8
Einem Vorgang Adminrechte geben
Hallo Community,
ich hoffe mein TopicThema ist logisch.
Die Situation ist bei uns folgende. Wir haben Fachverfahren die beim Starten einen Versionsabgleich durchführen, wenn eine andere Version auf Server dann wird die Datei kopiert, das Problem ist der Vorgang benötigt lokale Adminrechte da fast jeder bei uns das Verfahren nutzt hat jeder bei uns lokale Adminrechte.. was mir sehr im Magen liegt. Teilweise nutzen die User das aus, teilweiße klicken die einfach alles mögliche an und zack passt dies nicht mehr usw. ich würde das ganze gern beenden. Hat jemand ne Idee wie ich dem Vorgang oder der Datei Adminrechte gebe den Rest aber nicht?
Clients Windows XP SP3
Windows 2003 Domäne
Schonmal Danke für alle Tipps und Ratschläge, wenn ihr noch mehr infos braucht einfach posten.
ich hoffe mein TopicThema ist logisch.
Die Situation ist bei uns folgende. Wir haben Fachverfahren die beim Starten einen Versionsabgleich durchführen, wenn eine andere Version auf Server dann wird die Datei kopiert, das Problem ist der Vorgang benötigt lokale Adminrechte da fast jeder bei uns das Verfahren nutzt hat jeder bei uns lokale Adminrechte.. was mir sehr im Magen liegt. Teilweise nutzen die User das aus, teilweiße klicken die einfach alles mögliche an und zack passt dies nicht mehr usw. ich würde das ganze gern beenden. Hat jemand ne Idee wie ich dem Vorgang oder der Datei Adminrechte gebe den Rest aber nicht?
Clients Windows XP SP3
Windows 2003 Domäne
Schonmal Danke für alle Tipps und Ratschläge, wenn ihr noch mehr infos braucht einfach posten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 118523
Url: https://administrator.de/contentid/118523
Printed on: April 26, 2024 at 16:04 o'clock
8 Comments
Latest comment
Das Prinzip lautet "autorisierte Vorgänge".
Man kann Nichtadmins sowohl Software zuweisen, die sie ohne Adminrechte installieren können (mit Systemrechten), als auch geplante Tasks entwerfen, die etwas mit Adminrechten erledigen und gleichzeitig vom Benutzer startbar sind. Das Problem bei Letzterem ist nur, dass Windows nicht zulässt, dass diese Vorgänge mit anderen Rechten sichtbar ablaufen - sie werden ausgeführt, jedoch kann der Benutzer weder mit Ihnen interagieren (anklicken zum Beispiel), noch deren Ausgaben sehen.
Braucht man die Sichtbarkeit, kommt das nächste Dilemma: Man könnte Vorgänge über Skripte starten, die Kennwörter übergeben - der Nutzer kann dies Kennwort evtl. lesen, aber - und das ist schlimmer - er kann sich dann widerum volle Rechte ergaunern, denn Prozesse vererben Rechte. Du willst, dass er beispielsweise notepad mit vollen Rechten startet. Ein lieber Nutzer mutiert zum Hacker und benutzt nun den Datei-öffnen-Dialog von Notepad einfach als Explorer mit Adminrechten - er kommt an alles ran (auch im Netzwerk), an das der Admin rankommt. Er kann auch aus diesem Dialog heraus weitere Programme mit hohen Rechten starten - somit ist dies kaum eine annehmbare Lösung.
Fazit: unsichtbar oder gar nicht. Wenn unsichtbar nicht geht: Pech gehabt, dann müssen Adminrechte her. Umweg: Prozess in eine virtuelle Maschine sperren oder am besten gleich die Adminrechte unnötig machen.
Man kann Nichtadmins sowohl Software zuweisen, die sie ohne Adminrechte installieren können (mit Systemrechten), als auch geplante Tasks entwerfen, die etwas mit Adminrechten erledigen und gleichzeitig vom Benutzer startbar sind. Das Problem bei Letzterem ist nur, dass Windows nicht zulässt, dass diese Vorgänge mit anderen Rechten sichtbar ablaufen - sie werden ausgeführt, jedoch kann der Benutzer weder mit Ihnen interagieren (anklicken zum Beispiel), noch deren Ausgaben sehen.
Braucht man die Sichtbarkeit, kommt das nächste Dilemma: Man könnte Vorgänge über Skripte starten, die Kennwörter übergeben - der Nutzer kann dies Kennwort evtl. lesen, aber - und das ist schlimmer - er kann sich dann widerum volle Rechte ergaunern, denn Prozesse vererben Rechte. Du willst, dass er beispielsweise notepad mit vollen Rechten startet. Ein lieber Nutzer mutiert zum Hacker und benutzt nun den Datei-öffnen-Dialog von Notepad einfach als Explorer mit Adminrechten - er kommt an alles ran (auch im Netzwerk), an das der Admin rankommt. Er kann auch aus diesem Dialog heraus weitere Programme mit hohen Rechten starten - somit ist dies kaum eine annehmbare Lösung.
Fazit: unsichtbar oder gar nicht. Wenn unsichtbar nicht geht: Pech gehabt, dann müssen Adminrechte her. Umweg: Prozess in eine virtuelle Maschine sperren oder am besten gleich die Adminrechte unnötig machen.
