Jump to content
prinzenrolle

Domäne wie zeitweise lokaler admin auf den clients

Recommended Posts

Hallo,

inzwischen haben alle Clients Windows 10 und auch lokal nur noch Benutzer Rechte.

 

Zwei Benutzer sollen aber Software installieren dürfen und auch Systemeinstellungen ändern (Administratoren Rechte)

 

Wie ist die Vorgeschlagene Lösung um den zwei Benutzer zeitweise "mit ausführen als" Administratoren Rechte zu geben.

 

Mir sind 2 Optionen eingefallen:

- lokaler Benutzer Account anlegen mit Administratorenrechten und diesen als ausführen als aufrufen, funktionierte beim Testen

 

- zweiten Benutzer in der Domäne anlegen mit Adminrechten und diesen dann benutzen, das habe ich auch getestet hat allerdings nicht funktioniert die Fehlermeldung:

Der angeforderte Vorgang benötigt höhere Rechte (obwohl der Benutzer Mitglied von Administratoren war)

 

Wie wird so etwas normalerweise gelöst?

 

Danke

Share this post


Link to post
Share on other sites
vor 7 Minuten schrieb NorbertFe:

Auf der lokalen Maschine?

nein, aber mit dem Domänen "Administrator" Account funktioniert es ja auch.

Obwohl dieser doch auch kein Admin lokal ist.

 

Danke NorbertFe :-)

Share this post


Link to post
Share on other sites

der ist aber in der lokalen Admin Gruppe des PCs drinnen!

 

sollen die beiden "Unternehmens weit" oder nur auf ihrem PC Administrative Rechte haben. wenn Letzteres, dann sollte ein zweites Konto lokal in die Admingruppe. 

Edited by Squire

Share this post


Link to post
Share on other sites
vor 24 Minuten schrieb prinzenrolle:

nein, aber mit dem Domänen "Administrator" Account funktioniert es ja auch.

Die DomänenAdmingruppe ist ja auch lokaler Admin auf allen PCs (per Default, was ziemlich blödes Design ist und geändert werden sollte.

Also wirst du wohl dem DomänenAccount lokale Adminrechte auf dem/den jeweiligen PC geben müssen. Ja das geht per GPO.

Share this post


Link to post
Share on other sites

Moin,

 

... und zwar so:

 

[Verwaltung der lokalen Administratoren - Gruppenrichtlinien by Mark Heitbrink]
https://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/

 

[Zentrale Vergabe lokaler Berechtigungen - Gruppenrichtlinien by Mark Heitbrink]
https://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berechtigungen/


Gruß, Nils

 

Share this post


Link to post
Share on other sites

Hallo,

die Benutzer benötigen nur admin Rechte lokal auf dem PC und das eben nur zeitweise.

 

-> am einfachsten ist es wohl einen lokalen Benutzer anzulegen und dieser mit admin rechten zu versehen.

 

Grüße und danke

Share this post


Link to post
Share on other sites
vor 5 Minuten schrieb prinzenrolle:

am einfachsten ist es wohl einen lokalen Benutzer anzulegen und dieser mit admin rechten zu versehen.

Und wo ist da eine zeitliche Beschränkung? und vor allem, wie setzt du da das Passwort ggf. zurück? Evtl. wär ja LAPS eine Lösung für dich :)

Share this post


Link to post
Share on other sites

Moin,

 

vor 1 Stunde schrieb prinzenrolle:

die Benutzer benötigen nur admin Rechte lokal auf dem PC und das eben nur zeitweise.

dann erzeuge pro PC einen Admin-Account im AD, den du z.B. nach obigem Verfahren der lokalen Admingruppe zuweist. Dieser Account ist im Normalbetrieb deaktiviert und wird nur Bei Bedarf aktiviert und dann wieder abgeschaltet. Behalte dabei aber im Kopf, dass während dieser Zeit mit dem Account eben auch "alles" auf dem PC geht. Ein User könnte sich dann also einfach einen separaten Admin-Account erzeugen oder das System sonstwie kompromittieren. 

