Jump to content

temporäre Admin-Rechte auf Praktikanten-PC


Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

hier eine Frage, zu welcher ich bei der bisherigen Internetrecherche keine rechte Lösung gefunden habe. Vielleicht habe ich auch nicht richtig gesucht, wäre auch möglich.

 

Folgendes Problem - Windows-Domäne, Server 2016, Client Win10:

 

Bei der Einrichtung eines Domänen-Rechners für Praktikanten werden ja diverse Einstellungen im AD / GPO für das jeweilige Benutzerprofil und den PC vorgenommen.

Das Ergebnis ist ein Rechner, auf dem sich zwar die vorgesehenen Arbeiten ausführen lassen, der darüber hinaus aber keine weiteren Einstellungen, oder gar Netzwerkzugriffe, zulässt.

 

Soweit die Theorie.

 

In der Praxis gestaltet sich die Sache aus meiner Sicht etwas komplizierter, denn schon bei der Einrichtung der Benutzeroberfläche als eingewählter Praktikant scheitere ich daran, einen Netzwerkordner auf dem Desktop zu verlinken, denn es fehlen dafür ja logischer Weise jegliche Rechte.

Und ich möchte den Rechner natürlich gern so einrichten, wie der spätere Nutzer später daran arbeiten soll, also alle Links auf dem Desktop auch an die richtige Stelle schieben, etc..

 

Eine Anmeldung als Admin ist dabei nicht zielführend, denn das Admin-Konto / der Admin-Desktop sollen ja nicht bearbeitet werden.

 

Natürlich könnte ich während der Einrichtung das Praktikanten-Profil im AD temporär in die Admin-Gruppe schieben, doch scheint mir das eine Lösung der 2. Wahl zu sein.

 

Daher die Frage:

Ist es möglich, sich als Praktikant mit Admin-Rechten anzumelden, bzw. kurzfristig Admin-Reche zu erlangen?

Damit meine ich nicht das Ausführen von Dateien mit Admin-Rechten - dass funktioniert auch so, sondern das erste und auch nachträgliche Einrichten der Benutzeroberfläche mit Desktopsymbolen, Netzwerkordnern, usw., indem man direkt vor dem Rechner sitzt.

 

Vermutlich kenne ich mich Gruppenrichtlinien noch nicht so detailliert aus und es lässt sich alles darüber regeln, doch vielleicht gibt es noch andere Tipps.

 

Ich hoffe das einigermaßen verständlich beschrieben zu haben.

 

Für etwaige Antworten vielen Dank.

Clemens

 

 

 

 

Link zu diesem Kommentar

Moin,

 

wir können aus deinen Beschreibungen nur sehr begrenzt erraten, was du vorhast und was die Anforderungen sind. Wir wissen nicht, welche Einschränkungen du gesetzt hast. Auch wissen wir nicht, was am Ende entstehen soll und ob der Weg, den du gewählt hast, dafür geeignet ist.

 

Daher nur so viel: Natürlich könntest du ein Benutzerkonto zum lokalen Administrator machen, dann mit diesem Account Einstellungen an dem Rechner machen und danach das Konto wieder aus der Administratoren-Gruppe entfernen. 

 

Ich habe allerdings Zweifel, ob das überhaupt passt, denn für die Aufgaben, die du nennst, braucht man keine Admin-Rechte.

 

Gruß, Nils

 

Link zu diesem Kommentar

Hallo Nils,

 

danke für die Antwort, dachte ich mir schon, dass ich es etwas unpräzise beschrieben habe.

 

Daher noch ein Versuch.

 

Wenn ich mich als Nutzer (Praktikant im konkreten Beispiel) an einem Domänenrechner anmelde, sehe ich dort ordnungsgemäß nur die Oberfläche / die Einstellungen, die per AD/GPO für dieses Benutzerprofil vorgesehen sind.

Nun soll z.B. eine neue Verkünfung mit einem Netzwerkordner in der rechten oberen Ecke auf dem Desktop platziert werden. (Die entsprechenden NTFS-Berechtigungen sind gesetzt - hat zwar mit der GPO nicht zu tun, ist aber der Ordnung halber erwähnt.)

