Einen User mit beschränkten Rechten erstellen

[antixp 10]

Hallo zusammen,

 

ich stehe hier irgendwie auf der Leitung. Vielleicht ist es ja gar nicht so schwer, aber ich denk schon die ganze Zeit nach wie ich es anstellen soll:

 

Kunde von uns möchte keine Adminrechte für seine User haben (ist ja auch vorbildlich). Dennoch muss ein Account erstellt werden, damit der Kunde eine Software selbst updaten und nachinstallieren kann. Dafür brauch er Adminrechte.

 

Ich möchte aber vermeiden, das dieser User irgendwas auser dieser Berechtigung mit Adminrechten noch machen kann. Also möchte ich einen Admin anlegen, denn ich in seiner Berechtigung soweit wie möglich beschneiden möchte. - Ist das Überhaupt möglich? Wenn ja wie? Oder, - Ist das überhaupt der richtige Ansatzpunkt?

[zahni 521]

Nein, der Kunde brsucht i.d.R. dann Schreibrechte auf C:\Windows ; C:\Programme und die Registry. Das reicht für Trojaner & Co völlig aus.

 

Du kannst dem Kunden aber zei konten einrichten. Eins zum Software installieren und eins zum Arbeiten.

 

-Zahni

[posterboy 10]

hi,

 

vielleicht ist der Kunde auch mit der sekundären Anmeldung einverstanden. Er muss dafür einfach " ausführen als" auswählen und gut.

 

gruß

posterboy

[antixp 10]

Es wird ein 2tes Konto geben. Die User bekommen unter ihrem namen nur Bentzerrechte.

Mir geht es eher darum, das er nicht User anlegt oder in GL-Dateien rumsucht, etc. Wir haben mit der Firma schon öfters ungute Erfahrungen gemacht und konnten uns darauf einigen, das es definitiv keinen Admin mehr in der Firma gibt. Aber wie es halt immer so ist, gibt es eben immer einen Haken. Dieser Haken ist die Software die wir nicht supporten. Und nur wegen der Software müsste ich jetzt einen Account mit allen Möglichkeiten eines Admins anlegen. - Also, wieder keine Kontrolle über den Laden. Da bekomme ich echt Bauchschmerzen. Es muss doch eine Möglichkeit geben einen Install-Admin zu konfiguieren der auch nichts anderes darf.

[grizzly999 11]

Dennoch muss ein Account erstellt werden, damit der Kunde eine Software selbst updaten und nachinstallieren kann. Dafür brauch er Adminrechte.

Unter Umständen braucht das Konto keine Adminrechte, sondern nur besondere Rechte im Dateisystem und in der Registry, evtl. zusätzliche Benutzerrechte.

Der erste Weg, das heruaszufinden wäre ein Anruf bei der Firma, die die Software entwickelt. Die können einem evtl. sagen wo (leider meistens nicht, weil viele Programmierer nicht richtig programmieren können).

 

Dann gäbe es den Weg mit Hilfe der Überwachungsrichtlinien und Überwachung von Fehlschlägen im Dateisystem und der Registry, zus. Überwachung der Fehlschläge der Rechteverwendung herauszufinden, wo das Programm mit Benutzerrechten ausgeführt, scheitert. Das dann sukzessive öffnen und weitertesten.

 

 

grizzly999

[ChristianHemker 10]

Reicht da nicht ein lokales Admin Konto aus?

Er muss ja nicht gleich domänenweit Adminrechte haben.

[antixp 10]

Danke Grizzly999. Das werde ich mal ausprobieren. Hallo Christian. Das mit dem lokalen Admin ist gut gemeint. Aber bei dem Kunden bin ich ziemlich skeptisch. Selbst damit kann der Kunde jede Menge Mist anrichten.

 

Danke nochmal für die Rasche Hilfe.

[ChristianHemker 10]

Ich kenne sowas. Hatte auch mal so einen Kunden, nur das dieser zum Glücknicht auf Installationsmöglichkeit bestanden hat.

