link zu diesem Kommentar
vor 10 Stunden schrieb prinzenrolle:
 

- zweiten Benutzer in der Domäne anlegen mit Adminrechten und diesen dann benutzen, das habe ich auch getestet hat allerdings nicht funktioniert die Fehlermeldung:

Der angeforderte Vorgang benötigt höhere Rechte (obwohl der Benutzer Mitglied von Administratoren war)

Das Prinzip und die Fallstricke von UAC sind Dir bekannt?

Link zu diesem Kommentar

Hallo,

danke für die vielen Antworten.

 

vor 10 Stunden schrieb daabm:

Das Prinzip und die Fallstricke von UAC sind Dir bekannt?

Scheinbar nicht, aber ich vermute das es nichts mit uac zu tun hat.

 

Hallo,

vielen dank für die reichlichen Antworten und Denkanstöße.

 

Mir ist wichtig das kein Benutzer mehr lokale Administrationsrechte hat,

und dieses dann als Einfallstor von Trojanern und oder Viren ist.

 

Das es mit einem lokalen Administrator Account möglich ist sich weitere Rechte zu vergeben und ähnliches ist bekannt,

aber da liegt ganz klar nicht die Priorität. Das sind beides Accounts/PCs von Software Entwicklern.

 

Die vorgeschlagenen alternativ Lösungen werden ich mir anschauen, sobald etwas Zeit ist.

Das die Anzahl der Möglichkeiten doch wieder so breit gefächert ist hätte ich nicht gedacht.

 

Vielen vielen Dank

bearbeitet von prinzenrolle
Link zu diesem Kommentar
vor 59 Minuten schrieb prinzenrolle:

Mir ist wichtig das kein Benutzer mehr lokale Administrationsrechte hat,

und dieses dann als Einfallstor von Trojanern und oder Viren ist.

Für viele (wenn nicht alle) aktuellen Trojaner sind lokale Admin-Rechte nicht nötig. Ein Verschlüsselungstrojaner kann auch mit den Rechten eines Benutzers gehörigen Schaden anrichten. Da wären dann andere Schutzmaßnahmen nötig. ;-) 

Link zu diesem Kommentar
vor 3 Stunden schrieb prinzenrolle:

Mir ist wichtig das kein Benutzer mehr lokale Administrationsrechte hat,

und dieses dann als Einfallstor von Trojanern und oder Viren ist.

 

Moin

 

Genau genommen gibt es keine solchen Administrationrechte.

 

Administratoren sind Mitglieder der Gruppe der Admistratoren. Die Gruppe hat Berechtigung auf so ziemlich alles, auf die Access Control Lists(ACL) der Registry, der Root von Datenträgern, auf Ordner ....., schau die ACL der Objekte an!

 

Wenn ein Benutzer in die Gruppe der Administratoren aufgenommen, dann ist er Administrator nach seiner nächsten Anmeldung. Wenn dieser User dann eine behaftete Software installiert, dann wird diese installiert, wenn sie vom Virenscanner, Windows Sicherheit etc nicht erkannt wird.

bearbeitet von lefg
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...