 

Einen Administrator in Windows kann man immer nur scheinbar einschränken, aber nicht wirksam.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
vor 3 Stunden schrieb NilsK:

Ein User könnte sich dann also einfach einen separaten Admin-Account erzeugen oder das System sonstwie kompromittieren.

Dafür reicht ja schon der physikalische Zugang zum PC. :P

Share this post


Link to post
Share on other sites
vor 10 Stunden schrieb prinzenrolle:
 

- zweiten Benutzer in der Domäne anlegen mit Adminrechten und diesen dann benutzen, das habe ich auch getestet hat allerdings nicht funktioniert die Fehlermeldung:

Der angeforderte Vorgang benötigt höhere Rechte (obwohl der Benutzer Mitglied von Administratoren war)

Das Prinzip und die Fallstricke von UAC sind Dir bekannt?

Share this post


Link to post
Share on other sites

Hallo,

danke für die vielen Antworten.

 

vor 10 Stunden schrieb daabm:

Das Prinzip und die Fallstricke von UAC sind Dir bekannt?

Scheinbar nicht, aber ich vermute das es nichts mit uac zu tun hat.

 

Hallo,

vielen dank für die reichlichen Antworten und Denkanstöße.

 

Mir ist wichtig das kein Benutzer mehr lokale Administrationsrechte hat,

und dieses dann als Einfallstor von Trojanern und oder Viren ist.

 

Das es mit einem lokalen Administrator Account möglich ist sich weitere Rechte zu vergeben und ähnliches ist bekannt,

aber da liegt ganz klar nicht die Priorität. Das sind beides Accounts/PCs von Software Entwicklern.

 

Die vorgeschlagenen alternativ Lösungen werden ich mir anschauen, sobald etwas Zeit ist.

Das die Anzahl der Möglichkeiten doch wieder so breit gefächert ist hätte ich nicht gedacht.

 

Vielen vielen Dank

Edited by prinzenrolle

Share this post


Link to post
Share on other sites
vor 48 Minuten schrieb prinzenrolle:

Das sind beides Accounts/PCs von Software Entwicklern.

Für Entwickler könnte es eine Alternative sein in VMs z.B. auf dem Client zu testen.

Share this post


Link to post
Share on other sites
vor 59 Minuten schrieb prinzenrolle:

Mir ist wichtig das kein Benutzer mehr lokale Administrationsrechte hat,

und dieses dann als Einfallstor von Trojanern und oder Viren ist.

Für viele (wenn nicht alle) aktuellen Trojaner sind lokale Admin-Rechte nicht nötig. Ein Verschlüsselungstrojaner kann auch mit den Rechten eines Benutzers gehörigen Schaden anrichten. Da wären dann andere Schutzmaßnahmen nötig. ;-) 

Share this post


Link to post
Share on other sites
vor 3 Stunden schrieb prinzenrolle:

Mir ist wichtig das kein Benutzer mehr lokale Administrationsrechte hat,

und dieses dann als Einfallstor von Trojanern und oder Viren ist.

 

Moin

 

Genau genommen gibt es keine solchen Administrationrechte.

 

Administratoren sind Mitglieder der Gruppe der Admistratoren. Die Gruppe hat Berechtigung auf so ziemlich alles, auf die Access Control Lists(ACL) der Registry, der Root von Datenträgern, auf Ordner ....., schau die ACL der Objekte an!

 

Wenn ein Benutzer in die Gruppe der Administratoren aufgenommen, dann ist er Administrator nach seiner nächsten Anmeldung. Wenn dieser User dann eine behaftete Software installiert, dann wird diese installiert, wenn sie vom Virenscanner, Windows Sicherheit etc nicht erkannt wird.

Edited by lefg

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...