5
Benutzer mit lokalen Admin-Rechten aber ohne Login Berechtigung
Es soll ein Installations-Benutzer erstellt werden, mit dem man sich nicht einloggen kann, welcher aber lokale Admin-Rechte besitzt und somit Programm Installationen durchführen kann.
Hallo liebe Server Profis!
Wir arbeiten hier mit Server 2008 R2 und Windows XP, Vista und Windows 7 Clients.
Aus Sicherheitsgründen möchten wir (möglichst) keine Benutzer zu den lokalen Administratoren hinzufügen. Soweit so gut.
In jeder Abteilung gibt es einen speziell geschulten Mitarbeiter, welcher berechtigt ist, in seiner Abteilung gewisse Programme selber zu installieren. (Entlastung der Administratoren)
Deshalb haben wir einen speziellen Installations-Benutzer erstellt. Dieser wird per GPO automatisch jedem PC zu den lokalen Administratoren hinzugefügt.
Mit diesem Benutzer können die Mitarbeiter dann die Programme installieren. (Rechte Maustaste und Ausführen als... wählen)
Nun möchten wir natürlich verhindern, dass man sich mit diesem Benutzer direkt an den PC anmelden kann, denn dann wäre die Sicherheit ja wieder gefährdet.
(Wir haben Mitarbeiter, die das Passwort kennen (müssen) und sich nun regelmässig mit diesem Benutzeraccount einloggen, nur damit sie nicht immer das Passwort bei den Installationen angeben müssen....)
Nun haben wir in den GPO's die folgende Richtlinie aktiviert:
Computer Configuration>Policies>Windows Settings>Security Settings>Local Policies>User Rights Assignment>Deny log on locally.
Dieser Richtlinie haben wir dann natürlich den erwähnten Installations-Benutzer zugewiesen.
Das funktioniert soweit gut, nun kann sich dieser Benutzer nicht mehr am PC anmelden.
Doch leider kann man nun mit diesem Benutzer auch keine Installationen mehr machen! Man hat nun zu wenig Rechte!!
Weiss jemand von Euch, wie man das am geschicktesten bewerkstelligen könnte?
Vielen Dank für zahlreiche Anregungen!
Server2008
Wir arbeiten hier mit Server 2008 R2 und Windows XP, Vista und Windows 7 Clients.
Aus Sicherheitsgründen möchten wir (möglichst) keine Benutzer zu den lokalen Administratoren hinzufügen. Soweit so gut.
In jeder Abteilung gibt es einen speziell geschulten Mitarbeiter, welcher berechtigt ist, in seiner Abteilung gewisse Programme selber zu installieren. (Entlastung der Administratoren)
Deshalb haben wir einen speziellen Installations-Benutzer erstellt. Dieser wird per GPO automatisch jedem PC zu den lokalen Administratoren hinzugefügt.
Mit diesem Benutzer können die Mitarbeiter dann die Programme installieren. (Rechte Maustaste und Ausführen als... wählen)
Nun möchten wir natürlich verhindern, dass man sich mit diesem Benutzer direkt an den PC anmelden kann, denn dann wäre die Sicherheit ja wieder gefährdet.
(Wir haben Mitarbeiter, die das Passwort kennen (müssen) und sich nun regelmässig mit diesem Benutzeraccount einloggen, nur damit sie nicht immer das Passwort bei den Installationen angeben müssen....)
Nun haben wir in den GPO's die folgende Richtlinie aktiviert:
Computer Configuration>Policies>Windows Settings>Security Settings>Local Policies>User Rights Assignment>Deny log on locally.
Dieser Richtlinie haben wir dann natürlich den erwähnten Installations-Benutzer zugewiesen.
Das funktioniert soweit gut, nun kann sich dieser Benutzer nicht mehr am PC anmelden.
Doch leider kann man nun mit diesem Benutzer auch keine Installationen mehr machen! Man hat nun zu wenig Rechte!!
Weiss jemand von Euch, wie man das am geschicktesten bewerkstelligen könnte?
Vielen Dank für zahlreiche Anregungen!
Server2008
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 130604
Url: https://administrator.de/contentid/130604
Printed on: April 20, 2024 at 02:04 o'clock
5 Comments
Latest comment
Hi.
Da gibt es schon lange was Schönes von MS
Benutze Deine Deny-Policy weiter und starte nun runas mit dem Schalter /netonly. Dann geht's. /netonly bedeutet, dass die Credentials nicht lokal verwendet werden, sondern nur für den Netzwerkzugriff. Die Mitgliedschaft in der Admingruppe wird jedoch berücksichtigt.
Zwei Probleme bleiben: die Setups müssen nun auf dem Server liegen und man tüdelt nun auf der Kommandozeile. Letzteres kann immerhin abgestellt werden, wenn man sich einen Kontextmenüeintrag baut, der gleich diesen Benutzer und /netonly übergibt.
Wir lösen die meisten Setups über zugewiesene MSIs (software assignment), so dass die Benutzer auch ohne Adminrechte installieren können, was wir freigeben. Geht auch bei normalen Setups, wenn man sie über eine Batch anspricht, die man in eine MSI einpackt über einen sogenannten MSI-Wrapper.
