Domänen Admin mit eingeschränkten Rechten
Hallo liebes Forum,
folgendes Problem:
Domänen-Admin hat innerhalb der Domäne alle Rechte und wird auf den Client-Rechnern der Lokalen Administratoren Gruppe hinzugefügt.
Meldet sich ein Domänen-Benutzer (mit eingeschränkten Rechten) an, habe ich die Möglichkeit die Eingabeaufforderung im Domänen-Admin-Kontext auszuführen. Von hier sollte ich meinem Verständnis nach alle Rechte besitzen. Führe ich aber beispielsweise den Befehl rundll32.exe shell32.dll, Options_RunDLL 1 aus, bekomme ich folgende Meldung: Der Vorgang wurde aufgrund von aktuellen Beschränkungen auf dem Computer abgebrochen. Wenden sie sich an den Systemadministrator.
Zur Umgebung:
Windows 2000 Domäne (ich weiß…Umstellung wird dieses Jahr noch durchgeführt).
Windows XP und Windows 7 Client
Kann das überhaupt funktionieren???
Gibt es Alternativen um innerhalb eines eingeschränkten Kontos Vollzugriff auf das System zu erhalten???
Hoffe auf zahlreiches Feedback.
folgendes Problem:
Domänen-Admin hat innerhalb der Domäne alle Rechte und wird auf den Client-Rechnern der Lokalen Administratoren Gruppe hinzugefügt.
Meldet sich ein Domänen-Benutzer (mit eingeschränkten Rechten) an, habe ich die Möglichkeit die Eingabeaufforderung im Domänen-Admin-Kontext auszuführen. Von hier sollte ich meinem Verständnis nach alle Rechte besitzen. Führe ich aber beispielsweise den Befehl rundll32.exe shell32.dll, Options_RunDLL 1 aus, bekomme ich folgende Meldung: Der Vorgang wurde aufgrund von aktuellen Beschränkungen auf dem Computer abgebrochen. Wenden sie sich an den Systemadministrator.
Zur Umgebung:
Windows 2000 Domäne (ich weiß…Umstellung wird dieses Jahr noch durchgeführt).
Windows XP und Windows 7 Client
Kann das überhaupt funktionieren???
Gibt es Alternativen um innerhalb eines eingeschränkten Kontos Vollzugriff auf das System zu erhalten???
Hoffe auf zahlreiches Feedback.
Please also mark the comments that contributed to the solution of the article
Content-Key: 152011
Url: https://administrator.de/contentid/152011
Printed on: April 25, 2024 at 12:04 o'clock
8 Comments
Latest comment
Zitat von @Acula-MD:
Ich hatte mir das so vorgestellt:
Ich lasse die CMD mit Admin-Rechten laufen. Jedes Programm das ich von hier aus starte wird dann ebenfalls mit Admin-Rechten
ausgeführt. Unabhängig von den Richtlinien für den angemeldeten User.
Das geht so definitiv nicht. Wozu bräuchte man dann überhaupt noch Richtlinien, wenn alles an diesen Richtlinien vorbeiläuft?Ich hatte mir das so vorgestellt:
Ich lasse die CMD mit Admin-Rechten laufen. Jedes Programm das ich von hier aus starte wird dann ebenfalls mit Admin-Rechten
ausgeführt. Unabhängig von den Richtlinien für den angemeldeten User.
Würde doch theoretisch Sinn machen. Der Admin kann werkeln und der User hat keine Zugriffsmöglichkeit.
Dann würde über kurz oder lang jeder (ungebetene Gast) mit den Credentials des admins 'werkeln', ob du ihn dazu aufgefordert hast oder nicht.Kannst du mal kurz erkäutern, was du eigentlich genau vor hast?
Welches Programm oder welche Einstellung soll den mit höheren Rechten laufen?
Hast du dich mal mit GPOs beschäftigt? Dort kann viel (fast schon zu viel) für Client-PCs eingestellt werden, ohne dass User höhere Rechte benötigen.
Hallo,
Gruß
Filipp
Ich lasse die CMD mit Admin-Rechten laufen. Jedes Programm das ich von hier aus starte wird dann ebenfalls mit Admin-Rechten
ausgeführt. Unabhängig von den Richtlinien für den angemeldeten User.
Dein Denkfehler liegt in der Annahme, dass ein Admin alles dürfe. Das ist falsch. GPOs etwa schränken auch Admins ein.ausgeführt. Unabhängig von den Richtlinien für den angemeldeten User.
Gruß
Filipp