19
Windows Domäne - eingeschränkter Nutzer - UAC für Systemanpassungen
Hallo,
ich nutze einen Windows Server 2012 R2 als Domänenserver für ein Computerkabinett mit etwa 70 Thin-Clients. Nun versuche ich seit einigen Tagen einen Benutzer zu konfigurieren, welcher als Standardbenutzer auf allen Maschinen zum Einsatz kommen soll. So weit so gut hat das auch geklappt. Jetzt hänge ich jedoch an einer Sache, für die ich keine vernünftige Lösung finde. Ich möchte, dass der Standardbenutzer keine Änderungen an Systemeinstellungen vornehmen kann. Natürlich könnte ich hier sämtliche Bereiche, die ich sichern möchte, ausblenden oder ausgrauen lassen. Jedoch ist das nicht die Lösung die ich anstrebe. Ich möchte für alle Einstellungen (Bildschirmauflösung, Desktop-Design, Ändern des Standardwiedergabegeräts, ...) die UAC verwenden. Es soll dem Standardbenutzer quasi möglich sein, die Einstellungen einzusehen und zu verändern. Allerdings soll die Änderung nur nach Angabe der Administratorzugangsdaten erfolgen.
Wie bewerkstellige ich das?
ich nutze einen Windows Server 2012 R2 als Domänenserver für ein Computerkabinett mit etwa 70 Thin-Clients. Nun versuche ich seit einigen Tagen einen Benutzer zu konfigurieren, welcher als Standardbenutzer auf allen Maschinen zum Einsatz kommen soll. So weit so gut hat das auch geklappt. Jetzt hänge ich jedoch an einer Sache, für die ich keine vernünftige Lösung finde. Ich möchte, dass der Standardbenutzer keine Änderungen an Systemeinstellungen vornehmen kann. Natürlich könnte ich hier sämtliche Bereiche, die ich sichern möchte, ausblenden oder ausgrauen lassen. Jedoch ist das nicht die Lösung die ich anstrebe. Ich möchte für alle Einstellungen (Bildschirmauflösung, Desktop-Design, Ändern des Standardwiedergabegeräts, ...) die UAC verwenden. Es soll dem Standardbenutzer quasi möglich sein, die Einstellungen einzusehen und zu verändern. Allerdings soll die Änderung nur nach Angabe der Administratorzugangsdaten erfolgen.
Wie bewerkstellige ich das?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 356215
Url: https://administrator.de/contentid/356215
Printed on: April 26, 2024 at 20:04 o'clock
19 Comments
Latest comment
Hi,
E.
es soll dem Standardbenutzer quasi möglich sein, die Einstellungen einzusehen und zu verändern. Allerdings soll die Änderung nur nach Angabe der Administratorzugangsdaten erfolgen.
Welches OS haben denn die Clients?E.
Was MAN-Profile mit der Frage zu tun haben sollen, erschließt sich mir nicht.
Leider nicht ganz homogen: Win7 Standard 32 & 64 Bit und Windows 10 64 Bit.
s.
Ich möchte, dass der Standardbenutzer keine Änderungen an Systemeinstellungen vornehmen kann.
Was er mit Systemeinstellungen meint, k.A. Ich meine Usereinstellungem, hoffe die sind keine Admins 
.Zitat von @134464:
s.
.
Beim MAN kann niemand Änderungen vornehmen, zumindest nicht dauerhaft. Da muss erst ein Admin das Profil wieder zu einem "normalen" Profil machen, ändern und wieder in MAN ändern oder ein Admin hat eine Kopie davon, ändert diese und kopiert diese dann über das MAN.s.
Ich möchte, dass der Standardbenutzer keine Änderungen an Systemeinstellungen vornehmen kann.
Was er mit Systemeinstellungen meint, k.A. Ich meine Usereinstellungem, hoffe die sind keine Admins .Also sicher nicht das, was @Pherekles sucht.
Soll je auch keiner.
Da muss erst ein Admin das Profil wieder zu einem "normalen" Profil machen, ändern und wieder in MAN ändern oder ein Admin hat eine Kopie davon, ändert diese und kopiert diese dann über das MAN.
Logisch, so ists gedacht, meinst du das weiß ich nicht?! ...Also sicher nicht das, was @Pherekles sucht.
Warten wirs ab so lange er nichts anderes von sich gibt.
Du hast Recht. So etwas suche ich nicht. Ich möchte beim angemeldeten eingeschränkten Nutzer zur Laufzeit Änderungen machen können und das auch persistent. Nur eben mit einer Validierungsebene, der UAC.
Verknüpfung mit "control.exe" und Haken "als Admin ausführen" auf dem AllUsers-Desktop?
Muss ich morgen testen. Hatte schon vergeblich versucht Sicherheitsrichtlinien auf Control.exe anzuwenden. Alles in der Hoffnung UAC würde anspringen.
Wenn in der Veknüpfung unter "Kompatibilität" der Haken "Programm als Administrator ausführen" gesetzt ist, dann kommt mit Sicherheit der UAC-Dialog, es sei denn AUC ist deaktiviert. Und Benutzer, welche selbst keine Admins sind, müssen dabei ein anderes Konto + Passwort eingeben.
