ALT-F4 10 Geschrieben 10. Januar 2014 Melden Teilen Geschrieben 10. Januar 2014 Hallo, wir haben das Problem, dass einige Kollegen selbständig Software installieren müssen, ohne dass Sie die lokalen Adminrechte mit ihrem standartaccount bekommen. D.h. sie sollen, wenn sie nach einem adminname+passwort gefragt werden, einen separaten account nutzen, den sie jedesmall erneut eintippen müssen. wie kann ich verhindern, dass sie sich gleich beim anmelden mit dem sep. Adminaccount an der maschine anmelden und somit die vollen adminrechte haben? Danke. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 10. Januar 2014 Melden Teilen Geschrieben 10. Januar 2014 (bearbeitet) Im Endeffekt gar nicht, da jede Beschränkung die du ggf. schaffst, du ein lokales Adminkonto auch wieder aufgehoben werden kann. ;) Bye Norbert PS: Standard schreibt sich hinten mit d. ;) bearbeitet 10. Januar 2014 von NorbertFe Zitieren Link zu diesem Kommentar
MurdocX 954 Geschrieben 10. Januar 2014 Melden Teilen Geschrieben 10. Januar 2014 (bearbeitet) Hallo zusammen, für dein Anliegen habe ich eine Lösung. 1. Erstelle im AD einen Benutzer mit normalen Berechtigungen (Domänen-Benutzer). Setze unter dem Reiter "Konto" unter "Anmelden an" die Einstellung "Folgenden Computern". Lasse dabei die Karteikarte leer. 2. Erstelle eine GPO (Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen). Erstelle die Gruppe der "Administratoren". Achtung! Hier wird die lokale Administratorengruppe überschrieben, also Vorsicht walten lassen. Füge den "Administrator" (den lokalen!!), die "Domänen-Admins" und eben deinen gewünschten Benutzer ( oben erstellt ) hinzu. Nun hast du einen Administrator Benutzer, der sich aber nicht an dem Rechner anmelden darf. Durch die Gruppenrichtlinien (evtl. mit Gruppenmitgliedschaften ) kannst du dann einstellen für welche Computer die Richtlinie angewendet werden soll. Gruß Jan bearbeitet 10. Januar 2014 von MurdocX Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 10. Januar 2014 Melden Teilen Geschrieben 10. Januar 2014 Was denkst du, wie lange man braucht um als lokaler Admin diese Beschränkung auszuhebeln? Dazu muß ich nicht interaktiv angemeldet sein. ;) Zitieren Link zu diesem Kommentar
MurdocX 954 Geschrieben 10. Januar 2014 Melden Teilen Geschrieben 10. Januar 2014 ok.. wenn der Admin sich lokal wiederum ein Admin-Konto anlegt, dies den lokalen Administratoren hinzufügt, kann er sich interaktiv anmelden. Bis die Gruppenrichtlinien dies wieder überschreiben. Ja es gibt immer Wege :rolleyes: Fragt sich nur ob ein Otto-Normal-User das auch hinbekommen würde :) Den Deckel auf den Topf finde ich hier sonst nicht ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 10. Januar 2014 Melden Teilen Geschrieben 10. Januar 2014 Gruppenrichtlinien schaltet ein lokaler Admin auch einfach ab, dann wird da nix überschrieben. Admin ist Admin. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 10. Januar 2014 Melden Teilen Geschrieben 10. Januar 2014 Hi ALT+F4, ich denke, hier hilft nur, die Software zu paketieren und über einen Auslieferungsmechanismus zu installieren, der es nicht erforderlich macht, dass die Anwender Admin-Rechte brauchen. Have fun!Daniel Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 11. Januar 2014 Melden Teilen Geschrieben 11. Januar 2014 (bearbeitet) Moin, falls wirklich der User eine Installation oder ein Update durchführen muss, wie wäre es mit Ausführen als ....... http://support.microsoft.com/kb/225035/de Ansonsten, falls paketierte Software vorhanden, http://technet.microsoft.com/de-de/library/cc738858 Oder man schaue sich an WSUS, LUP! bearbeitet 11. Januar 2014 von lefg Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 12. Januar 2014 Melden Teilen Geschrieben 12. Januar 