Da gibt es schon lange was Schönes von MS
Benutze Deine Deny-Policy weiter und starte nun runas mit dem Schalter /netonly. Dann geht's. /netonly bedeutet, dass die Credentials nicht lokal verwendet werden, sondern nur für den Netzwerkzugriff. Die Mitgliedschaft in der Admingruppe wird jedoch berücksichtigt.
Zwei Probleme bleiben: die Setups müssen nun auf dem Server liegen und man tüdelt nun auf der Kommandozeile. Letzteres kann immerhin abgestellt werden, wenn man sich einen Kontextmenüeintrag baut, der gleich diesen Benutzer und /netonly übergibt.
Wir lösen die meisten Setups über zugewiesene MSIs (software assignment), so dass die Benutzer auch ohne Adminrechte installieren können, was wir freigeben. Geht auch bei normalen Setups, wenn man sie über eine Batch anspricht, die man in eine MSI einpackt über einen sogenannten MSI-Wrapper.
Hallo "DerWoWusste"
vielen Dank für die Antwort!
Diesen Schalter kannten wir noch nicht! Aber wir werden das sofort überprüfen.
Wir verteilen auch die meiste Software per zugewiesene MSI. Aber nicht jede Software kommt mit einem MSI. Und immer gleich für jedes kleine "###"-Tool ein MSI erstellen ist zu Mühsam!
Vielen Dank für Deine Antwort.
Server2008
vielen Dank für die Antwort!
Diesen Schalter kannten wir noch nicht! Aber wir werden das sofort überprüfen.
Wir verteilen auch die meiste Software per zugewiesene MSI. Aber nicht jede Software kommt mit einem MSI. Und immer gleich für jedes kleine "###"-Tool ein MSI erstellen ist zu Mühsam!
Vielen Dank für Deine Antwort.
Server2008
Hi,
ich habe nochmals eine kleine Frage dazu.
Ich möchte nun eigentlich zum Kontextmenü dieses eigene RUNAS Kommando hinzufügen. Kann man dies per GPO (oder GPP) bewerkstelligen?
Auf Anhieb habe ich leider noch nichts gefunden!
Per GPP fügen wir bereits zum "Senden an..." den Editor hinzu. Das ist sehr praktisch. Jedoch sonst habe ich nichts gefunden!
Danke + Grüsse
Server2008
ich habe nochmals eine kleine Frage dazu.
Ich möchte nun eigentlich zum Kontextmenü dieses eigene RUNAS Kommando hinzufügen. Kann man dies per GPO (oder GPP) bewerkstelligen?
Auf Anhieb habe ich leider noch nichts gefunden!
Per GPP fügen wir bereits zum "Senden an..." den Editor hinzu. Das ist sehr praktisch. Jedoch sonst habe ich nichts gefunden!
Danke + Grüsse
Server2008
Klar, das geht per GPPs.
--
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\RunAs DeinAdmin]
[HKEY_CLASSES_ROOT\exefile\shell\RunAs DeinAdmin\command]
@="runas /netonly /user:NetbiosDomaenenname\\DeinAdmin \"%1\""
--
sollte für .exe passen. Für andere Dateitypen analog erstellen.
Noch was:
\\server\freigabe\setup.exe /silent
und Lass WIWW diese Batch einpacken als MSI - das war's.
--
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\RunAs DeinAdmin]
[HKEY_CLASSES_ROOT\exefile\shell\RunAs DeinAdmin\command]
@="runas /netonly /user:NetbiosDomaenenname\\DeinAdmin \"%1\""
--
sollte für .exe passen. Für andere Dateitypen analog erstellen.
Noch was:
Aber nicht jede Software kommt mit einem MSI
Dann guck Dir die genannten MSI-Wrapper an, zum Beispiel WIWW von Vinsvision. Erstelle eine Batch\\server\freigabe\setup.exe /silent
und Lass WIWW diese Batch einpacken als MSI - das war's.
Hallo!
Vielen Dank, das hat super geklappt!
Die Seite von Vinsvision ist (momentan?) nicht erreichbar. Deshalb konnte ich es nun auch nicht anschauen.
Aber wir haben leider einige Programme, die sich gar nicht "unnatend" installieren lassen. Also nix mit /silent oder /verysilent oder ähnlich.....
Klar es gibt auch dafür Programme, welche z.B. den Systemzustand vorher und nachher vergleichen..... Aber wenn man bloss mal ein 200kByte kleines Progrämmchen installieren möchte, ist das etwas viel Aufwand. Deshalb "brauchen" wir diesen neuen Benutzer!
Vielen Dank nochmals, denn dies funktioniert einwandfrei!
Gruss
Server2008
Vielen Dank, das hat super geklappt!
Die Seite von Vinsvision ist (momentan?) nicht erreichbar. Deshalb konnte ich es nun auch nicht anschauen.
Aber wir haben leider einige Programme, die sich gar nicht "unnatend" installieren lassen. Also nix mit /silent oder /verysilent oder ähnlich.....
Klar es gibt auch dafür Programme, welche z.B. den Systemzustand vorher und nachher vergleichen..... Aber wenn man bloss mal ein 200kByte kleines Progrämmchen installieren möchte, ist das etwas viel Aufwand. Deshalb "brauchen" wir diesen neuen Benutzer!
Vielen Dank nochmals, denn dies funktioniert einwandfrei!
Gruss
Server2008
