Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Benutzer mit lokalen Admin-Rechten aber ohne Login Berechtigung

Frage Microsoft Windows Server

Mitglied: Server2008

Server2008 (Level 1) - Jetzt verbinden

30.11.2009, aktualisiert 21:08 Uhr, 10979 Aufrufe, 5 Kommentare

Es soll ein Installations-Benutzer erstellt werden, mit dem man sich nicht einloggen kann, welcher aber lokale Admin-Rechte besitzt und somit Programm Installationen durchführen kann.

Hallo liebe Server Profis!

Wir arbeiten hier mit Server 2008 R2 und Windows XP, Vista und Windows 7 Clients.
Aus Sicherheitsgründen möchten wir (möglichst) keine Benutzer zu den lokalen Administratoren hinzufügen. Soweit so gut.
In jeder Abteilung gibt es einen speziell geschulten Mitarbeiter, welcher berechtigt ist, in seiner Abteilung gewisse Programme selber zu installieren. (Entlastung der Administratoren)

Deshalb haben wir einen speziellen Installations-Benutzer erstellt. Dieser wird per GPO automatisch jedem PC zu den lokalen Administratoren hinzugefügt.
Mit diesem Benutzer können die Mitarbeiter dann die Programme installieren. (Rechte Maustaste und Ausführen als... wählen)

Nun möchten wir natürlich verhindern, dass man sich mit diesem Benutzer direkt an den PC anmelden kann, denn dann wäre die Sicherheit ja wieder gefährdet.
(Wir haben Mitarbeiter, die das Passwort kennen (müssen) und sich nun regelmässig mit diesem Benutzeraccount einloggen, nur damit sie nicht immer das Passwort bei den Installationen angeben müssen....)

Nun haben wir in den GPO's die folgende Richtlinie aktiviert:
Computer Configuration>Policies>Windows Settings>Security Settings>Local Policies>User Rights Assignment>Deny log on locally.
Dieser Richtlinie haben wir dann natürlich den erwähnten Installations-Benutzer zugewiesen.

Das funktioniert soweit gut, nun kann sich dieser Benutzer nicht mehr am PC anmelden.
Doch leider kann man nun mit diesem Benutzer auch keine Installationen mehr machen! Man hat nun zu wenig Rechte!!

Weiss jemand von Euch, wie man das am geschicktesten bewerkstelligen könnte?

Vielen Dank für zahlreiche Anregungen!

Server2008
Mitglied: DerWoWusste
30.11.2009 um 21:35 Uhr
Hi.
Da gibt es schon lange was Schönes von MS
Benutze Deine Deny-Policy weiter und starte nun runas mit dem Schalter /netonly. Dann geht's. /netonly bedeutet, dass die Credentials nicht lokal verwendet werden, sondern nur für den Netzwerkzugriff. Die Mitgliedschaft in der Admingruppe wird jedoch berücksichtigt.
Zwei Probleme bleiben: die Setups müssen nun auf dem Server liegen und man tüdelt nun auf der Kommandozeile. Letzteres kann immerhin abgestellt werden, wenn man sich einen Kontextmenüeintrag baut, der gleich diesen Benutzer und /netonly übergibt.

Wir lösen die meisten Setups über zugewiesene MSIs (software assignment), so dass die Benutzer auch ohne Adminrechte installieren können, was wir freigeben. Geht auch bei normalen Setups, wenn man sie über eine Batch anspricht, die man in eine MSI einpackt über einen sogenannten MSI-Wrapper.
Bitte warten ..
Mitglied: Server2008
01.12.2009 um 07:15 Uhr
Hallo "DerWoWusste"

vielen Dank für die Antwort!
Diesen Schalter kannten wir noch nicht! Aber wir werden das sofort überprüfen.

Wir verteilen auch die meiste Software per zugewiesene MSI. Aber nicht jede Software kommt mit einem MSI. Und immer gleich für jedes kleine "Scheiss"-Tool ein MSI erstellen ist zu Mühsam!

Vielen Dank für Deine Antwort.

Server2008
Bitte warten ..
Mitglied: Server2008
01.12.2009 um 08:32 Uhr
Hi,

ich habe nochmals eine kleine Frage dazu.
Ich möchte nun eigentlich zum Kontextmenü dieses eigene RUNAS Kommando hinzufügen. Kann man dies per GPO (oder GPP) bewerkstelligen?
Auf Anhieb habe ich leider noch nichts gefunden!

Per GPP fügen wir bereits zum "Senden an..." den Editor hinzu. Das ist sehr praktisch. Jedoch sonst habe ich nichts gefunden!

Danke + Grüsse
Server2008
Bitte warten ..
Mitglied: DerWoWusste
01.12.2009 um 10:45 Uhr
Klar, das geht per GPPs.
--
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\RunAs DeinAdmin]

[HKEY_CLASSES_ROOT\exefile\shell\RunAs DeinAdmin\command]
@="runas /netonly /user:NetbiosDomaenenname\\DeinAdmin \"%1\""
--
sollte für .exe passen. Für andere Dateitypen analog erstellen.

Noch was:
Aber nicht jede Software kommt mit einem MSI
Dann guck Dir die genannten MSI-Wrapper an, zum Beispiel WIWW von Vinsvision. Erstelle eine Batch
\\server\freigabe\setup.exe /silent
und Lass WIWW diese Batch einpacken als MSI - das war's.
Bitte warten ..
Mitglied: Server2008
01.12.2009 um 11:04 Uhr
Hallo!

Vielen Dank, das hat super geklappt!

Die Seite von Vinsvision ist (momentan?) nicht erreichbar. Deshalb konnte ich es nun auch nicht anschauen.
Aber wir haben leider einige Programme, die sich gar nicht "unnatend" installieren lassen. Also nix mit /silent oder /verysilent oder ähnlich.....

Klar es gibt auch dafür Programme, welche z.B. den Systemzustand vorher und nachher vergleichen..... Aber wenn man bloss mal ein 200kByte kleines Progrämmchen installieren möchte, ist das etwas viel Aufwand. Deshalb "brauchen" wir diesen neuen Benutzer!

Vielen Dank nochmals, denn dies funktioniert einwandfrei!

Gruss
Server2008
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User (10)

Frage von M.Marz zum Thema Windows Systemdateien ...

E-Mail
Lotus Notes Traveler- Benutzer einrichten im Admin (8)

Frage von Hendrik2586 zum Thema E-Mail ...

Windows 7
AD-Benutzer einer Lokalen Gruppe hinzufügen(16Bit OU) (3)

Frage von WIZARDBOY zum Thema Windows 7 ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...