Benutzerkontensteuerung - Erhöhte Rechte über Remote Steuerung

[bigthe 6]

Hallo zusammen,

 

aktuell suche ich einen Weg mich per Citrix Director, remote auf Windows 11 Clients zu schalten und Administrator Aufgaben auszuführen. Dabei kommt der klassische schwarze Bildschirm auf dem Client Gerät und fordert dort die Eingabe der Admin Anmeldedaten die ich auf dem Citrix Director nicht sehe.

 

Es gibt wohl einen workaround mit UAC, den ich aus Sicherheitsgründen nicht machen möchte. Bei dem Thema bin ich auf das neue Admin Protection von Windows 11 gestossen. Und habe dies auch entsprechend umgesetzt aber funktionieren mag es nicht wirklich.

 

Ich habs mal auf einem Test Client versucht, der in der Domäne ist und hab dort folgende registry Einträge gesetzt sowie die lokale Gruppenrichtlinien angepasst.

 

# Aktivieren des Administratorgenehmigungsmodus für integrierten Administrator
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "FilterAdministratorToken" -Value 1

# Alle Administratoren im Genehmigungsmodus
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "EnableLUA" -Value 1

# Sicheren Desktop für Eingabeaufforderungen aktivieren
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "PromptOnSecureDesktop" -Value 1

 

Hab ich ein denkfehler und das funktioniert gar nicht oder was mache ich falsch bzw was fehlt?

 

 

LG

bearbeitet 14. Januar von bigthe

[cj_berlin 1.551]

Also Du siehst über ICA/HDX die Maske gar nicht, wo Du den Admin eingeben sollst? Ich würde sagen, wenn es ÜBERHAUPT funktionieren soll, dann brauchst Du PropmtOnSecureDesktop=0 und nicht 1, denn 1 ist ja genau das, was Du auch so erlebst... Die Regkeys, die Du da beschreibst, sind auch nichts neues, sondern das ganz normale UAC.

 

[bigthe 6]

Hallo und danke für dein Feedback.

 

Da bin ich aber überrascht das das UAC ist!

Das hier hatte ich umgesetzt: https://it-learner.de/administrator-protection-windows-11/

 

Richtig ich sehe aktuell gar nix sobald die Admin Daten gefordert werden.

Hast du eine Idee dazu das umzusetzen? Möglichst ohne UAC?

bearbeitet 14. Januar von bigthe

[bigthe 6]

vor 17 Stunden schrieb cj_berlin:

Also Du siehst über ICA/HDX die Maske gar nicht, wo Du den Admin eingeben sollst? Ich würde sagen, wenn es ÜBERHAUPT funktionieren soll, dann brauchst Du PropmtOnSecureDesktop=0 und nicht 1, denn 1 ist ja genau das, was Du auch so erlebst... Die Regkeys, die Du da beschreibst, sind auch nichts neues, sondern das ganz normale UAC.

 

Das hat dann funktioniert.

 

Wirklich sicher scheint mir das aber nicht.

 

Admin Protection von Windows 11 wäre wohl der neue standard dazu aber auch da habe ich noch Probleme.

 

[testperson 1.927]

Hi,

 

evtl. lässt sich ein anderer / besserer Weg finden, wenn du einmal etwas genauer beschreibst, was "Administrator Aufgaben auszuführen" sind.

 

Geht es hier Citrix-seitig um Remote PC Access (auf physikalische Geräte) oder persistente Desktops?

 

Gruß

Jan

[bigthe 6]

vor 1 Stunde schrieb testperson:

evtl. lässt sich ein anderer / besserer Weg finden, wenn du einmal etwas genauer beschreibst, was "Administrator Aufgaben auszuführen" sind.

 

Geht es hier Citrix-seitig um Remote PC Access (auf physikalische Geräte) oder persistente Desktops?

Es geht darum Administrator Aufgaben auszuführen, wenn nötig, auf nonpersistent Clients im Internen Netz.

Quasi ein Gratis Remoteunterstützungs Tool.

[testperson 1.927]

Gib doch mal zwei, drei Beispiele für deine "Administrator Aufgaben".

 

vor 59 Minuten schrieb bigthe:

Quasi ein Gratis Remoteunterstützungs Tool.

Wenn es einfach nur "gratis" sein soll, dann schau dir als Alternative ggfs. Rust Desk oder Mesh Central an.

[bigthe 6]

vor 52 Minuten schrieb testperson:

Gib doch mal zwei, drei Beispiele für deine "Administrator Aufgaben".

Klassischer User support eben, also Dinge ändern wo es administrative Rechte auf dem Client benötigt.

IP Adresse ändern, Reg Einträge, bestimmte Daten löschen oder Bereinigung. Also das sind keine konkreten Bsp. Von mir, ich habe mal meine Phantasie spielen lassen.

Es gab eben die Anfrage von den Supportern, bin auch erst seit kurzem im Unternehmen daher kann ich dazu nix konkretes sagen.

 

Rust Desk sieht schon interessant aus aber ich bin mir nicht sicher ob das nicht schiessen auf Spatzen ist. Wie gesagt bin wenige Wochen dort. Soviele User sinds ja auch nicht ca 300 wovon eher 200 aktiv sind.

 

bearbeitet 15. Januar von bigthe

[testperson 1.927]

• IP Adresse ändern bei non-persistent VDI?
• Daten löschen / bereinigen
  • Reboot der VDI und ich habe alles bereinigt
  • Im User Profil eher bei der Profillösung ansetzen / ggfs. im Abmelde Script
• Eigentlich (fast) alles, was "administrative Rechte" in der VDI benötigt, wären bei mir Dinge, die ins Image wandern oder dann per GPO / Endpoint Management kommen

Beim "klassischen User Support" (zumindest was ich mir da vorstelle) dürfte eigentlich alles genau ohne Adminrechte machbar sein.

 

Das ist jetzt nicht zwingend eine Lösung für dein Problem. Es wäre allerdings eine andere Sicht auf die Dinge, um dein Problem vielleicht anderweitig anzugehen. :)