2014 Hi lefg, für 'Ausführen als' muss der Anwender aber einen administrativen Benutzernamen + Kennwort wissen, weil er die in dem DIalog eingeben muss. Da beisst die Katze sich in den Schwanz. Have fun! Daniel Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 12. Januar 2014 Melden Teilen Geschrieben 12. Januar 2014 (bearbeitet) Hallo Daniel, ja, das ist wohl so, käme aus meiner Sicht aber dem Wunsch des TO nahe. ........Software installieren müssen, ohne dass Sie die lokalen Adminrechte mit ihrem standartaccount bekommen. D.h. sie sollen, wenn sie nach einem adminname+passwort gefragt werden, einen separaten account nutzen, den sie jedesmall erneut eintippen müssen. w Der TO äussert sich nicht dazu, warum das so gewünscht wird. Ich kann mir vorstellen, es handelt sich um Entwickler. Eine andere Möglichkeit, die Benutzer sollen Updates durchführen, die automatisch nach Anmeldung an einer Webplattform angeboten werden und durchgeführt werden müssen, sonst geht es nicht weiter, kein Zugriff auf die DB. Ich habe solch einen Fall an einer Menge x Rechner. Ich habe dann der Benutzergruppe Zugriff verschafft auf das Installationverzeichnis des Programmes. Ein Manipulieren der Berechtigung auf Registrykey war in diesem Fall nicht nötig. Ich hätte gerne eine andere, eine besser kontrollierbar Möglichkeit gewählt, die Leute mussten aber arbeiten können. bearbeitet 12. Januar 2014 von lefg Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 12. Januar 2014 Melden Teilen Geschrieben 12. Januar 2014 Eine andere Möglichkeit, die Benutzer sollen Updates durchführen, die automatisch nach Anmeldung an einer Webplattform angeboten werden und durchgeführt werden müssen, sonst geht es nicht weiter, kein Zugriff auf die DB. Ich habe solch einen Fall an einer Menge x Rechner. Ich habe dann der Benutzergruppe Zugriff verschafft auf das Installationverzeichnis des Programmes. Ein Manipulieren der Berechtigung auf Registrykey war in diesem Fall nicht nötig. Ich hätte gerne eine andere, eine besser kontrollierbar Möglichkeit gewählt, die Leute mussten aber arbeiten können. Da würde ich den Betreiber des Webportals ansprechen und ihn auf die unmögliche Art und Weise hinweisen. Alternativ das Programm als Admin downloaden und mit Hilfe von WSUS und WPP auf den betroffenen Clients zur Verfügung stellen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 12. Januar 2014 Melden Teilen Geschrieben 12. Januar 2014 (bearbeitet) Da würde ich den Betreiber des Webportals ansprechen und ihn auf die unmögliche Art und Weise hinweisen. Alternativ das Programm als Admin downloaden und mit Hilfe von WSUS und WPP auf den betroffenen Clients zur Verfügung stellen. Nein Sunny, auch Du spaechest in dem Fall niemanden an, auch Du hieltest den Dienstweg ein und befolgtest die dir erteilten Befehle. :) Es gab und gibt dort keinen WSUS und keinen WPP, auch die kønnten das Update nicht zur Verfuegung stellen, denn sie hætten es nicht. bearbeitet 12. Januar 2014 von lefg Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 13. Januar 2014 Melden Teilen Geschrieben 13. Januar 2014 Nein Sunny, auch Du spaechest in dem Fall niemanden an, auch Du hieltest den Dienstweg ein und befolgtest die dir erteilten Befehle. :) Befehle erteilt mir niemand, das mag bei der BW so sein, hier jedenfalls nicht. Der Dienstweg wäre es dann sicherlich auch nicht, wie von dir durchgeführt, die Sicherheitseinstellungen von Windows zu manipulieren. Das ist sicherlich kein 'Dienstweg'. Es gab und gibt dort keinen WSUS und keinen WPP, auch die kønnten das Update nicht zur Verfuegung stellen, denn sie hætten es nicht. Dann wird es Zeit dass Du über den 'Dienstweg' einen WSUS mit WPP anforderst. :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.