Mar 25, 2011, updated at Mar 26, 2011 (UTC)

8564

Berechtigungsproblem mit Remote MMC und UAC unter Vista

Ich habe administrator.de schon häufiger als Leser genutzt, aber jetzt hätte ich doch mal eine Frage. Ich habe sie zwar schon bei Computerbase.de gestellt, mir ist aber erst zu spät eingefallen, dass ich hier meiner Meinung nach besser aufgehoben wäre, außerdem geht es dort nicht weiter.

Hallo erst mal!

Meine Ausgangssituation:
Ich habe hier 13 Windows Vista Business SP2 PCs in einer Workgroup (ohne Domaine oder Active Directory). Ich habe auf allen PCs gleiche lokale Administratorkonten erstellt, nennen wir es einfach mal "Admin" und überall gibt es normale Standardbenutzer, sagen wir, sie heißen sagen wir mal "User".
Da die Rechner eine abteilungsinterne Bastellösung zur Netzwerkadministration sind und in einem getrennten Managment-Netz stehen, können wir nicht auf die Standardbürolösungen greifen, die auch für alle anderen "normalen" Büroarbeitsplätze ausgerollt werden.
Eine wie auch immer geartete Remote-Desktop-Lösung möchte ich vermeiden, da ich so die daran arbeitenden User störe und der Arbeitsaufwand nur geringfügig niedriger wird, da alle Rechner im gleichen Raum stehen. Sollte alles so funktionieren wie gewünscht und die Systeme fertig eingerichtet sein, wird das Konzept auf vermutlich weitere 7-10 PCs übertragen. Als Werkezuge zur Administration (mangels AD) verwende ich div. Import/exportfunktionen von Einstellungen, Registry-Keys, lokale Gruppenrichtlinien und geplante Tasks und Systemimages um die Systeme auf dem gleichen und aktuellen Stand zu halten. Sie beinhalten keine persönlichen Daten, da alle mit einem technischen User arbeiten. Eine spätere Verwendung eines AD zur Authenifizierung und Authorisierung ist eine Option.

Mein Ziel:
Ich möchte als "Admin" per MMC auf alle Rechner verwaltungstechnisch Zugriff haben.

Mein Problem:
Solange ich den UAC ausschalte funktioniert das alles wunderbar, aber wehe ich aktiviere es wieder, dann heißt es immer, mein Admin User hätte nicht die Berechtigung auf z.B. Aufgabenverwaltung zuzugreifen. Der Zugriff auf den Rechner ansich ist nicht eingeschränkt, nur auf spezifische Snap-Ins.
Ich habe es schon mit verschiedenen Einstellungen der lokalen Sicherheitsrichtlinien im UAC-Bereich experimentiert, aber ich komme nicht weiter. Die Ideen für die Sicherheitsrichtlinien habe ich von hier: http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2217.h ...

Meine Frage:
Wie kann ich per MMC auf die Snap-Ins anderer Rechner zugreifen ohne den UAC deaktivieren zu müssen?

Vielen Dank für eure Unterstützung im Voraus! Ich hoffe ich habe genug Infos mitgegeben.

Please also mark the comments that contributed to the solution of the article

Content-Key: 163378

Url: https://administrator.de/contentid/163378

Printed on: April 19, 2024 at 05:04 o'clock

10 Comments

Latest comment

Hallo ValiX,

hast du die mmc.exe mal auf dem Management-PC mit administrativen Rechten gestartet und die Snap-Ins dann manuell hinzugefügt?

Grüße, loonydeluxe

Hallo oonydeluxe,

vielen Dank für deine Antwort.

Das erstere ist ja selbstverständlich, aber mit manuellen Snap-Ins habe ich noch nicht getestet, werde es am Montag versuchen.

Moin.
Zunächst mal:

Ich habe sie zwar schon bei Computerbase.de gestellt, ...außerdem geht es dort nicht weiter.

Dann verlink den Beitrag, oder möchtest Du uns lieber bei Null anfangen lassen?

Teste mal aus, was passiert, wenn Du das Konto Administrator nutzt - es muss zunächst bei allen aktiviert und mit einem Kennwort versehen werden. Für dieses Konto greift die UAC nie ein.

Zitat von @DerWoWusste:
Dann verlink den Beitrag, oder möchtest Du uns lieber bei Null anfangen lassen?

