Jump to content

Domain Admin Remote Zugriff sperren

kuero

Von kuero
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

kuero Proficient

kuero   10

Geschrieben
Geschrieben

Hallo zusammen,

 

ich bin mir nicht sicher wie ich dieses Problem lösen kann. Ich hoffe ihr habt eine idee.

 

Wir haben User die Software benötigen welche nur mit Administratorrechten läuft. Da es oft Updates für die Software gibt müssen diese auch selbstständig installiert werden können. Die Software funktioniert nur wenn der User Mitglied von Domain-Admins ist.

 

Jetzt ist es aber auch für diesen User möglich sich remote oder lokal am Server anzumelden. Wie kann der User weiterhin Mitglied von Domain Admins sein, sich aber NICHT Remote oder Lokal am Server anmelden können?

 

PS: Selbst wenn die Mitgliedschaft Domain-Admins entzogen wird und nur Administrator gegeben ist, kann sich remote am Server angemeldet werden.

Link zu diesem Kommentar
XP-Fan Grand Master

XP-Fan   220

Geschrieben
Geschrieben

Hallo,

 

Wir haben User die Software benötigen welche nur mit Administratorrechten läuft. Da es oft Updates für die Software gibt müssen diese auch selbstständig installiert werden können. Die Software funktioniert nur wenn der User Mitglied von Domain-Admins ist.

 

das würde mich aber wundern das eine Software Domain Admin Rechte braucht.

 

- Um welche Software geht es denn überhaupt ?

- Sind die Benutzer auf den Maschinen ( nicht Server ) lokale Admins ?

Link zu diesem Kommentar
kuero Proficient

kuero   10

Geschrieben
  • Autor
Geschrieben

Hallo, danke erstmal für deine Nachricht.

 

Ich bin genau so verwundert. Ich habe es getestet. Wenn der User nur Mitglied von Administrator ist. Läuft es nicht.

 

Den Namen der Software möchte ich hier nicht nennen (Kundensoftware). Ich bitte um Verständnis.

 

PS: Ich gehe davon aus, das wenn ich auf dem Server beim Userkonto unter Mitglied, nur Administrator auswaähle, damit der Lokale Admin gemeint ist.

Link zu diesem Kommentar
Dukel Grand Master

Dukel   457

Geschrieben
Geschrieben
Hallo, danke erstmal für deine Nachricht.

 

Ich bin genau so verwundert. Ich habe es getestet. Wenn der User nur Mitglied von Administrator ist. Läuft es nicht.

 

Wenn es mit einem non-Admin User nicht geht heißt das nicht, dass das grundsätzlich nicht geht.

Siehe beispielhaft unter Gruppenrichtlinien - Übersicht, FAQ und Tutorials kann man evtl. die Berechtigung so anpassen, dass es als normaler User geht.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.971

Geschrieben
Geschrieben

Moin,

 

Ich bin genau so verwundert. Ich habe es getestet. Wenn der User nur Mitglied von Administrator ist. Läuft es nicht.

 

bis zu einem schlüssigen Beweis glaube ich das nicht. Ein Domänen-Admin hat auf einer Maschine keine höheren Rechte als ein Administrator. Wer anderes behauptet, hat das Berechtigungsmodell von Windows nicht verstanden (oder so lange an seinem Windows rumgeschraubt, bis er einen Gegenbeweis simuliert hat).

 

Und ansonsten gilt, was immer gilt:

 

  1. User haben keine Adminrechte
  2. Ein Admin ist ein Admin ist ein Admin
  3. Ein Admin ist nicht wirksam einzuschränken

 

Gruß, Nils

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben

moin moin

 

Ich postuliere mal:

 

Es gibt keine Adminrechte, ein Admin hat Vollzugriff auf (fast) alles, Verzeichnisse, Schlüssel. Bei W7 gibt es Verzeichnisse, darauf hat nur der Trustinstaller Zugriff.

 

Vor vielen Jahren hatte ich Lexware Professional zu installieren an allen Rechnern einer Domäne; die Installation kein Problem, nur die Domänenbenutzer konnten nicht damit arbeiten. Die Dozenten behaupteten, der funktioniere nur mit "Adminrechten". Ich stellte fest, an Einzelrechnern funktionierte es für Hauptbenutzer. Ich schaute mir also die Berechtigungen auf das Installationsverzeichnis an, gab den Domänenbenutzern das nötige Recht darauf (die Gruppe der Domänenbenutzer wurde Mitglied in der Gruppe der Hauptbenutzer, diese hatte das nötige Recht auf das Verzeichnis) und gut war es.

Link zu diesem Kommentar
jose Proficient

jose   10

Geschrieben
Geschrieben

Hallo kuero,

 

wie meine Vorredner bereits angemerkt haben, ist die Forderung nach Rechten eines Domänen-Administrators für die Ausführung von Clientsoftware absolut nicht nachvollziehbar.

 

Ich könnte mir vorstellen, dass Eure "Kundensoftware" zusätzliche Ressourcen im Netzwerk nutzen möchte, wodurch der Benutzer unter dem die Software ausgeführt wird auch entsprechende Berechtigung auf diese Ressourcen benötigen wird (ACL auf SMB, Zugang zu einer DB etc. pp). Daher vielleicht die Forderung nach den Rechten?! Aber das kann nicht Zielführend sein.