Gut, muss den test diesbezüglich wohl aufschieben. Mit der GPO der Domäne lassen sich die Win7-Systeme was das Control Panel angeht beschneiden. Windows 10 scheint es jedoch nicht zu interessieren, was ich da an Einstellungen tätige °nerv°.
Edit:
Wenn ich die Sicherheitseinstellungen auf 'Control.exe' so setze, dass mein User die Anwendung nicht mehr ausführen kann und diese dann als Admin starten möchte, bekomme ich in beiden Fällen ein 'Zugriff verweigert'. Wenn ich nun wüsste, wie die Berechtigungen der Benutzer aussehen müssen, damit die UAC anspringt, wäre ich durch mit dem Thema.
Edit:
Wenn ich die Sicherheitseinstellungen auf 'Control.exe' so setze, dass mein User die Anwendung nicht mehr ausführen kann und diese dann als Admin starten möchte, bekomme ich in beiden Fällen ein 'Zugriff verweigert'. Wenn ich nun wüsste, wie die Berechtigungen der Benutzer aussehen müssen, damit die UAC anspringt, wäre ich durch mit dem Thema.
Ich gebe das Vorhaben wohl auf. Zuletzt hatte ich sämtliche Sicherheitseinstellungen die zb. auf dem file '%windir%\system32\diskpart.exe' liegen auf 'control.exe' übertragen. System, Administrators, Users hatten nur die Rechte 'lesen' + 'lesen und ausführen'. TrustedInstaller hatte die Rechte an dem Objekt und Vollzugriff. Schade, bei Diskpart springt die UAC an... bei 'control.exe' passiert rein garnichts ...
Nun experimentiere ich mit dem AppLocker herum...
Nun experimentiere ich mit dem AppLocker herum...
Ich bestätige. CONTROL.EXE wird da gesondert behandelt. Wusste ich bis eben auch noch nicht.
Wenn man eine Veknüpfung für "control.exe" erstellt, dann fehlt dort der Reiter "Kompatibilität" komplett. Dadurch kann man dann den Haken bei "programm als Administrator ausführen" nicht setzen. Auch wenn man es manuell in die Registry einträgt (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers), zeigt es keine Wirkung.
Aber man kann es über das Verb "als Administrator ausführen" starten und dann kommt auch der UAC-Dialog. Schon komisch ....
Wenn man eine Veknüpfung für "control.exe" erstellt, dann fehlt dort der Reiter "Kompatibilität" komplett. Dadurch kann man dann den Haken bei "programm als Administrator ausführen" nicht setzen. Auch wenn man es manuell in die Registry einträgt (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers), zeigt es keine Wirkung.
Aber man kann es über das Verb "als Administrator ausführen" starten und dann kommt auch der UAC-Dialog. Schon komisch ....
Jep, eigentlich eine Sache die nicht sein kann. Wunder mich ohnehin, dass nirgendwer im Netz das gleiche Problem hat/hatte, sämtliche Einstellungen mit UAC zu sichern. Naja, was solls.
Gerade deswegen solltest du deine Vorgehensweise überdenken, sie ist sehr ungewöhnlich deswegen findest du dazu auch nichts.
Mal am Rande:
Die control.exe scheint wirklich sehr außerfriesich zu sein. Diese kann man noch nicht mal "an Start anheften". Das habe ich gestern durch Zufall in einem anderen Zusammanhang bemerkt.
Die control.exe scheint wirklich sehr außerfriesich zu sein. Diese kann man noch nicht mal "an Start anheften". Das habe ich gestern durch Zufall in einem anderen Zusammanhang bemerkt.
Habe ich bereits, aber unter den bei mir gegebenen Umständen wäre das die beste Lösung. Die ThinClients sind bei uns im 24/7-Betrieb und dienen als Terminal für den Zugriff auf Produktionsanlagen. Ohne weitere Details zu nennen: hin und wieder sind Änderungen Betreuender Personen am OS nötig, ohne dass der eingeloggte Benutzer abgemeldet werden kann. Die Betreuer haben zudem nicht das KnowHow, um aus dem Hintergrund per cmd/PS oder ähnliches Änderungen durchzuführen. Deswegen wäre die Validierungsebene durch UAC an dieser Stelle genau das Richtige gewesen.
Zitat von @emeriks:
Wenn man eine Veknüpfung für "control.exe" erstellt, dann fehlt dort der Reiter "Kompatibilität" komplett. Dadurch kann man dann den Haken bei "programm als Administrator ausführen" nicht setzen. Auch wenn man es manuell in die Registry einträgt (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers), zeigt es keine Wirkung.
Ich muss mich da mal selbst korrigieren.Wenn man eine Veknüpfung für "control.exe" erstellt, dann fehlt dort der Reiter "Kompatibilität" komplett. Dadurch kann man dann den Haken bei "programm als Administrator ausführen" nicht setzen. Auch wenn man es manuell in die Registry einträgt (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers), zeigt es keine Wirkung.
Wenn man eine Verknüpfung mit Control.exe hat, dann kommt man in deren Einstellungen gleich auf der ersten Seite mit dem Button "Erweitert" in den Dialog, wo man dauerhaft einstellen kann "als Administrator ausführen".