10
Applets im Adminkontext öffnen, aber eingeschränkter User angemeldet
Hallo zusammen
Ich brauche eure Hilfe in einem Szenario, wo mir für mich keine zufriedenstellende Lösung einfällt.
Ist-Zustand:
-Win2k8 R2 Domäne
-Win7 Enterprise Clients
-User mit eingeschränkten Rechten unterwegs
-Aufschaltung findet via LANDesk statt
-Installation von Programmen darf wegen Firmenrichtlinien nicht geschehen
Manche User wollen Einstellungen in der Systemsteuerung, zum Beispiel erweiterte Energieeinstellungen, vorgenommen bekommen. Geht natürlich ohne Adminrechte nicht.
Szenario läuft wie folgt. Ich schalte mich via LANDesk auf die IP auf. Starte über das Run-Feld im Remote Control Viewer das entsprechende Applet mit dem Befehl rundll32.exe shell32.dll, Control_RunDLL powercfg.cpl. Der Anwender erhält nun eine Abfrage, damit das ganze im Systemkontext geschehen soll. Das Applet öffnet sich. Jetzt kommt das Problem auf. Man muss sich dann ja durchklicken über Energieplaneinstellungen ändern zu erweiterte Energieeinstellungen ändern. Nun öffnet sich ein neues Fenster, wo der Adminkontext durch den Remote Control Viewer endet. Dieses Fenster wird nun im normalen Userkontext geöffnet. Somit kann ich nun nichts einstellen.
Einzige Lösung bisher ist das Eintragen des Users in die lokale Admingruppe. Das bedarf dann natürlich einem Ab- und Anmelden. Einstellung vornehmen. User aus der lokalen Gruppe austragen. Ab- und Anmelden. Das ist für mich auf Dauer aber unbefriedigend. Fallen da mehrere Fälle an, zieht sich das Ganze in die Länge und nimmt kostbare Zeit in Anspruch.
Hat jemand eine Idee, wie ich dies lösen kann ohne das Eintragen in die lokale Admingruppe?
Schon mal vielen Dank für die Mühe
LG
PS: War mir nicht ganz sicher, ob es besser unter Windows Server oder Windows 7 ist. Ein Mod möge es bitte verzeihen und verschieben, wenn ich falsch liege.
Ich brauche eure Hilfe in einem Szenario, wo mir für mich keine zufriedenstellende Lösung einfällt.
Ist-Zustand:
-Win2k8 R2 Domäne
-Win7 Enterprise Clients
-User mit eingeschränkten Rechten unterwegs
-Aufschaltung findet via LANDesk statt
-Installation von Programmen darf wegen Firmenrichtlinien nicht geschehen
Manche User wollen Einstellungen in der Systemsteuerung, zum Beispiel erweiterte Energieeinstellungen, vorgenommen bekommen. Geht natürlich ohne Adminrechte nicht.
Szenario läuft wie folgt. Ich schalte mich via LANDesk auf die IP auf. Starte über das Run-Feld im Remote Control Viewer das entsprechende Applet mit dem Befehl rundll32.exe shell32.dll, Control_RunDLL powercfg.cpl. Der Anwender erhält nun eine Abfrage, damit das ganze im Systemkontext geschehen soll. Das Applet öffnet sich. Jetzt kommt das Problem auf. Man muss sich dann ja durchklicken über Energieplaneinstellungen ändern zu erweiterte Energieeinstellungen ändern. Nun öffnet sich ein neues Fenster, wo der Adminkontext durch den Remote Control Viewer endet. Dieses Fenster wird nun im normalen Userkontext geöffnet. Somit kann ich nun nichts einstellen.
Einzige Lösung bisher ist das Eintragen des Users in die lokale Admingruppe. Das bedarf dann natürlich einem Ab- und Anmelden. Einstellung vornehmen. User aus der lokalen Gruppe austragen. Ab- und Anmelden. Das ist für mich auf Dauer aber unbefriedigend. Fallen da mehrere Fälle an, zieht sich das Ganze in die Länge und nimmt kostbare Zeit in Anspruch.
Hat jemand eine Idee, wie ich dies lösen kann ohne das Eintragen in die lokale Admingruppe?
Schon mal vielen Dank für die Mühe
LG
PS: War mir nicht ganz sicher, ob es besser unter Windows Server oder Windows 7 ist. Ein Mod möge es bitte verzeihen und verschieben, wenn ich falsch liege.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 194597
Url: https://administrator.de/contentid/194597
Printed on: April 19, 2024 at 00:04 o'clock
10 Comments
Latest comment
Moin.
