SW nur als Domänen-Admin ausführen?

[s.weinschenck 10]

Hallo alle,

 

folgendes Problem:

 

Ich habe hier eine eine W2k Domäne mit div. W2k und W2k3 Servern und ca 100 W2k Clients.

Nun habe ich eine SW, die ich auf einem PC installiert habe, die der User zwingend nutzen muss.

Das Prob ist aber, das er die SW nur dann starten kann, wenn er Mitglied der Grp Domänen-Administratoren ist.

Das das nicht so richtig glücklich macht, könnt ihr euch sicher vorstellen.

Hat da jemand nen Lösungsansatz???

 

Danke schon mal

 

s.weinschenck

[IThome 10]

Du solltest mit dem Softwarehaus klären, ob es tatsächlich so ist, dass die Software mit Administrator-Privilegien ausgeführt werden muss (sicherheitstechnisch äußerst bedenklich). Aber selbst wenn es so sein sollte, müssen die User keine Domänenadmins sein, eine Zugehörigkeit zur lokalen Administratorengruppe reicht (was aber nicht weniger bedenklich ist). Unter Umständen reicht auch die Zugehörigkeit zu einer weniger privilegierten Gruppe wie die Hauptbenutzer. Ob es reichen würde, eine spezielle Sicherheitsvorlage (compatws.inf) anzuwenden, müsste man, wie schon gesagt, mit dem Softwarehersteller klären.

[s.weinschenck 10]

Dazu muss dann der Benutzer lokal auf dem Gerät mit gleichem Namen und Kennwort wie in der Domäne eingerichtet sein??

[IThome 10]

Nein, eine globale Domänengruppe, in der sich Deine User befinden, wird der lokalen Administratorengruppe zugefügt. Du kannst natürlich auch jeden einzelnen User auf dem entsprechenden Gerät der Administratorengruppe zufügen, was mehr Arbeit bedeutet, aber sicherer ist. Aber nochmal, dann sind alle User lokale Administratoren, was ein hohes Sicherheitsrisiko ist und ausserdem werden sich wahrscheinlich die Anrufe beim Domänenadmin häufen, weil die User sich irgendeinen Kram installieren :D (was sie als Administratoren uneingeschränkt tun können) und das System dann nicht mehr richtig läuft. Ich würde Dir wirklich raten, Dein Softwarehaus anzurufen und klären, ob es nicht eine andere Möglichkeit gibt. Probiere es selbst erst einmal aus, ob die Hauptbenutzer genügend Privilegien haben ...

[gordond 10]

Nun habe ich eine SW, die ich auf einem PC installiert habe, die der User zwingend nutzen muss.

 

Hallo ,

 

so wie ich das jetzt verstanden habe ist das nur ein ganz normaler Rechner,

 

hast Du dich als Domain Admin angemeldet und die Software installiert?

 

Kann mich nicht errinnern ob es die Funktion schon unter W2K gab, aber versuche mal als Benutzer die Software zu installieren.

 

Als Benutzer anmelden

 

und dann auf die entsprechenden setup.exe rechte Maustasten und "ausführen als" auswählen und dann den "lokalen Administrator" zum installieren benutzen. vielleicht hilft Dir das schon weiter.

 

Es sieht fast so aus als ob die Software nur für den Domainadministrator im Moment installiert ist. Weil Du dich als dieser angemeldet hattest.

 

Ansonsten noch ein Tipp, melde dich nur als "lokalen Administatrator" an und installiere.

Manchmal sind zuviel Rechte auch für den Admin nicht gut ;)

 

Greets Gordon

[IThome 10]

Habe ich Dich jetzt falsch verstanden ? Die Software ist für den Benutzer nicht sichtbar und deswegen nicht startbar oder kann er sie starten und sie funktioniert nicht ?

Mir fällt da auch noch die Möglichkeit ein, das Programm über runas zu starten, ob das in Deinem Umfeld praktikabel ist, kann ich leider nicht beurteilen ...

Wenn es nur ein User ist (habe ich überlesen), der diese Software benutzt, kannst Du ihn auch direkt einer der lokalen Gruppen zufügen ...

[s.weinschenck 10]

Er sieht die SW und dann beim starten erhält er eine Fehlermeldung. :(

Und richtig, die SW wurde als DA installiert.

 

s.weinschenck

[IThome 10]

Läuft sie als Hauptbenutzer ? Welche Software ist das denn ?

[Das Urmel 10]

Scahu ob du mit regmon die problematischen Keys rausfinden kannst.

Darauf dann die Berechtigungen für die User vergeben.

 

Beispiel Musicmatch

[lefg 276]

Hallo,

 

ich kenne das Problem mit einer Version von Lexware Finacial Office für den Einzelplatzrechner. Für den Start ohne Fehlermeldung und den Betrieb ist die Gehörigkeit zur Gruppe der Hauptbenutzer nötig.

Nun, die Domäne kennt keine Hauptbenutzer. Aber, es gibt die Gruppenrichtlinie Eingeschränkte Gruppen. Dort ist die Gruppe Hauptbenutzer von der WS hinzufügbar.

Das Nichtfunktionieren der Software ist auf fehlende Berechtigungen zurückzuführen; Berechtigungen auf Verzeichnisse, auf Dateien, auf Registrykeys. Es gibt Monitore, um die fehlgeschlagenen Zugriffsversuche zu verfolgen (Sysinternals.com).

 

Wie von meinen Prepostern schon angeregt, kann man beim Support des Herstellers der Software nachfragen, auf dessen Webpresenz gibt es möglicherweise eine FAQ mit der Lösung.

[Das Urmel 10]

Haben sich die Postings wohl überschnitten ;)

[lefg 276]

Off-Topic:

Haben sich die Postings wohl überschnitten ;)

Mir passiert es oft, ich schreibe eine Antwort, bekomme einen Anruf Anruf, muss eine Einstellung vornehmen, Schreibe die Antwort später in den Thread. Und dann warst du inzwischen da. ;)

[s.weinschenck 10]

Ich werd mal versuchen die Berechtigungen auf die entsprechenden Elemente zu setzen und melde mich dann wieder.

 

TX erstmal :)

[lefg 276]

Um welche Softwarem handelt es sich?

[s.weinschenck 10]

Ist ne spezielle Erweiterung unserer Lohnbuchhaltung.