Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Adminrechte auf Clients wegen Programmen (Windows 2003 Server)

Frage Microsoft Windows Netzwerk

Mitglied: 56283

56283 (Level 1)

26.10.2007, aktualisiert 03.11.2007, 5531 Aufrufe, 6 Kommentare

Hallo,

ich habe ein Problem mit der Rechtevergabe in einer Domäne unter Windows 2003 und der eingesetzten Programme auf den Clients.

Die Clients im Netzwerk sollten so wenig Rechte wie möglich haben, was aber leider durch manche Programme die genutzt werden nicht möglich ist da sie ohne Adminrechte gar nicht laufen würden. Ich bekomme aber Bauchschmerzen wenn ich dran denke, das zurzeit die ganzen User mit in der Gruppe Domänen-Admins sind. Was kann ich nun machen damit die Programme auf den Clients laufen und dabei die Sicherheit nicht leidet?

Danke für eure Hilfe
Mitglied: 42583
26.10.2007 um 19:58 Uhr
Versuche es erstmal, dass die User auf den Programmordner Vollzugriff haben. Wenn die Apps auf dem lokalen PC liegen, dann bekommen die lokale Adminrecht, so läuft das im Allgemeinen. Ansonsten die Programme mit runus Scripte starten lassen. Die Kompelierst du zu einer exe mit einem Freewaretool und so können sie auch nicht mehr so einfach den Quellcode und Passwort rausfinden. Wenn du Fragen noch hast, einfach ne PM.
Bitte warten ..
Mitglied: GoCrash
27.10.2007 um 11:42 Uhr
Hallo !!
Ich habe das gleiche Problem. Die Software benötigt zum ausführen Adminrechte.
Ich kann das dem Benutzer aber nicht zumuten, ständing unter ausführen als.. zu arbeiten.
Und Admin Rechte im Netzwerk sind ausgeschlossen.

Kannst Du das mit dem Tool mal näher beschreiben wie das genau funktioniert und wo ich dieses Tool bekomme?
Bitte warten ..
Mitglied: 56283
27.10.2007 um 18:46 Uhr
Versuche es erstmal, dass die User auf den
Programmordner Vollzugriff haben.

Das habe ich schon versucht und das reicht leider auch nicht aus.

Wenn die
Apps auf dem lokalen PC liegen, dann bekommen
die lokale Adminrecht, so läuft das im
Allgemeinen.

Hm kannst du da mal genauer werden? Ist richtig, dass ich dann den Benutzer am Server wieder in die Gruppe Domänen-Benutzer schiebe? Wie gehts dann genau weiter?

Danke für deine Antwort.
Gruss
Bitte warten ..
Mitglied: 56283
31.10.2007 um 23:35 Uhr
*PUSH*

Wäre nett wenn ich noch eine Antwort bekommen könnte.
Danke
Bitte warten ..
Mitglied: 42583
02.11.2007 um 18:39 Uhr
Na das mit den lokalen Adminrechten ist so eine Sache, würde es eher als eine Quick & Dirty Lösung ansehen, aber manchmal lässt sich sowas leider nicht vermeiden. Wenn die Leute lokale Adminrechte haben müllen die ganz schnell ihren eigenen PC zu und das will man ja eigentlich vermeiden. Mit einer GPO kann man das auch noch ein bisschen beschneiden, aber so richtig toll ist das auch nicht. Sonst schon mal die Anwendungen über ein grafisches
Rechte Mausklick auf Arbeitsplatz->Verweltung->Lokale Benutzer & Gruppen->Gruppen....
Dort die Gruppe Administratoren raussuchen und da die Domänenbenutzer, oder die Einzelnen User einfügen oder die Nutzer in eine Gruppe zusammenfassen und diese denn dort einfügen.

Die bessere Alternative wäre so ein Runas Tool, wo du einfach nur das Programm festlegen musst und den Beutzer. Dann gibst du nur noch das Passwort ein und das Tool verschlüsselt dieses. Dann kann der Anwender das Tool mit Adminrechten starten, ohne das Adminpasswort zu kennen, es sei denn, er knackt irgendwie die Verschlüsselung des Passwortes.
Habe eben noch "runusspc" gefunden, vielelicht ist es das, was ich meine. Lade es dir mal runter und teste es mal mit dem Tool.
Viel Erfolg dabei und schreib mal, obs funktioniert hat. ;)

Hier noch mal ein Script, womit ich eine Batch starte, die einen bestimmten VM-Ware Dienst pusht. Kann ich ja als User nicht , deswegen das Runusscript.....
runas /noprofile /env /savecrd /user:computerws\Administrator "C:\Software\VMWare_Workstation\VMWare_dienst.cmd"
runas /noprofile /env /savecrd /user:computerws\userxp "C:\Software\VMWare_Workstation\vmware.exe"
taskkill /F /IM cmd.exe
Hier wird nur einmalig das Passwort vom Admin (und vom Userxp glaub ich auch) abgefragt, danach merkt das Script es sich bzw Windows.
Bitte warten ..
Mitglied: 56283
03.11.2007 um 01:12 Uhr
Danke!
Ich werde es das nächste mal wenn ich bei dem Kunden bin versuchen. Das mit dem zumüllen ist nicht so schlimm, da es der Rechner vom Chef des Unternehmens ist (er kennt ja eh alle Kennwörter). Was mir wichtig ist, ist die Sicherheit des ganzen Netzes wenn doch mal was auf dem Client passieren sollte. Aber mit lokalen Admin-Rechten wird er ja nicht weit kommen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
gelöst Exchange 2003 von Windows 2003 Server lösen bzw. entfernen (3)

Frage von plexxus zum Thema Exchange Server ...

Windows Server
gelöst Lokale Windows Firewall Server 2012R2 für virtuelle Maschine? (4)

Frage von 1410640014 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...