 

Da ich als angemeldeter Praktikant die Netzwerkstruktur nicht sehen kann und mir auch die entsprechenden Befehle samt CLI/Powershell nicht zur Verfügung stehen, bzw. nicht aufzurufen sind, ist es schwer, die gewünschte Verknüpfung zu erstellen.

Ebenso kann ich das Konto nicht zum lokalen Adminstrator machen und mich dann neu anmelden, da die Rechte gemäß Einstellung dafür fehlen.

 

Gleich als Admin anmelden nützt auch wenig, denn dann sehe ich den Desktop und das Profil des Admin und nicht das des Praktikanten, um welches es ja geht.

 

Also wäre es gut, ein Benutzerprofil während einer Anmeldesitzung mit höheren Rechten versehen zu können, so wie es beim Ausführen von Dateien ->als Administrator möglich ist.

Oder auch wie bei der Installation von Programmen, wofür man sich per Eingabemaske als Domänen-Admin anmelden kann/muss.

 

Um beim Beispiel der Desktopsymbole zu bleiben, wäre es mit meinem Kenntisstand derzeit nur möglich, diese in der GPO festzulegen und per gpupdate /force schnell zuzuweisen, wobei das allerdings auch nicht klappt, da das Praktikantenprofil keine Konsolenbefehle ausführen kann.

 

Oder den Praktikanten im AD zum Admin machen, neu anmelden, die Änderungen vornehmen, den Praktikanten im AD wieder herunterstufen, neu anmelden.

 

Ist das korrekt, oder gibt es eine elegantere Möglichkeit?

Wie schon versucht mitzuteilen, es geht nicht darum, das Ziel zu erreichen, sondern nur um den besten Weg dahin.

Meiner Meinung nach fehlt in Windows die Funktion, sich mit höheren Rechten an einem reglementierten Benutzerprofil anmelden zu können.

 

Ich hoffe das war jetzt etwas verständlicher.

 

Grüße
Clemens

 

bearbeitet von Nummernschild-B
Link zu diesem Kommentar
vor 19 Minuten schrieb Nummernschild-B:

Da ich als angemeldeter Praktikant die Netzwerkstruktur nicht sehen kann und mir auch die entsprechenden Befehle samt CLI/Powershell nicht zur Verfügung stehen, bzw. nicht aufzurufen sind, ist es schwer, die gewünschte Verknüpfung zu erstellen.

Windows Taste + E, schon hast Du den Windows Explorer. Hier zum NW-LW navigieren und eine Vekrnüpfung auf dem Desktop anlegen. Oder zweiter Weg: Rechtsklick auf eine freie Stelle am Desktop > neue Verknüfpung und dann hier zum Ordner navigieren.

 

Oder wie Norbert schrub, einfach per GPO dem Praktikanten die Vernüpfung per GPP erstellen.

Link zu diesem Kommentar

Moin,

 

ich verstehe das Problem nicht - und vermute, dass da einige Irrtümer bezüglich Windows, Benutzerprofilen und GPOs vorliegen.

 

vor einer Stunde schrieb Nummernschild-B:

Wenn ich mich als Nutzer (Praktikant im konkreten Beispiel) an einem Domänenrechner anmelde, sehe ich dort ordnungsgemäß nur die Oberfläche / die Einstellungen, die per AD/GPO für dieses Benutzerprofil vorgesehen sind.

Ist das eine Zustandsbeschreibung? Oder ein Ziel?

 

Wenn es eine Zustandsbeschreibung ist, der Zustand aber nicht zu den Anforderungen passt, dann solltest du den Zustand ändern. Sprich: dann sind die Einschränkungen wohl nicht passend.

 

vor einer Stunde schrieb Nummernschild-B:

Nun soll z.B. eine neue Verkünfung mit einem Netzwerkordner in der rechten oberen Ecke auf dem Desktop platziert werden.