Normales Vorgehen in jeglicher Art von Fernwartung wäre doch, die UAC-Abfrage mit einem Adminkennwort zu füttern - warum nicht? Geht es um die Sicherheit der Kennworteingabe?
Normales Vorgehen in jeglicher Art von Fernwartung wäre doch, die UAC-Abfrage mit einem Adminkennwort zu füttern - warum nicht? Geht es um die Sicherheit der Kennworteingabe?
Hallo
Okay, den Fakt hätte ich mit erwähnen können. UAC-Abfrage ist deaktiviert.
LG
Okay, den Fakt hätte ich mit erwähnen können. UAC-Abfrage ist deaktiviert.
LG
Warum das?_____________________________________
Wird alles über die Benutzerrechte gewährleistet. Insofern Rechte benötigt werden, werden diese entsprechend der Notwendigkeit gewährt. Es gibt da Abgrenzungen zw. normaler Domain User und Adminrechte.
Ich kann nicht folgen... das Genannte spricht doch ganz und gar nicht gegen die UAC. Nichts spricht gegen die UAC.
Edit: Werde zügig antworten, kannst dran bleiben.
Edit: Werde zügig antworten, kannst dran bleiben.
Es ist in der Domäne so, dass jeder User, solange keine Adminrechte gewährt wurden, nur eingeschränkte Rechte hat. Wenn der User eine Anwendung bei sich installiert bekommen hat, werden entsprechend der Anwendung die notwendigen NTFS-Berechtigungen für das Programm im System gewährt.
Damit dem User ansonsten während seiner Arbeit die UAC nicht stört, User beschweren sich über sowas gerne mal, wurde diese deaktiviert. Ist so. Kann ich von meiner Seite auch nicht ändern.
Damit dem User ansonsten während seiner Arbeit die UAC nicht stört, User beschweren sich über sowas gerne mal, wurde diese deaktiviert. Ist so. Kann ich von meiner Seite auch nicht ändern.
Verzeih bitte, aber das ist eine der blödsinnigsten Begründungen seit langem. Die UAC stört die schwachen User auch nicht mehr, als das was jetzt kommt, sobald sie was "Starkes" machen wollen, nämlich "Access denied". Und das Manko des Ansatzes erfährst Du gerade. Niemand Vernünftiges schaltet aus diesem Grund die UAC aus, wirklich nicht - krasse Fehlentscheidung.
Ok, wenn Du es nicht ändern kannst, dann sei's drum.
Mal sehen, es gibt ja Tools wie sudowin, die meinen, ohne Ab-/Anmeldung auszukommen...mal angesehen?
Mal sehen, es gibt ja Tools wie sudowin, die meinen, ohne Ab-/Anmeldung auszukommen...mal angesehen?
Da magst du recht haben. Dennoch kann ich daran nichts ändern. Ich muss damit leben. Deine Lösung, die UAC-Abfrage mit nem Kennwort füttern, würde das Problem sicherlich lösen. Aber das wird nicht laufen. Ich muss mit dem gegeben arbeiten.
Hättest du denn eine Lösung mit dem gegebenen Ist-Zustand?
edit: sudowin habe ich mir noch nicht angesehen. Bisher auch noch nicht gehört um ehrlich zu sein. Werde es mir mal ansehen. Danke.
Hättest du denn eine Lösung mit dem gegebenen Ist-Zustand?
edit: sudowin habe ich mir noch nicht angesehen. Bisher auch noch nicht gehört um ehrlich zu sein. Werde es mir mal ansehen. Danke.
Andere Ansätze wären natürlich die Ummeldung (Admin übernimmt, Usersitzung wird pausiert) oder runas auf der Shell absetzen samt Adminkennwort (wird unsichtbar eingegeben) und von da alles regeln.
Allerdings wird Dein Fall eher selten auftreten: was das userprofil angeht, darf der User selbst alles machen und was das Systemprofil angeht, kannst Du alles per GPOs/GPPs machen.
Einzelwünsche jedoch...ja, da scheitert das Ganze bzw. wird es zur GPO-Friemelei.
Allerdings wird Dein Fall eher selten auftreten: was das userprofil angeht, darf der User selbst alles machen und was das Systemprofil angeht, kannst Du alles per GPOs/GPPs machen.
Einzelwünsche jedoch...ja, da scheitert das Ganze bzw. wird es zur GPO-Friemelei.
