Benutzer mit lokalen Admin-Rechten aber ohne Login Berechtigung
Es soll ein Installations-Benutzer erstellt werden, mit dem man sich nicht einloggen kann, welcher aber lokale Admin-Rechte besitzt und somit Programm Installationen durchführen kann.
Hallo liebe Server Profis!
Wir arbeiten hier mit Server 2008 R2 und Windows XP, Vista und Windows 7 Clients.
Aus Sicherheitsgründen möchten wir (möglichst) keine Benutzer zu den lokalen Administratoren hinzufügen. Soweit so gut.
In jeder Abteilung gibt es einen speziell geschulten Mitarbeiter, welcher berechtigt ist, in seiner Abteilung gewisse Programme selber zu installieren. (Entlastung der Administratoren)
Deshalb haben wir einen speziellen Installations-Benutzer erstellt. Dieser wird per GPO automatisch jedem PC zu den lokalen Administratoren hinzugefügt.
Mit diesem Benutzer können die Mitarbeiter dann die Programme installieren. (Rechte Maustaste und Ausführen als... wählen)
Nun möchten wir natürlich verhindern, dass man sich mit diesem Benutzer direkt an den PC anmelden kann, denn dann wäre die Sicherheit ja wieder gefährdet.
(Wir haben Mitarbeiter, die das Passwort kennen (müssen) und sich nun regelmässig mit diesem Benutzeraccount einloggen, nur damit sie nicht immer das Passwort bei den Installationen angeben müssen....)
Nun haben wir in den GPO's die folgende Richtlinie aktiviert:
Computer Configuration>Policies>Windows Settings>Security Settings>Local Policies>User Rights Assignment>Deny log on locally.
Dieser Richtlinie haben wir dann natürlich den erwähnten Installations-Benutzer zugewiesen.
Das funktioniert soweit gut, nun kann sich dieser Benutzer nicht mehr am PC anmelden.
Doch leider kann man nun mit diesem Benutzer auch keine Installationen mehr machen! Man hat nun zu wenig Rechte!!
Weiss jemand von Euch, wie man das am geschicktesten bewerkstelligen könnte?
Vielen Dank für zahlreiche Anregungen!
Server2008
Wir arbeiten hier mit Server 2008 R2 und Windows XP, Vista und Windows 7 Clients.
Aus Sicherheitsgründen möchten wir (möglichst) keine Benutzer zu den lokalen Administratoren hinzufügen. Soweit so gut.
In jeder Abteilung gibt es einen speziell geschulten Mitarbeiter, welcher berechtigt ist, in seiner Abteilung gewisse Programme selber zu installieren. (Entlastung der Administratoren)
Deshalb haben wir einen speziellen Installations-Benutzer erstellt. Dieser wird per GPO automatisch jedem PC zu den lokalen Administratoren hinzugefügt.
Mit diesem Benutzer können die Mitarbeiter dann die Programme installieren. (Rechte Maustaste und Ausführen als... wählen)
Nun möchten wir natürlich verhindern, dass man sich mit diesem Benutzer direkt an den PC anmelden kann, denn dann wäre die Sicherheit ja wieder gefährdet.
(Wir haben Mitarbeiter, die das Passwort kennen (müssen) und sich nun regelmässig mit diesem Benutzeraccount einloggen, nur damit sie nicht immer das Passwort bei den Installationen angeben müssen....)
Nun haben wir in den GPO's die folgende Richtlinie aktiviert:
Computer Configuration>Policies>Windows Settings>Security Settings>Local Policies>User Rights Assignment>Deny log on locally.
Dieser Richtlinie haben wir dann natürlich den erwähnten Installations-Benutzer zugewiesen.
Das funktioniert soweit gut, nun kann sich dieser Benutzer nicht mehr am PC anmelden.
Doch leider kann man nun mit diesem Benutzer auch keine Installationen mehr machen! Man hat nun zu wenig Rechte!!
Weiss jemand von Euch, wie man das am geschicktesten bewerkstelligen könnte?
Vielen Dank für zahlreiche Anregungen!
Server2008
Please also mark the comments that contributed to the solution of the article
Content-Key: 130604
Url: https://administrator.de/contentid/130604
Printed on: April 20, 2024 at 02:04 o'clock
5 Comments
Latest comment
Hi.
Da gibt es schon lange was Schönes von MS
Benutze Deine Deny-Policy weiter und starte nun runas mit dem Schalter /netonly. Dann geht's. /netonly bedeutet, dass die Credentials nicht lokal verwendet werden, sondern nur für den Netzwerkzugriff. Die Mitgliedschaft in der Admingruppe wird jedoch berücksichtigt.
Zwei Probleme bleiben: die Setups müssen nun auf dem Server liegen und man tüdelt nun auf der Kommandozeile. Letzteres kann immerhin abgestellt werden, wenn man sich einen Kontextmenüeintrag baut, der gleich diesen Benutzer und /netonly übergibt.
Wir lösen die meisten Setups über zugewiesene MSIs (software assignment), so dass die Benutzer auch ohne Adminrechte installieren können, was wir freigeben. Geht auch bei normalen Setups, wenn man sie über eine Batch anspricht, die man in eine MSI einpackt über einen sogenannten MSI-Wrapper.
Da gibt es schon lange was Schönes von MS
Benutze Deine Deny-Policy weiter und starte nun runas mit dem Schalter /netonly. Dann geht's. /netonly bedeutet, dass die Credentials nicht lokal verwendet werden, sondern nur für den Netzwerkzugriff. Die Mitgliedschaft in der Admingruppe wird jedoch berücksichtigt.
Zwei Probleme bleiben: die Setups müssen nun auf dem Server liegen und man tüdelt nun auf der Kommandozeile. Letzteres kann immerhin abgestellt werden, wenn man sich einen Kontextmenüeintrag baut, der gleich diesen Benutzer und /netonly übergibt.
Wir lösen die meisten Setups über zugewiesene MSIs (software assignment), so dass die Benutzer auch ohne Adminrechte installieren können, was wir freigeben. Geht auch bei normalen Setups, wenn man sie über eine Batch anspricht, die man in eine MSI einpackt über einen sogenannten MSI-Wrapper.
Klar, das geht per GPPs.
--
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\RunAs DeinAdmin]
[HKEY_CLASSES_ROOT\exefile\shell\RunAs DeinAdmin\command]
@="runas /netonly /user:NetbiosDomaenenname\\DeinAdmin \"%1\""
--
sollte für .exe passen. Für andere Dateitypen analog erstellen.
Noch was:
\\server\freigabe\setup.exe /silent
und Lass WIWW diese Batch einpacken als MSI - das war's.
--
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\RunAs DeinAdmin]
[HKEY_CLASSES_ROOT\exefile\shell\RunAs DeinAdmin\command]
@="runas /netonly /user:NetbiosDomaenenname\\DeinAdmin \"%1\""
--
sollte für .exe passen. Für andere Dateitypen analog erstellen.
Noch was:
Aber nicht jede Software kommt mit einem MSI
Dann guck Dir die genannten MSI-Wrapper an, zum Beispiel WIWW von Vinsvision. Erstelle eine Batch\\server\freigabe\setup.exe /silent
und Lass WIWW diese Batch einpacken als MSI - das war's.