Da stößt mir schon die rechte obere Ecke auf. Was machst du denn, wenn an dem Arbeitsplatz eine andere Auflösung ist? Muss es wirklich die rechte obere Ecke sein? Wenn ja, dann ist möglicherweise der herkömmliche Desktop gar nicht die richtige Oberfläche.

 

Und wenn du die Anforderung hast, dass ein User eine neue Verknüpfung anlegen können soll, dann solltest du ihm die Möglichkeit dazu nicht nehmen. Sonst beißt sich die Katze in den Schwanz. 

 

vor einer Stunde schrieb Nummernschild-B:

Ebenso kann ich das Konto nicht zum lokalen Adminstrator machen und mich dann neu anmelden, da die Rechte gemäß Einstellung dafür fehlen.

Das liegt aber dann daran, dass deine Einschränkungen nicht zu den Anforderungen passen. Die gelten dann ja unabhängig davon, was der User darf. Mit Rechten hat das nichts zu tun, und deshalb ...

 

vor einer Stunde schrieb Nummernschild-B:

Also wäre es gut, ein Benutzerprofil während einer Anmeldesitzung mit höheren Rechten versehen zu können

... würde das hier gar nichts ändern. Wenn du einem Account per GPO die Möglichkeit nimmst, Einstellungen vorzunehmen, dann ändern auch höhere Rechte nichts daran.

 

Allgemein ist man schon lang davon weg, Usern "per Technik" detaillierte Vorgaben zu machen, wie ihr Desktop auszusehen hat. Es kommt darauf an, 1. ihnen funktional bereitzustellen, was sie für die Arbeit benötigen und 2. ihnen den Zugriff dort zu verweigern, wo sie wirklich nicht randürfen. Den lokalen Desktop einzuschränken, ist dabei fast nie ein geeignetes Werkzeug.

 

Gruß, Nils

 

Link zu diesem Kommentar
vor 1 Stunde schrieb NilsK:
vor 3 Stunden schrieb Nummernschild-B:

Wenn ich mich als Nutzer (Praktikant im konkreten Beispiel) an einem Domänenrechner anmelde, sehe ich dort ordnungsgemäß nur die Oberfläche / die Einstellungen, die per AD/GPO für dieses Benutzerprofil vorgesehen sind.

Ist das eine Zustandsbeschreibung? Oder ein Ziel?

 

Wenn es eine Zustandsbeschreibung ist, der Zustand aber nicht zu den Anforderungen passt, dann solltest du den Zustand ändern. Sprich: dann sind die Einschränkungen wohl nicht passend.

 

Ack - oder auf Deutsch: Ich bin der selben Meinung :-) Mach User nicht zum Admin, laß sie aber ansonsten einfach in Ruhe. Explorer einschränken, Regedit und Eingabeaufforderung verbieten usw - alles "Security by obscurity".

Link zu diesem Kommentar

Guten Morgen,

 

erst mal danke für die Antworten.

 

Wahrscheinlich konnte ich das Problem nicht klar rüber bringen, deshalb noch mal:

 

In den kommenden Tagen arbeitet bei uns ein Student zur Probe.

Das Arbeitsgerät ist ein normaler Arbeitsplatzrechner mit vollem Anschluss an das Firmennetzwerk, einen anderen haben wir nicht zur Verfügung.

Da wir den Herrn nicht kennen, wissen wir auch nicht, inwiewiet er sich mit IT auskennt. Es könnte ja möglich sein, dass er darin recht fit ist, und neben der eigentlichen Aufgabe im Internet surft, ein bisschen im Firmennetzt stöbert, die Eingabeaufforderung testet, ein paar CMDLETS absetzt, u.s.w. - Möglichkeiten gibt es viele.

 

Natürlich soll man niemanden von vornherein Böses zutrauen, aber sicher ist sicher. Wäre ungünstig, wenn man im Nachhinein feststellen muss, dass ein paar Daten fehlen, oder gar welche hinzugekommen sind.