Da hat eine einfache Verwaltungsdelegierung in AD gereicht, damit er Routineaufgaben wie Passwort zurücksetzen selbst machen konnte.

[lefg 276]

Hallo,

 

wäre die Delegation der Berechtigung zum Installieren und Warten von Software nicht eine Möglichkeit? Stichwort Delegation

 

Grizzly beschrieb es im Prinzip schon, es geht beim Installieren um die Berechtigung zum Schreiben auf Verzeichnissse und Registrykeys. Die meisten Leute scheinen an der Registry zu scheitern. Sie wissen nicht wohein die Installationsroutine schreiben möchte. Es gibt Software, das festzustellen, bei Sysinternals.com. Das Thema hatten wir schon oft hier am Board.

 

Gruß

 

Edgar

[JEKRFW 10]

Ich denke auch das Delegation ein gutes Mittle wäre denn da ertelst Du ja nur Teilrechte und nicht smtliche Berechtigungen eines Admins

[antixp 10]

Gut. Das klingt wirklich gut. Aber wie mache ich das mit der Delegierung?

Gibt es da schon einen Eintrag. Ich habe nichts dazu gefunden.

[lefg 276]

Ich glaube, ich muss mich entschuldigen.

 

Mit der Delegation habe ich den Kopf aus dem Fenster gesteckt und kriege ihn (im Moment) nicht wieder rein.

 

Ich finde die Geschichte nicht mehr mit dem Delegieren auf W2k3. Ist das vieleicht ein Begriff von 2k?

 

Bei 2k3 gibt es die Objektverwaltung, aber auch da kann ich im Moment nichts zur Lösung des beschriebenen Problems finden.

 

Ich schaue mal weiter.

 

Gruß

 

Edgar

[mawihst 10]

Weiß nicht wirklich ob es funktioniert aber was ist wenn eine OU erstellt wird die dann per GPO das Recht erhält "Immer mit erhöten Rechten installieren" (unter Administrative Vorlagen->Windows Installer) Das soll folgendes bewirken : "Veranlasst Windows Installer, Systemberechtigungen bei der Installation von Programmen zu verwenden.

 

Diese Einstellung erweitert erhöhte Berechtigungen für alle Programmen. Die Berechtigungen gelten normalerweise nur für Programme, die dem Benutzer (wie z. B. Programme auf dem Desktop) oder dem Computer (diese werden automatisch installiert) zugewiesen wurden. Sie gilt aber auch für Programme, die unter "Software" in der Systemsteuerung verfügbar sind. Diese Einstellung ermöglicht es Benutzern, Programme in Verzeichnissen zu installieren, auf die sie normalerweise keinen Zugriff haben inklusive Verzeichnissen auf stark eingeschränkten Computern.

 

Wenn Sie die Einstellung deaktivieren oder nicht konfigurieren, werden die aktuellen Benutzerberechtigungen für Installationen von Programmen, die nicht vom Systemadministrator zugewiesen oder angeboten werden, angewendet.

 

Hinweis: Diese Einstellung besteht sowohl für die Computerkonfiguration wie auch für die Benutzerkonfiguration, d. h. Sie müssen die Einstellung in beiden Ordnern aktivieren.

 

Warnung: Fortgeschrittene Benutzer können die von dieser Einstellung zugewiesenen Berechtigungen verwenden, um ihre Berechtigungen und Zugriffsrechte auf eingeschränkte Dateien und Ordner permanent zu ändern. Beachten Sie, dass die Einstellung für die Benutzerkonfiguration nicht sicher ist."

 

vielleicht hilft das ja

[grizzly999 11]

Anm: Diese Richtlinie gilt aber nur für Installationen über MSI-Dateien, keine .exe oder andere Installationsdateien

 

 

grizzly999

[lefg 276]

Ich interpretiere die Anfrage des TO so: Die Berechtigung des User gilt nur zur Installation, Update eines bestimmten Programmes, nicht für andere Programme.

 

Ich bin gestern leider nicht dazu gekommen, mir über diese Geschichte weitere Gedanken zu machen, muss mich um meine alte Dame kümmern.