Da dort das Ergebnis 0 ist, macht es keinen Unterschied.

Also mit dem aktiviertem "Administrator"-Konto geht alles wie gewünscht. Es liegt also definitiv am UAC, da der Administrator keinen UAC hat. Ist jetzt die Frage ist das Nutzen eines "echten" Administratorkontos empfehlenswert? Denn alle UAC-Vorteile sind dann ja futsch, andererseits solange keiner das Administratorpasswort hat und ich es nur für Remotekonfig nutze, sollte das kein Problem sein, oder?

Denn alle UAC-Vorteile sind dann ja futsch

Du willst in diesem ja stark arbeiten - welche Vorteile sind also futsch? Keine.

Teste, ob es reicht, die mmc per Rechtsklick "als Administrator aus(zu)führen".

sag ich doch...

"hast du die mmc.exe mal auf dem Management-PC mit administrativen Rechten gestartet und die Snap-Ins dann manuell hinzugefügt?"

Ich wollte auf den Rechtsklick hinaus. Bei deiner Frage dachte er evtl. an Ausführung mit einem Adminkonto, was seit der UAC ja nicht mehr das Selbe ist.

Zitat von @loonydeluxe:

sag ich doch...

"hast du die mmc.exe mal auf dem Management-PC mit administrativen Rechten gestartet und die Snap-Ins dann manuell
hinzugefügt?"

Jap, seit Vista sollte man sorgfältigst schreiben, es gibt schließlich den "Administrator" und den Administrator (z.B. Admin). Ersterer ist das gleichnamige Benutzerkonto, das andere ein User, der Mitglied der Administrator-Gruppe ist. Mein Problem bezog sich auf das letztere. Beim "Als Administrator ausführen" kann man, wenn man davor sitzt, jedes Konto, das Mitglied der Administrator-Gruppe ist, nehmen (z.B. Admin). Solange man also nix Remote machen möchte merkt man keinen Unterschied, ob ich als "Admin" oder "Administrator" arbeite, außer dass beim letzteren keine UAC-Popups kommen.

Deshalb half mir die Aussage "Administrative Rechte" nicht weiter, da ich ja als "Admin" bereits die MMC per UAC Berechtigungserhöhung mit höchsten Rechten ausführte, ohne den "Administrator"-Benutzer zu nutzen.
Wenn ich lokal die MMC wie seit eh und je mit Rechtsklick -> "Als Administrator ausführen" wähle, ist mit dem hier genannten "Administrator" nicht das standardmäßig deaktivierte "Administrator"-Konto gemeint, sondern irgendeins, was in der Gruppe "Administrator" ist.
Also habe ich bisher immer meinen "Admin"-User dafür benutzt. Doch genau das funktioniert Remote nicht, weil der UAC auf dem Remote System den "Admin"-User blockiert, da dieser dort zwar auch als Administrator eingruppiert ist, aber ja niemand da ist, der den jetzt nötigen systeminternen UAC-Popup (der jetzt nicht reell, sondern nur bildlich gesprochen) bestätigt.

Bei früheren Win Versionen war das einfacher, da konnte "jeder" Administrator (egal ob er Werner, Till oder Simone hieß) die MMC auch Remote mit vollen Rechten bedienen.

Hm, da auch ich auch hier nicht weiter komme, werde ich wohl für RemoteBF das "Administrator"-Konto nutzen müssen.

Und genau wegen dieser Rechtsklick-Geschichte will ich den UAC an sich aktiviert haben, denn als ich den mal testweise abschaltet konnte ich kein einziges Programm vom normalen Benutzerkonto aus per Rechtsklick als Admin ausführen, weil ich dann eine plumpe Fehlermeldung erhielt, dass ich keine Berechtigung besäße, ich aber nicht permant für jeden kleinen Admin-Klick das Konto wechseln möchte.

Wir sind noch nicht am Lateinende angelangt.
Setze auf allen Systemen folgende Regkeys und reboote sie:
Zunächst http://support.microsoft.com/kb/951016

dann bei Bedarf noch http://support.microsoft.com/kb/937624 auch wenn ich nicht glaube, dass das hier passt.

Ah Danke! Das hört sich gut an, muss aber Feierabend machen und werde es morgen testen.

- So ich habe es getestet und der KB951016 war genau die Lösung.

Vielen Dank an euch beide!

German solved Question Windows Vista Microsoft

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 Comment

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment