Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Berechtigungsproblem mit Remote MMC und UAC unter Vista

Frage Microsoft Windows Vista

Mitglied: ValiX

ValiX (Level 1) - Jetzt verbinden

25.03.2011, aktualisiert 26.03.2011, 7050 Aufrufe, 10 Kommentare

Ich habe administrator.de schon häufiger als Leser genutzt, aber jetzt hätte ich doch mal eine Frage. Ich habe sie zwar schon bei Computerbase.de gestellt, mir ist aber erst zu spät eingefallen, dass ich hier meiner Meinung nach besser aufgehoben wäre, außerdem geht es dort nicht weiter.

Hallo erst mal!

Meine Ausgangssituation:
Ich habe hier 13 Windows Vista Business SP2 PCs in einer Workgroup (ohne Domaine oder Active Directory). Ich habe auf allen PCs gleiche lokale Administratorkonten erstellt, nennen wir es einfach mal "Admin" und überall gibt es normale Standardbenutzer, sagen wir, sie heißen sagen wir mal "User".
Da die Rechner eine abteilungsinterne Bastellösung zur Netzwerkadministration sind und in einem getrennten Managment-Netz stehen, können wir nicht auf die Standardbürolösungen greifen, die auch für alle anderen "normalen" Büroarbeitsplätze ausgerollt werden.
Eine wie auch immer geartete Remote-Desktop-Lösung möchte ich vermeiden, da ich so die daran arbeitenden User störe und der Arbeitsaufwand nur geringfügig niedriger wird, da alle Rechner im gleichen Raum stehen. Sollte alles so funktionieren wie gewünscht und die Systeme fertig eingerichtet sein, wird das Konzept auf vermutlich weitere 7-10 PCs übertragen. Als Werkezuge zur Administration (mangels AD) verwende ich div. Import/exportfunktionen von Einstellungen, Registry-Keys, lokale Gruppenrichtlinien und geplante Tasks und Systemimages um die Systeme auf dem gleichen und aktuellen Stand zu halten. Sie beinhalten keine persönlichen Daten, da alle mit einem technischen User arbeiten. Eine spätere Verwendung eines AD zur Authenifizierung und Authorisierung ist eine Option.

Mein Ziel:
Ich möchte als "Admin" per MMC auf alle Rechner verwaltungstechnisch Zugriff haben.

Mein Problem:
Solange ich den UAC ausschalte funktioniert das alles wunderbar, aber wehe ich aktiviere es wieder, dann heißt es immer, mein Admin User hätte nicht die Berechtigung auf z.B. Aufgabenverwaltung zuzugreifen. Der Zugriff auf den Rechner ansich ist nicht eingeschränkt, nur auf spezifische Snap-Ins.
Ich habe es schon mit verschiedenen Einstellungen der lokalen Sicherheitsrichtlinien im UAC-Bereich experimentiert, aber ich komme nicht weiter. Die Ideen für die Sicherheitsrichtlinien habe ich von hier: http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2217.h ...

Meine Frage:
Wie kann ich per MMC auf die Snap-Ins anderer Rechner zugreifen ohne den UAC deaktivieren zu müssen?

Vielen Dank für eure Unterstützung im Voraus! Ich hoffe ich habe genug Infos mitgegeben.
Mitglied: loonydeluxe
25.03.2011 um 21:53 Uhr
Hallo ValiX,

hast du die mmc.exe mal auf dem Management-PC mit administrativen Rechten gestartet und die Snap-Ins dann manuell hinzugefügt?

Grüße, loonydeluxe
Bitte warten ..
Mitglied: ValiX
25.03.2011 um 23:32 Uhr
Hallo oonydeluxe,

vielen Dank für deine Antwort.

Das erstere ist ja selbstverständlich, aber mit manuellen Snap-Ins habe ich noch nicht getestet, werde es am Montag versuchen.
Bitte warten ..
Mitglied: DerWoWusste
26.03.2011 um 11:37 Uhr
Moin.
Zunächst mal:
Ich habe sie zwar schon bei Computerbase.de gestellt, ...außerdem geht es dort nicht weiter.
Dann verlink den Beitrag, oder möchtest Du uns lieber bei Null anfangen lassen?

