prinzenrolle 12 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 Hallo, inzwischen haben alle Clients Windows 10 und auch lokal nur noch Benutzer Rechte. Zwei Benutzer sollen aber Software installieren dürfen und auch Systemeinstellungen ändern (Administratoren Rechte) Wie ist die Vorgeschlagene Lösung um den zwei Benutzer zeitweise "mit ausführen als" Administratoren Rechte zu geben. Mir sind 2 Optionen eingefallen: - lokaler Benutzer Account anlegen mit Administratorenrechten und diesen als ausführen als aufrufen, funktionierte beim Testen - zweiten Benutzer in der Domäne anlegen mit Adminrechten und diesen dann benutzen, das habe ich auch getestet hat allerdings nicht funktioniert die Fehlermeldung: Der angeforderte Vorgang benötigt höhere Rechte (obwohl der Benutzer Mitglied von Administratoren war) Wie wird so etwas normalerweise gelöst? Danke Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 vor 27 Minuten schrieb prinzenrolle: obwohl der Benutzer Mitglied von Administratoren war Auf der lokalen Maschine? Zitieren Link zu diesem Kommentar
prinzenrolle 12 Geschrieben 9. Januar 2020 Autor Melden Teilen Geschrieben 9. Januar 2020 vor 7 Minuten schrieb NorbertFe: Auf der lokalen Maschine? nein, aber mit dem Domänen "Administrator" Account funktioniert es ja auch. Obwohl dieser doch auch kein Admin lokal ist. Danke NorbertFe Zitieren Link zu diesem Kommentar
Squire 272 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 (bearbeitet) der ist aber in der lokalen Admin Gruppe des PCs drinnen! sollen die beiden "Unternehmens weit" oder nur auf ihrem PC Administrative Rechte haben. wenn Letzteres, dann sollte ein zweites Konto lokal in die Admingruppe. bearbeitet 9. Januar 2020 von Squire Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 vor 24 Minuten schrieb prinzenrolle: nein, aber mit dem Domänen "Administrator" Account funktioniert es ja auch. Die DomänenAdmingruppe ist ja auch lokaler Admin auf allen PCs (per Default, was ziemlich blödes Design ist und geändert werden sollte. Also wirst du wohl dem DomänenAccount lokale Adminrechte auf dem/den jeweiligen PC geben müssen. Ja das geht per GPO. Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 Moin, ... und zwar so: [Verwaltung der lokalen Administratoren - Gruppenrichtlinien by Mark Heitbrink]https://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/ [Zentrale Vergabe lokaler Berechtigungen - Gruppenrichtlinien by Mark Heitbrink]https://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berechtigungen/ Gruß, Nils Zitieren Link zu diesem Kommentar
prinzenrolle 12 Geschrieben 9. Januar 2020 Autor Melden Teilen Geschrieben 9. Januar 2020 Hallo, die Benutzer benötigen nur admin Rechte lokal auf dem PC und das eben nur zeitweise. -> am einfachsten ist es wohl einen lokalen Benutzer anzulegen und dieser mit admin rechten zu versehen. Grüße und danke Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 vor 5 Minuten schrieb prinzenrolle: am einfachsten ist es wohl einen lokalen Benutzer anzulegen und dieser mit admin rechten zu versehen. Und wo ist da eine zeitliche Beschränkung? und vor allem, wie setzt du da das Passwort ggf. zurück? Evtl. wär ja LAPS eine Lösung für dich :) Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 Moin, vor 1 Stunde schrieb prinzenrolle: die Benutzer benötigen nur admin Rechte lokal auf dem PC und das eben nur zeitweise. dann erzeuge pro PC einen Admin-Account im AD, den du z.B. nach obigem Verfahren der lokalen Admingruppe zuweist. Dieser Account ist im Normalbetrieb deaktiviert und wird nur Bei Bedarf aktiviert und dann wieder abgeschaltet. Behalte dabei aber im Kopf, dass während dieser Zeit mit dem Account eben auch "alles" auf dem PC geht. Ein User könnte sich dann also einfach einen separaten Admin-Account erzeugen oder das System sonstwie kompromittieren. Einen Administrator in Windows kann man immer nur scheinbar einschränken, aber nicht wirksam. