Jump to content

SVR2016 Benutzerrechte


Recommended Posts

Hallo,

ich habe hier einen Windows Server 2016, zunächst ohne AD-DC und möchte ein lokales Benutzerkonto,

nur zum Neustarten/Runterfahren. Ansonsten keine Rechte.

Also Benutzer angelegt:

net user neustart /add

Passwort setzen, ok.

Dann Gruppenrichtlinie setzen:

Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Zuweisen von Benutzerrechten/

Herunterfahen des Systems, Benutzer neustart hinzufügen.

 

Das klappt auch soweit ganz gut, er gehört zur Gruppe 'Benutzer' und kann weder gpedit, noch secpol oder wf aufrufen.

Aber Neustarten und Herunterfahren.

 

Leider stellte ich fest, das er doch über die Powershell Programme herunterladen kann zB Firefox

und diese auch bedingt installieren kann.

Die Abfrage nach dem Admin-Kennwort mit nein übergehen und fertigstellen.

Firefox lässt sich aufrufen.

 

Wie kann ich das Installieren von Software verhinden? Gibt's einen Trick?

 

MfG

 

Link to comment

Hi,

 

das Probleme sind an der Stelle die Installer / Programme, die dann einfach ins Benutzerprofil installieren. Da hat der User halt Ausführen- und Schreibrechte, An der Stelle hilft nur

  • ein Proxy, um den Zugriff auf das Internet zu regeln.
  • ein Application Whitelising bspw. App Locker oder Windows Defender Application Control, um festzulegen, was der User Ausführen darf.

Die generelle Frage wäre, was hast du denn am Ende vor?

 

Gruß

Jan

  • Like 1
Link to comment

Ein neuer Mitarbeiter soll im Zweifelsfall die Maschine neustarten dürfen, wenn die anderen Coronabedingt

gerade nicht da sind, aber das Admin-Passwort bekommt er noch nicht. Nur den Zugang zum Raum.

Nicht meine Entscheidung. Mehr kann ich dazu nicht sagen.

Remote ist nicht möglich wg strikter Trennung der Netze.

 

MfG

 

 

 

 

Link to comment

Hi,

 

in meinen Augen scheint das Szenario nicht ganz zu Ende gedacht. Was macht der Kollege wenn der Reboot nicht hilft? Ansonsten sollte der Neustart auch ohne Account machbar sein. Da der Kollege Zutritt zum Server hat, könnte er kurz auf Power drücken und den Shutdown abwarten und danach einfach wieder einschalten.

 

Das Admin Passwort sollte keiner haben bzw. gut dokumentiert abgelegt sein. Die Admins sollten passende, personalisierte administrative Accounts haben. :-)

 

Gruß

Jan

 

Link to comment

Danke für Eure Antworten,

siche,r Schalter drücken wäre auch eine Option.

Wie soll der Neustart ohne Account funktionieren?

Wie wird das eingerichtet?

 

Neustart geht, auch wenn die Datenbank steht und der Tomcat spinnt.

Danach läuft wieder alles.

Zitat

Die Admins sollten passende, personalisierte administrative Accounts haben.

Kannst Du das bitte genauer ausführen. Was ist damit gemeint?

 

MfG

 

Link to comment
vor 1 Stunde schrieb testperson:

Das Admin Passwort sollte keiner haben bzw. gut dokumentiert abgelegt sein. Die Admins sollten passende, personalisierte administrative Accounts haben. :-)

Da hast du jetzt ein Fass aufgemacht ;-) 

 

vor 32 Minuten schrieb oelk:

Wie soll der Neustart ohne Account funktionieren?

Wie wird das eingerichtet?

Im Prinzip ist das wie als wenn du an deinem PC/Notebook den Knopf drückst. 

 

vor 1 Stunde schrieb testperson:

Da der Kollege Zutritt zum Server hat, könnte er kurz auf Power drücken und den Shutdown abwarten und danach einfach wieder einschalten.

Es geht natürlich nicht, wenn die Maschine eine Virtualisierungshost ist ;-) 

 

Update:

 

Folgende Umsetzung würde ich empfehlen:

  1. Lege eine domänenlokale AD-Gruppe an
  2. Lege einen separaten Benutzers zum Durchführen eines Neustarts remote an
  3. Füge den Benutzer oder eine andere globale Gruppe in die erstelle domänenlokale Gruppe
  4. Verteile und Berechtige die domänenlokale Gruppe an die Server via GPO "Erzwingen des Herunterfahrens von einem Remotesystem" Erzwingen des Herunterfahrens von einem Remotesystem (Windows 10) - Windows security | Microsoft Docs
  5. Teste

 

 

Edited by MurdocX
Buchstabensalat
  • Haha 1
Link to comment
vor 3 Minuten schrieb oelk:

Eine Domäne geht auf der Maschine nicht, der Lieferant des DBMS/Software hat das nicht abgesegnet.

 

Also geht es in die Richtung, die ich mir gedacht habe. Der Reboot soll eine Applikation wieder ans Laufen bringen. Ich lese allerdings - so glaube ich - heraus, dass es nur ein Würgaround für dich ist. Sollte das "häufig" passieren, solltet Ihr - sofern noch nicht passiert - mit dem Hersteller mal intensiver ins Gespräch gehen, ob das normal ist, was da bei euch passiert.

 

Muss es wirklich ein Reboot sein, um die Applikation wieder ans Rennen zu bekommen oder würde auch ein Neustart eines / mehrerer Dienste/s helfen? Dann wäre ggfs. JEA (Übersicht zu Just Enough Administration (JEA) - PowerShell | Microsoft Docs) noch eine Option. Alternativ wäre die Frage, wie das "Nicht-Funktionieren" festgestellt werden kann und ob sich das per Aufgabe oder ggfs. per Monitoring und passender Aktion hintendran lösen lässt.

  • Like 1
Link to comment

Moin,

 

vor 37 Minuten schrieb oelk:

Ich sehe schon, wir haben da kaum Möglichkeiten.

ich kann dir nicht folgen. Was spricht gegen den Weg, der dir hier mehrfach genannt wurde, den Shutdown-Button auf dem Login-Screen einzublenden? Hast du das schon versucht?

 

Gruß, Nils

PS. ansonsten stimme ich den Kollegen zu - wenn euch der Hersteller derartige Vorgaben macht, sollte er seine Software auch ordentlich supporten, sodass sie nicht auf solch krude Workarounds angewiesen ist. Abgesehen davon, war auch nicht die Rede davon, "auf" dem Server eine Domäne einzurichten, sondern ihn in eine bestehende Domäne einzubinden.

Edited by NilsK
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...