Danke für deine schnelle Antwort 
also das kann ruhig unsichtbar geschehen, der User muss und soll davon überhaupt nichts mitbekommen. Mit geplanten Task, hört sich ganz gut an, bei Benutzert und Kennwort vergeb ich dann logischerweiße die Daten eines Domänen-Admins oder? und gibts da ne Möglichkeit das der User, das irgendwie rausbekommt?
also das kann ruhig unsichtbar geschehen, der User muss und soll davon überhaupt nichts mitbekommen. Mit geplanten Task, hört sich ganz gut an, bei Benutzert und Kennwort vergeb ich dann logischerweiße die Daten eines Domänen-Admins oder? und gibts da ne Möglichkeit das der User, das irgendwie rausbekommt?
Hallo mmatze!
Nur interessehalber: Wofür sind die Adminrechte erforderlich?
Wenn's nur um ein(ig)e zu aktualisierende Datei(en) ginge, sollte doch das Anpassen der Sicherheitseinstellungen dieser Datei(en) reichen ...
Grüße
bastla
Nur interessehalber: Wofür sind die Adminrechte erforderlich?
Wenn's nur um ein(ig)e zu aktualisierende Datei(en) ginge, sollte doch das Anpassen der Sicherheitseinstellungen dieser Datei(en) reichen ...
Grüße
bastla
Ja es geht nur darum zu überprüfen wenn datei auf server neuer ist als auf Client dann soll der PC das kopieren, ist so ein spezieller Versionabsgleich, wie der im Hintergrund arbeitet das kann ich selber nicht so genau sagen. Mir wäre halt wichtig das der komplette Vorgang mit Adminrechten ausgeführt wird..meinst du das anpassen der Sicherheitseinstellungen lokal oder in Domäne, und welche Einstellungen genau?
Hallo mmatze!
Wenn vom Server auf den Client Dateien kopiert werden sollen, kannst Du ja den Usern für diese Dateien auf dem Client zB "Ändern"-Rechte ("Schreiben" könnte auch genügen) geben - dann kann die Aktualisierung im Kontext des Users erfolgen.
Grüße
bastla
Wenn vom Server auf den Client Dateien kopiert werden sollen, kannst Du ja den Usern für diese Dateien auf dem Client zB "Ändern"-Rechte ("Schreiben" könnte auch genügen) geben - dann kann die Aktualisierung im Kontext des Users erfolgen.
Grüße
bastla
Okay, ich werde das Montag mal auf der Arbeit probieren, wenn das funkt setz ich den Beitrag auf gelöst. sollte sonst noch jemand nen Vorschlag haben, einfach posten.
Danke
Danke
Hi !
Was dann aber eher was mit guter Softwareentwicklung zu tun hätte und ich auch noch ein Klage- und Trauerlied mitsingen kann.
Solange es "Softwareentwickler" gibt, die im Jahre 2009 eine Konfigurationsdatei immer noch im Ordner "program files" oder "windows" ablegen, obwohl eine solche Vorgehensweise schon seit Windows NT unter der Rubrik "semiprofessionelles Arbeiten" abzulegen ist, werden solche Probleme immer nur auf Umwegen zu lösen sein.
Zurück zum Thema:
Entweder die Rechte anpassen oder eben nur die eine Anwendung mit Adminrechten fahren (was aber ebenfalls Sicherheitsprobleme schaffen kann).
mrtux
Zitat von @DerWoWusste:
virtuelle Maschine sperren oder am besten gleich die Adminrechte
unnötig machen.
virtuelle Maschine sperren oder am besten gleich die Adminrechte
unnötig machen.
Was dann aber eher was mit guter Softwareentwicklung zu tun hätte und ich auch noch ein Klage- und Trauerlied mitsingen kann.
Solange es "Softwareentwickler" gibt, die im Jahre 2009 eine Konfigurationsdatei immer noch im Ordner "program files" oder "windows" ablegen, obwohl eine solche Vorgehensweise schon seit Windows NT unter der Rubrik "semiprofessionelles Arbeiten" abzulegen ist, werden solche Probleme immer nur auf Umwegen zu lösen sein.
Zurück zum Thema:
Entweder die Rechte anpassen oder eben nur die eine Anwendung mit Adminrechten fahren (was aber ebenfalls Sicherheitsprobleme schaffen kann).
mrtux
In Tasks eingespeicherte Kennwörter sind verschlüsselt. Erfolgreiche Attacken dagegen sind mir nicht bekannt.
Was aber nach hinten losgehen kann und unbedingt verstanden sein muss: Kann der Nutzer den Task starten, so kann er auch lesen, was geschieht. Und steht da zum Beispiel "Führe als Domänenadmin c:\skripte\Versionspruefung.bat aus", dann ändert der erneut zum Hacker mutierende User das Skript Versionspruefung.bat mal eben nach seinem Gusto ab. Das Skript muss IMMER auf einem Server liegen und der Nutzer darf auf es nur Leserechte haben - niemals ändern.
Was aber nach hinten losgehen kann und unbedingt verstanden sein muss: Kann der Nutzer den Task starten, so kann er auch lesen, was geschieht. Und steht da zum Beispiel "Führe als Domänenadmin c:\skripte\Versionspruefung.bat aus", dann ändert der erneut zum Hacker mutierende User das Skript Versionspruefung.bat mal eben nach seinem Gusto ab. Das Skript muss IMMER auf einem Server liegen und der Nutzer darf auf es nur Leserechte haben - niemals ändern.