 

Da Dir die notwendigen Berechtigungen nicht bekannt sind, musst diese selbst suchen. Ich empfehle zur lokalen Suche am Client den Process Monitor von Sysinternals. Damit kannst Du während der Ausführung der Software sehen, ob ein "Access Denied" auf Registrierung, Dateien usw zurückgegeben wird.

Gleichzeitig solltest Du sehen, ob die Anwendung Netzwerkanfragen stellt, die vielleicht zu weiteren fehlenden Berechtigungen führen?! Da wäre jedoch Wireshark mein Mittel zur Wahl.

 

Ich hoffe damit kommst Du ein wenig weiter... ;)

 

Viel Erfolg!

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben
Off-Topic:
Also hab ich als Admin vollzugriff, denn auch den Trusted installer kann der Admin aushebeln..


Das mit dem Trustinstaller ist eine Randbemerkung von mir, ich hatte wohl doch drauf verzichten sollen. Natürlich ist ein Admin ist ein Admin..... .

Im Kern ging es mir darum, darauf hinzuweisen, das scheinbar benötigte "Adminrechte" nicht gottbestimmt sind, sie sind nur geglaubt und verbreitet. Wir hatten mal bei einem Wettbewerber in der Provinz einen EDV-Raum angemietet, dieser Bestandteil einer Domäne. Auch dort hatte ich Lexware Pro zu installieren, die Sekretärin wollte mir erzählen, was ich zu tun (Adminrechte geben). Sie war eine Gläubige, der Hausadmin wohl der Priester. Die Geschichte mit den Berechtigungen konnte sie natürlich nicht verstehen, ihr Wissen um die EDV war ein anderes, verständlich. Sie spielte aber die Rolle der Officequeen.
Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   811

Geschrieben
Geschrieben

Wir haben User die Software benötigen welche nur mit Administratorrechten läuft. Da es oft Updates für die Software gibt müssen diese auch selbstständig installiert werden können. Die Software funktioniert nur wenn der User Mitglied von Domain-Admins ist.

 

Was sagt eigentlich der Hersteller zu dem Problem? Mit Hilfe des ProcessMonitor kannst Du herausfinden, wo genau Du welche NTFS-Berechtigungen per GPO anpassen kannst/mußt damit die SW auch mit Benutzerrechten läuft.

 

Jetzt ist es aber auch für diesen User möglich sich remote oder lokal am Server anzumelden. Wie kann der User weiterhin Mitglied von Domain Admins sein, sich aber NICHT Remote oder Lokal am Server anmelden können?

 

PS: Selbst wenn die Mitgliedschaft Domain-Admins entzogen wird und nur Administrator gegeben ist, kann sich remote am Server angemeldet werden.

 

Die Benutzer müssen natürlich nicht Mitglied der Domain Admins sein.

Link zu diesem Kommentar
kuero Proficient

kuero   10

Geschrieben
  • Autor
Geschrieben
Moin,

 

 

 

bis zu einem schlüssigen Beweis glaube ich das nicht. Ein Domänen-Admin hat auf einer Maschine keine höheren Rechte als ein Administrator. Wer anderes behauptet, hat das Berechtigungsmodell von Windows nicht verstanden (oder so lange an seinem Windows rumgeschraubt, bis er einen Gegenbeweis simuliert hat).

 

Ich kann nicht ausschließen, das anpassungen an den Client PCs zu diesem Fehler führen. Das muss ich prüfen.

 

Und ansonsten gilt, was immer gilt:

 

  1. User haben keine Adminrechte
  2. Ein Admin ist ein Admin ist ein Admin
  3. Ein Admin ist nicht wirksam einzuschränken

 

Das würde ich auch gerne so ausführen, daher mein Post.

Link zu diesem Kommentar
nobex Veteran

nobex   10

Geschrieben
Geschrieben

Sind die Nutzer beim fehlgeschlagenen Installationstest wirklich zu lokalen Admins heraufgestuft worden? Wenn Du mit den Domänen-Gruppen getestet hast, so geschieht dies in der Tat per default nur über Mitgliedschaft in 'Domänen-Admins', welche den lokalen Admins angehören. Notwendig und empfehlenswert ist diese Vorgehensweise aber nicht, um lokalen Vollzugriff bereitzustellen.

Link zu diesem Kommentar
  • 2 Wochen später...
kuero Proficient

kuero   10

Geschrieben
  • Autor
Geschrieben
Sind die Nutzer beim fehlgeschlagenen Installationstest wirklich zu lokalen Admins heraufgestuft worden? Wenn Du mit den Domänen-Gruppen getestet hast, so geschieht dies in der Tat per default nur über Mitgliedschaft in 'Domänen-Admins', welche den lokalen Admins angehören. Notwendig und empfehlenswert ist diese Vorgehensweise aber nicht, um lokalen Vollzugriff bereitzustellen.

 

Absolut richtig, genau so verhält es sich bei mir. Es scheiden sich zwar die Geister, weil andere meinen das dem nicht so sein kann und ich streite dies sicher nicht ab, allerdings verhält sich mein system wie auch von dir und zuvor von mir erläutert.

 

Habe allerdings noch keine andere Lösung die funktioniert gefunden. Ich werde wohl oder übel damit leben müssen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...