Jump to content

Gruppenrichtlinie zum unterbinden von RunAs

kuero

Von kuero
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

kuero Proficient

kuero   10

Geschrieben
Geschrieben

Hallo zusammen,

 

wir ermöglichen Mitarbeitern eine VPN Verbindung ins Firmennetz.

 

Unser Problme ist das die Mitarbeiter eingeschränkte Domänenkonten haben und die Route beim Anmelden nicht gesetzt werden kann. (funktioniert nur unter Administrator Konten).

 

Jetzt habe ich mit RunAs (pcwRunAs3 und runasspc) versucht das Problem zu umgehen und den VPN Client mit Admin Rechten laufen zu lassen.

 

Alleridings ohne Erfolg, die Tools melden immer Access Denied.

Entsprechende Benutzer und Kennwörter liegen vor.

 

Ist euch eine Domänenrichtlinie bekannt die es verhindert das Benutzer Software unter anderen Konten ausführen dürfen?

 

Diese Sache raubt mir noch den letzten Nerv.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben

Unser Problme ist das die Mitarbeiter eingeschränkte Domänenkonten haben und die Route beim Anmelden nicht gesetzt werden kann. (funktioniert nur unter Administrator Konten).

 

Was ist es denn für eine VPN-Software?

 

Ist euch eine Domänenrichtlinie bekannt die es verhindert das Benutzer Software unter anderen Konten ausführen dürfen?

 

AFAIK geht das über den Dienst Sekundäre Anmeldung. Ist der gestoppt per GPO?

 

Hmm irgendwie kommt mir Dein Anliegen bekannt vor. Kann es sein, daß wir das so ähnlich schon mal hatten von dir?

 

Das hier kennst Du hoffentlich: Setzten von Berechtigungen für Programme, die als Benutzer nicht ausgeführt werden können, aber als Administrator einwandfrei laufen

Link zu diesem Kommentar
kuero Proficient

kuero   10

Geschrieben
  • Autor
Geschrieben
Hallo,

 

 

 

kannst du die Route denn nicht permanent eintragen ? Würde das Probleme machen ?

 

Führt das langfristig nicht zu Problemen, die Mitarbeiter arbeiten in verschiedenen Netzen, unter anderem auch von zuhause aus.

 

Wie verhälts es sich wenn der Mitarbeiter in ein gleiches Subnetz kommt, oder die VPN nicht braucht da bereits im internen Netz Sitz?

Was ist es denn für eine VPN-Software?

 

Es handelt sich um einen VPN Client der OpenVPN einsetzt.

 

 

 

AFAIK geht das über den Dienst Sekundäre Anmeldung. Ist der gestoppt per GPO?
Das werde ich gleich mal Prüfen.

 

Hmm irgendwie kommt mir Dein Anliegen bekannt vor. Kann es sein, daß wir das so ähnlich schon mal hatten von dir?

Das ist möglich, bin bereits länger Angemeldet und kenne auch nicht mehr alle meine Themen.

 

 

Das habe ich gestern kurz vor Feierabend auch gefunden, allerdings muss es doch anders möglich sein. Zur Not natürlich immerhin eine weitere Möglichkeit.

Ich tippe mal auf Astaro oder was ähnliches. ;) Allein die Tatsache, dass sowas Voraussetzung für die Funktion ist, wäre ein Grund für mich es nicht einzusetzen.

 

Bye

Norbert

 

Mich ärgert es auch sehr das alle von eingeschränkten Konten reden und im nachhinein nichts dadrunter ausgeführt werden kann. Möchte es nicht direkt auf die VPN Software schieben, vielleicht sind auch die Rechte als Standart Benutzer vom BS nicht ausreichend oder meine Domänenrichtlinien die ich vor 2 Jahren gesetzt habe.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben

Es handelt sich um einen VPN Client der OpenVPN einsetzt.

 

Was sagt denn der Hersteller dazu?

 

Das habe ich gestern kurz vor Feierabend auch gefunden, allerdings muss es doch anders möglich sein. Zur Not natürlich immerhin eine weitere Möglichkeit.

 

Entweder als RunAs ausführen oder den Tipp mit MusicMatch ausprobieren. Alternativ auf eine anderen VPN-Client umsteigen.

 

 

Mich ärgert es auch sehr das alle von eingeschränkten Konten reden und im nachhinein nichts dadrunter ausgeführt werden kann. Möchte es nicht direkt auf die VPN Software schieben, vielleicht sind auch die Rechte als Standart Benutzer vom BS nicht ausreichend oder meine Domänenrichtlinien die ich vor 2 Jahren gesetzt habe.

 

Wenn eine SW nicht mit Standardrechten läuft, es aber tun sollte, und davon gibts genügend, ist sie schlichtweg kaputt, und das solltest Du dem Hersteller genauso sagen.

Link zu diesem Kommentar
kuero Proficient

kuero   10

Geschrieben
  • Autor
Geschrieben
Moin,

 

reicht es nicht, den User in die Gruppe der Netzwerkkonfigurationsoperatoren zu stecken? Oder dürfen die keine Routen setzen?

 

Gruß, Nils

 

Das kann ich nicht sagen, wobei ich diese Rechte auch nicht zwingen vergeben möchte.

Was sagt denn der Hersteller dazu?

Den werde ich noch kontaktieren, kann mir aber vorstellen das die sagen das es nicht anders geht. Kennt ihr beispiele wo das setzen von Routen auch bei Standard Benutzer für VPN Verbindungen geht, würde das dehnen gerne direkt als Argument aufführen :D

 

 

AFAIK geht das über den Dienst Sekundäre Anmeldung. Ist der gestoppt per GPO?

 

Dieser Dienst per default bei unseren Rechnen auf Manuell gesetzt, jetzt muss ich nur noch prüfen ob es eine gpo Regel ist oder das Security script.

 

Wenn ich es händisch auf automatisch ändere dann funktionieren auch die RunAs Tools, herzlichen Dank Sunny61 für diesen Tip, habe wirklich viel Zeit damit vertan, hätte ich mal direkt gefragt.

 

Kennst du zufällig die zugehörige GPO Regel dazu?

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben

Den werde ich noch kontaktieren, kann mir aber vorstellen das die sagen das es nicht anders geht. Kennt ihr beispiele wo das setzen von Routen auch bei Standard Benutzer für VPN Verbindungen geht, würde das dehnen gerne direkt als Argument aufführen :D

 

Wir haben den CISCO-VPN-Client und den AT&T Global Network Client problemlos als Benutzer im Einsatz.

 

Wenn ich es händisch auf automatisch ändere dann funktionieren auch die RunAs Tools, herzlichen Dank Sunny61 für diesen Tip, habe wirklich viel Zeit damit vertan, hätte ich mal direkt gefragt.

 

Passt schon, Hauptsache wir haben die Lösung gefunden. ;)

 

Kennst du zufällig die zugehörige GPO Regel dazu?

 

Jupp: Eingeschränkte Gruppen

Link zu diesem Kommentar
kuero Proficient

kuero   10

Geschrieben
  • Autor
Geschrieben

Die eingeschränkten Gruppen funktionieren übrigens besten.

 

Besser als ein Runas-Gefummel wäre das allemal.

 

Ich weiß nicht genau ob das zuviel des guten an Rechten für einen Standard User ist.

 

Kann dir allerdings sagen das runasspc wirklich ien super Tool ist und es ohne Probleme einmal eingerichtet auch in der Domäne hervorragende Dienste ohne gefummel leisten kann. Einmal muss es trotzdem eingerichtet werden ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...