SVR2016 Benutzerrechte

[oelk 2]

Hallo,

ich habe hier einen Windows Server 2016, zunächst ohne AD-DC und möchte ein lokales Benutzerkonto,

nur zum Neustarten/Runterfahren. Ansonsten keine Rechte.

Also Benutzer angelegt:

net user neustart /add

Passwort setzen, ok.

Dann Gruppenrichtlinie setzen:

Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Zuweisen von Benutzerrechten/

Herunterfahen des Systems, Benutzer neustart hinzufügen.

 

Das klappt auch soweit ganz gut, er gehört zur Gruppe 'Benutzer' und kann weder gpedit, noch secpol oder wf aufrufen.

Aber Neustarten und Herunterfahren.

 

Leider stellte ich fest, das er doch über die Powershell Programme herunterladen kann zB Firefox

und diese auch bedingt installieren kann.

Die Abfrage nach dem Admin-Kennwort mit nein übergehen und fertigstellen.

Firefox lässt sich aufrufen.

 

Wie kann ich das Installieren von Software verhinden? Gibt's einen Trick?

 

MfG

 

[testperson 1.680]

Hi,

 

das Probleme sind an der Stelle die Installer / Programme, die dann einfach ins Benutzerprofil installieren. Da hat der User halt Ausführen- und Schreibrechte, An der Stelle hilft nur

• ein Proxy, um den Zugriff auf das Internet zu regeln.
• ein Application Whitelising bspw. App Locker oder Windows Defender Application Control, um festzulegen, was der User Ausführen darf.

Die generelle Frage wäre, was hast du denn am Ende vor?

 

Gruß

Jan

[oelk 2]

Danke für Deine Antwort,

 

Ich möchte einen zusätzlichen Benutzer anlegen, der nur das recht hat den Server neu zustarten oder herunter zu fahren.

Alles andere soll verboten sein. Keine Eingriffe ins Sysem, keine Softwareinstallation, nur neu starten oder herunterfahren.

 

AK

[MurdocX 952]

vor 33 Minuten schrieb oelk:

nur neu starten oder herunterfahren.

Muss sich denn der Benutzer dafür anmelden?

 

Man könnte ihm das interaktive Anmelden verweigern. Dann könnte der Benutzer via Remote den Server immer noch durchbooten oder herunterfahren.

[NilsK 2.939]

Moin,

 

Du hast nicht dein Ziel beschreiben, sondern nur die Details wiederholt, die schon bekannt sind. Wozu brauchst du diesen Account?

 

Gruß, Nils

[oelk 2]

Ein neuer Mitarbeiter soll im Zweifelsfall die Maschine neustarten dürfen, wenn die anderen Coronabedingt

gerade nicht da sind, aber das Admin-Passwort bekommt er noch nicht. Nur den Zugang zum Raum.

Nicht meine Entscheidung. Mehr kann ich dazu nicht sagen.

Remote ist nicht möglich wg strikter Trennung der Netze.

 

MfG

 

 

 

 

[NilsK 2.939]

Moin,

 

Wenn man das Szenario nicht kennt, ist es schwierig, einen zielführenden Hinweis zu geben.

 

Du könntest schauen, ob du beim Server den Button zum Neustarten auf dem Login-Bildschirm einblenden kannst. Das sollte sich per Policy einstellen lassen:

 

http://www.winfaq.de/faq_html/Content/tip0000/onlinefaq.php?h=tip0173.htm

 

Gruß, Nils

 

[testperson 1.680]

Hi,

 

in meinen Augen scheint das Szenario nicht ganz zu Ende gedacht. Was macht der Kollege wenn der Reboot nicht hilft? Ansonsten sollte der Neustart auch ohne Account machbar sein. Da der Kollege Zutritt zum Server hat, könnte er kurz auf Power drücken und den Shutdown abwarten und danach einfach wieder einschalten.

 

Das Admin Passwort sollte keiner haben bzw. gut dokumentiert abgelegt sein. Die Admins sollten passende, personalisierte administrative Accounts haben.

 

Gruß

Jan

 

[oelk 2]

Danke für Eure Antworten,

siche,r Schalter drücken wäre auch eine Option.

Wie soll der Neustart ohne Account funktionieren?

Wie wird das eingerichtet?

 

Neustart geht, auch wenn die Datenbank steht und der Tomcat spinnt.

Danach läuft wieder alles.

Zitat

Die Admins sollten passende, personalisierte administrative Accounts haben.