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 vor 3 Stunden schrieb NilsK: Ein User könnte sich dann also einfach einen separaten Admin-Account erzeugen oder das System sonstwie kompromittieren. Dafür reicht ja schon der physikalische Zugang zum PC. :P Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 vor 10 Stunden schrieb prinzenrolle: - zweiten Benutzer in der Domäne anlegen mit Adminrechten und diesen dann benutzen, das habe ich auch getestet hat allerdings nicht funktioniert die Fehlermeldung: Der angeforderte Vorgang benötigt höhere Rechte (obwohl der Benutzer Mitglied von Administratoren war) Das Prinzip und die Fallstricke von UAC sind Dir bekannt? Zitieren Link zu diesem Kommentar
prinzenrolle 12 Geschrieben 10. Januar 2020 Autor Melden Teilen Geschrieben 10. Januar 2020 (bearbeitet) Hallo, danke für die vielen Antworten. vor 10 Stunden schrieb daabm: Das Prinzip und die Fallstricke von UAC sind Dir bekannt? Scheinbar nicht, aber ich vermute das es nichts mit uac zu tun hat. Hallo, vielen dank für die reichlichen Antworten und Denkanstöße. Mir ist wichtig das kein Benutzer mehr lokale Administrationsrechte hat, und dieses dann als Einfallstor von Trojanern und oder Viren ist. Das es mit einem lokalen Administrator Account möglich ist sich weitere Rechte zu vergeben und ähnliches ist bekannt, aber da liegt ganz klar nicht die Priorität. Das sind beides Accounts/PCs von Software Entwicklern. Die vorgeschlagenen alternativ Lösungen werden ich mir anschauen, sobald etwas Zeit ist. Das die Anzahl der Möglichkeiten doch wieder so breit gefächert ist hätte ich nicht gedacht. Vielen vielen Dank bearbeitet 10. Januar 2020 von prinzenrolle Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 10. Januar 2020 Melden Teilen Geschrieben 10. Januar 2020 vor 48 Minuten schrieb prinzenrolle: Das sind beides Accounts/PCs von Software Entwicklern. Für Entwickler könnte es eine Alternative sein in VMs z.B. auf dem Client zu testen. Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 10. Januar 2020 Melden Teilen Geschrieben 10. Januar 2020 vor 59 Minuten schrieb prinzenrolle: Mir ist wichtig das kein Benutzer mehr lokale Administrationsrechte hat, und dieses dann als Einfallstor von Trojanern und oder Viren ist. Für viele (wenn nicht alle) aktuellen Trojaner sind lokale Admin-Rechte nicht nötig. Ein Verschlüsselungstrojaner kann auch mit den Rechten eines Benutzers gehörigen Schaden anrichten. Da wären dann andere Schutzmaßnahmen nötig. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 10. Januar 2020 Melden Teilen Geschrieben 10. Januar 2020 (bearbeitet) vor 3 Stunden schrieb prinzenrolle: Mir ist wichtig das kein Benutzer mehr lokale Administrationsrechte hat, und dieses dann als Einfallstor von Trojanern und oder Viren ist. Moin Genau genommen gibt es keine solchen Administrationrechte. Administratoren sind Mitglieder der Gruppe der Admistratoren. Die Gruppe hat Berechtigung auf so ziemlich alles, auf die Access Control Lists(ACL) der Registry, der Root von Datenträgern, auf Ordner ....., schau die ACL der Objekte an! Wenn ein Benutzer in die Gruppe der Administratoren aufgenommen, dann ist er Administrator nach seiner nächsten Anmeldung. Wenn dieser User dann eine behaftete Software installiert, dann wird diese installiert, wenn sie vom Virenscanner, Windows Sicherheit etc nicht erkannt wird. bearbeitet 10. Januar 2020 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.