 

Daher soll er bei Einwahl mit dem Praktikanten-Profil einen Rechner vorfinden, der außer der Erledigung der eigentlichen Arbeit keine weiteren Funktionen zulässt, auf dem sich also auch keine Verknüpfungen anlegen, Eingaben oder sonstige Veränderungen tätigen lassen.

Wenn auf dem Desktop des Praktikanten z.B. eine neue Verknüpfungen angelegt werden muss, dann nur mit höheren Rechten.

 

Dabei ist die Verknüfung auf dem Desktop nur als Beispiel zu verstehen um deutlich zu machen, worum es mir geht. Nämlich darum, ein stark eingeschränktes Nutzerprofil auch vom Erscheinungsbild her direkt auf dem Zielrechner so einzurichten, wie es der Nutzer vorfinden soll. Also quasi per Befehl und ohne neue Anmeldung alle Sperren lösen und dann z.B. optisch oder anderweitig anpassen.

 

So als hätte das eingeschränkte Nutzerprofil dann Admin-Rechte, ohne Admin zu sein. Nach Abschluss der Einrichtungen würden die Rechte mit einem Klick entzogen und der beispielhafte Desktop mit der nun neuen Verknüpfung wieder festgefroren.

Natürlich wird diese Einrichtung von einem Mitarbeiter vorgenommen und nicht von dem Nutzer (im konkreten Beispiel der Praktikant) der an dem Rechner arbeiten soll.

 

Meines Erachtes funktioniert das mit den herkömmlichen Werkzeugen so nicht, dazu bräuchte es eine Funktion die ungefähr so lauten müsste: "Nutzerprofil direkt mit höheren Rechten bearbeiten".  Nach Eingabe der entsprechenden Anmeldedaten eines höherwertigen Profils (z.B. Admin) würden dessen Rechte übernommen, die Anmeldesitzung bliebe aber die gleiche. Diese Funktion müsste auch ein automatisches gpupdate /force beinhalten, um die GPO-Einschränkungen vorübergehend aufzuheben.

 

Den dankenswert zahlreichen Antworten entnehme ich aber, dass es eine solche Funktion nicht gibt und damit ist meine Frage im Prinzip auch beantwortet und ich brauche nicht mehr weiter danach zu suchen.

 

Danke und Grüße
Clemens

bearbeitet von Nummernschild-B
Link zu diesem Kommentar
  • Beste Lösung

Moin,

 

Die kurze Antwort ist: das wirst du mit einem Allzweck-System wie Windows nicht hinbekommen. Selbst näherungsweise wird das nichts, wenn du Flexibilität zulassen willst wie "mal eben eine Verknüpfung anlegen".

 

Die längere Antwort würde umfassen, dass ihr vor allem eure wichtigen Daten und Systeme mit Berechtigungen schützt. Dann ist es egal, welche Werkzeuge jemand hat und man muss auch keine Verrenkungen wegen Cmdlets anstellen. Den Desktop einzuschränken, ist immer nur ein Versteckspiel. Gerade wenn jemand fit ist, wird er Mittel und Wege finden.

 

Unterschätze auch nicht die Wirkung rechtlicher Vereinbarungen, betrieblicher Regeln usw. Wenn es wirklich ein Praktikant ist, wird er sich daran halten. Wenn es ein Verbrecher ist, werden ihn simple Desktop-Sperren auch nicht aufhalten.

 

Und um es noch mal zu betonen: eine Einschränkung per GPO lässt sich nicht mit "höheren Rechten" umgehen. Man muss sie explizit aufheben. 

 

Gruß, Nils

Link zu diesem Kommentar

Hallo,

 

das dachte ich mir schon.

 

Unsere Daten sind ohnehin mit Berechtigungen versehen, das sollte schon dann schon passen.

Dann werde ich noch einen spezielles Praktikantenverzeichnis anlegen und nur auf das gibt es Zugriff, die Einstellung des Rechners wird dann eben wie bisher auch gehandhabt.

 

Habe den Beitrag als gelöst markiert.

Danke

Clemens

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...