Kannst Du das bitte genauer ausführen. Was ist damit gemeint?

 

MfG

 

[NorbertFe 2.045]

vor 19 Minuten schrieb oelk:

Wie soll der Neustart ohne Account funktionieren?

https://www.groovypost.com/howto/add-remove-power-button-windows-10-login-screen/

[MurdocX 952]

vor 1 Stunde schrieb testperson:

Das Admin Passwort sollte keiner haben bzw. gut dokumentiert abgelegt sein. Die Admins sollten passende, personalisierte administrative Accounts haben.

Da hast du jetzt ein Fass aufgemacht  

 

vor 32 Minuten schrieb oelk:

Wie soll der Neustart ohne Account funktionieren?

Wie wird das eingerichtet?

Im Prinzip ist das wie als wenn du an deinem PC/Notebook den Knopf drückst. 

 

vor 1 Stunde schrieb testperson:

Da der Kollege Zutritt zum Server hat, könnte er kurz auf Power drücken und den Shutdown abwarten und danach einfach wieder einschalten.

Es geht natürlich nicht, wenn die Maschine eine Virtualisierungshost ist  

 

Update:

 

Folgende Umsetzung würde ich empfehlen:

1. Lege eine domänenlokale AD-Gruppe an
2. Lege einen separaten Benutzers zum Durchführen eines Neustarts remote an
3. Füge den Benutzer oder eine andere globale Gruppe in die erstelle domänenlokale Gruppe
4. Verteile und Berechtige die domänenlokale Gruppe an die Server via GPO "Erzwingen des Herunterfahrens von einem Remotesystem" Erzwingen des Herunterfahrens von einem Remotesystem (Windows 10) - Windows security | Microsoft Docs
5. Teste

 

 

bearbeitet 4. Dezember 2021 von MurdocX
Buchstabensalat

[oelk 2]

MurdocX:

 

Eine Domäne geht auf der Maschine nicht, der Lieferant des DBMS/Software hat das nicht abgesegnet.

Ich sach dazu jetzt nix...

Die Maschine ist kein Virtualisierungshost, alles echtes Blech.

 

Ich sehe schon, wir haben da kaum Möglichkeiten.

 

MfG

 

[testperson 1.680]

vor 3 Minuten schrieb oelk:

Eine Domäne geht auf der Maschine nicht, der Lieferant des DBMS/Software hat das nicht abgesegnet.

 

Also geht es in die Richtung, die ich mir gedacht habe. Der Reboot soll eine Applikation wieder ans Laufen bringen. Ich lese allerdings - so glaube ich - heraus, dass es nur ein Würgaround für dich ist. Sollte das "häufig" passieren, solltet Ihr - sofern noch nicht passiert - mit dem Hersteller mal intensiver ins Gespräch gehen, ob das normal ist, was da bei euch passiert.

 

Muss es wirklich ein Reboot sein, um die Applikation wieder ans Rennen zu bekommen oder würde auch ein Neustart eines / mehrerer Dienste/s helfen? Dann wäre ggfs. JEA (Übersicht zu Just Enough Administration (JEA) - PowerShell | Microsoft Docs) noch eine Option. Alternativ wäre die Frage, wie das "Nicht-Funktionieren" festgestellt werden kann und ob sich das per Aufgabe oder ggfs. per Monitoring und passender Aktion hintendran lösen lässt.

[BOfH_666 577]

vor 50 Minuten schrieb MurdocX:

Es geht natürlich nicht, wenn die Maschine eine Virtualisierungshost ist  

Warum nicht?   

[NilsK 2.939]

Moin,

 

vor 37 Minuten schrieb oelk:

Ich sehe schon, wir haben da kaum Möglichkeiten.

ich kann dir nicht folgen. Was spricht gegen den Weg, der dir hier mehrfach genannt wurde, den Shutdown-Button auf dem Login-Screen einzublenden? Hast du das schon versucht?

 

Gruß, Nils

PS. ansonsten stimme ich den Kollegen zu - wenn euch der Hersteller derartige Vorgaben macht, sollte er seine Software auch ordentlich supporten, sodass sie nicht auf solch krude Workarounds angewiesen ist. Abgesehen davon, war auch nicht die Rede davon, "auf" dem Server eine Domäne einzurichten, sondern ihn in eine bestehende Domäne einzubinden.

bearbeitet 4. Dezember 2021 von NilsK