Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Applets im Adminkontext öffnen, aber eingeschränkter User angemeldet

Frage Microsoft Windows Server

Mitglied: Fidel83

Fidel83 (Level 1) - Jetzt verbinden

20.11.2012 um 21:07 Uhr, 4099 Aufrufe, 10 Kommentare

Hallo zusammen

Ich brauche eure Hilfe in einem Szenario, wo mir für mich keine zufriedenstellende Lösung einfällt.

Ist-Zustand:

-Win2k8 R2 Domäne
-Win7 Enterprise Clients
-User mit eingeschränkten Rechten unterwegs
-Aufschaltung findet via LANDesk statt
-Installation von Programmen darf wegen Firmenrichtlinien nicht geschehen

Manche User wollen Einstellungen in der Systemsteuerung, zum Beispiel erweiterte Energieeinstellungen, vorgenommen bekommen. Geht natürlich ohne Adminrechte nicht.

Szenario läuft wie folgt. Ich schalte mich via LANDesk auf die IP auf. Starte über das Run-Feld im Remote Control Viewer das entsprechende Applet mit dem Befehl rundll32.exe shell32.dll, Control_RunDLL powercfg.cpl. Der Anwender erhält nun eine Abfrage, damit das ganze im Systemkontext geschehen soll. Das Applet öffnet sich. Jetzt kommt das Problem auf. Man muss sich dann ja durchklicken über Energieplaneinstellungen ändern zu erweiterte Energieeinstellungen ändern. Nun öffnet sich ein neues Fenster, wo der Adminkontext durch den Remote Control Viewer endet. Dieses Fenster wird nun im normalen Userkontext geöffnet. Somit kann ich nun nichts einstellen.

Einzige Lösung bisher ist das Eintragen des Users in die lokale Admingruppe. Das bedarf dann natürlich einem Ab- und Anmelden. Einstellung vornehmen. User aus der lokalen Gruppe austragen. Ab- und Anmelden. Das ist für mich auf Dauer aber unbefriedigend. Fallen da mehrere Fälle an, zieht sich das Ganze in die Länge und nimmt kostbare Zeit in Anspruch.

Hat jemand eine Idee, wie ich dies lösen kann ohne das Eintragen in die lokale Admingruppe?

Schon mal vielen Dank für die Mühe

LG

PS: War mir nicht ganz sicher, ob es besser unter Windows Server oder Windows 7 ist. Ein Mod möge es bitte verzeihen und verschieben, wenn ich falsch liege.
Mitglied: DerWoWusste
20.11.2012 um 23:00 Uhr
Moin.

Normales Vorgehen in jeglicher Art von Fernwartung wäre doch, die UAC-Abfrage mit einem Adminkennwort zu füttern - warum nicht? Geht es um die Sicherheit der Kennworteingabe?
Bitte warten ..
Mitglied: Fidel83
20.11.2012 um 23:12 Uhr
Hallo

Okay, den Fakt hätte ich mit erwähnen können. UAC-Abfrage ist deaktiviert.

LG
Bitte warten ..
Mitglied: DerWoWusste
20.11.2012 um 23:15 Uhr
Warum das?_____________________________________
Bitte warten ..
Mitglied: Fidel83
20.11.2012 um 23:20 Uhr
Wird alles über die Benutzerrechte gewährleistet. Insofern Rechte benötigt werden, werden diese entsprechend der Notwendigkeit gewährt. Es gibt da Abgrenzungen zw. normaler Domain User und Adminrechte.
Bitte warten ..
Mitglied: DerWoWusste
20.11.2012, aktualisiert um 23:22 Uhr
Ich kann nicht folgen... das Genannte spricht doch ganz und gar nicht gegen die UAC. Nichts spricht gegen die UAC.
Edit: Werde zügig antworten, kannst dran bleiben.
Bitte warten ..
Mitglied: Fidel83
20.11.2012 um 23:27 Uhr
Es ist in der Domäne so, dass jeder User, solange keine Adminrechte gewährt wurden, nur eingeschränkte Rechte hat. Wenn der User eine Anwendung bei sich installiert bekommen hat, werden entsprechend der Anwendung die notwendigen NTFS-Berechtigungen für das Programm im System gewährt.

Damit dem User ansonsten während seiner Arbeit die UAC nicht stört, User beschweren sich über sowas gerne mal, wurde diese deaktiviert. Ist so. Kann ich von meiner Seite auch nicht ändern.
Bitte warten ..
Mitglied: DerWoWusste
20.11.2012 um 23:30 Uhr
Verzeih bitte, aber das ist eine der blödsinnigsten Begründungen seit langem. Die UAC stört die schwachen User auch nicht mehr, als das was jetzt kommt, sobald sie was "Starkes" machen wollen, nämlich "Access denied". Und das Manko des Ansatzes erfährst Du gerade. Niemand Vernünftiges schaltet aus diesem Grund die UAC aus, wirklich nicht - krasse Fehlentscheidung.
Bitte warten ..
Mitglied: DerWoWusste
20.11.2012 um 23:32 Uhr
Ok, wenn Du es nicht ändern kannst, dann sei's drum.
Mal sehen, es gibt ja Tools wie sudowin, die meinen, ohne Ab-/Anmeldung auszukommen...mal angesehen?
Bitte warten ..
Mitglied: Fidel83
20.11.2012, aktualisiert um 23:33 Uhr
Da magst du recht haben. Dennoch kann ich daran nichts ändern. Ich muss damit leben. Deine Lösung, die UAC-Abfrage mit nem Kennwort füttern, würde das Problem sicherlich lösen. Aber das wird nicht laufen. Ich muss mit dem gegeben arbeiten.

Hättest du denn eine Lösung mit dem gegebenen Ist-Zustand?

edit: sudowin habe ich mir noch nicht angesehen. Bisher auch noch nicht gehört um ehrlich zu sein. Werde es mir mal ansehen. Danke.
Bitte warten ..
Mitglied: DerWoWusste
20.11.2012 um 23:40 Uhr
Andere Ansätze wären natürlich die Ummeldung (Admin übernimmt, Usersitzung wird pausiert) oder runas auf der Shell absetzen samt Adminkennwort (wird unsichtbar eingegeben) und von da alles regeln.

Allerdings wird Dein Fall eher selten auftreten: was das userprofil angeht, darf der User selbst alles machen und was das Systemprofil angeht, kannst Du alles per GPOs/GPPs machen.
Einzelwünsche jedoch...ja, da scheitert das Ganze bzw. wird es zur GPO-Friemelei.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Welche Freigaben haben welche Rechner im Netzwerk und welche User ist angemeldet? (5)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Windows Userverwaltung
gelöst Welcher User ist an welchem Client angemeldet (8)

Frage von BlueShadow9 zum Thema Windows Userverwaltung ...

Windows 7
Gruppenrichtlinie für User auf andere Rechner übertragen (1)

Frage von Robmantuto zum Thema Windows 7 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...