Teste mal aus, was passiert, wenn Du das Konto Administrator nutzt - es muss zunächst bei allen aktiviert und mit einem Kennwort versehen werden. Für dieses Konto greift die UAC nie ein.
Bitte warten ..
Mitglied: ValiX
28.03.2011 um 15:57 Uhr
Zitat von DerWoWusste:
Dann verlink den Beitrag, oder möchtest Du uns lieber bei Null anfangen lassen?
Da dort das Ergebnis 0 ist, macht es keinen Unterschied.

Also mit dem aktiviertem "Administrator"-Konto geht alles wie gewünscht. Es liegt also definitiv am UAC, da der Administrator keinen UAC hat. Ist jetzt die Frage ist das Nutzen eines "echten" Administratorkontos empfehlenswert? Denn alle UAC-Vorteile sind dann ja futsch, andererseits solange keiner das Administratorpasswort hat und ich es nur für Remotekonfig nutze, sollte das kein Problem sein, oder?
Bitte warten ..
Mitglied: DerWoWusste
28.03.2011 um 20:02 Uhr
Denn alle UAC-Vorteile sind dann ja futsch
Du willst in diesem ja stark arbeiten - welche Vorteile sind also futsch? Keine.

Teste, ob es reicht, die mmc per Rechtsklick "als Administrator aus(zu)führen".
Bitte warten ..
Mitglied: loonydeluxe
28.03.2011 um 20:04 Uhr
sag ich doch...

"hast du die mmc.exe mal auf dem Management-PC mit administrativen Rechten gestartet und die Snap-Ins dann manuell hinzugefügt?"
Bitte warten ..
Mitglied: DerWoWusste
28.03.2011 um 20:19 Uhr
Ich wollte auf den Rechtsklick hinaus. Bei deiner Frage dachte er evtl. an Ausführung mit einem Adminkonto, was seit der UAC ja nicht mehr das Selbe ist.
Bitte warten ..
Mitglied: ValiX
28.03.2011 um 20:38 Uhr
Zitat von loonydeluxe:
sag ich doch...

"hast du die mmc.exe mal auf dem Management-PC mit administrativen Rechten gestartet und die Snap-Ins dann manuell
hinzugefügt?"

Jap, seit Vista sollte man sorgfältigst schreiben, es gibt schließlich den "Administrator" und den Administrator (z.B. Admin). Ersterer ist das gleichnamige Benutzerkonto, das andere ein User, der Mitglied der Administrator-Gruppe ist. Mein Problem bezog sich auf das letztere. Beim "Als Administrator ausführen" kann man, wenn man davor sitzt, jedes Konto, das Mitglied der Administrator-Gruppe ist, nehmen (z.B. Admin). Solange man also nix Remote machen möchte merkt man keinen Unterschied, ob ich als "Admin" oder "Administrator" arbeite, außer dass beim letzteren keine UAC-Popups kommen.

Deshalb half mir die Aussage "Administrative Rechte" nicht weiter, da ich ja als "Admin" bereits die MMC per UAC Berechtigungserhöhung mit höchsten Rechten ausführte, ohne den "Administrator"-Benutzer zu nutzen.
Wenn ich lokal die MMC wie seit eh und je mit Rechtsklick -> "Als Administrator ausführen" wähle, ist mit dem hier genannten "Administrator" nicht das standardmäßig deaktivierte "Administrator"-Konto gemeint, sondern irgendeins, was in der Gruppe "Administrator" ist.
Also habe ich bisher immer meinen "Admin"-User dafür benutzt. Doch genau das funktioniert Remote nicht, weil der UAC auf dem Remote System den "Admin"-User blockiert, da dieser dort zwar auch als Administrator eingruppiert ist, aber ja niemand da ist, der den jetzt nötigen systeminternen UAC-Popup (der jetzt nicht reell, sondern nur bildlich gesprochen) bestätigt.

Bei früheren Win Versionen war das einfacher, da konnte "jeder" Administrator (egal ob er Werner, Till oder Simone hieß) die MMC auch Remote mit vollen Rechten bedienen.

Hm, da auch ich auch hier nicht weiter komme, werde ich wohl für RemoteBF das "Administrator"-Konto nutzen müssen.

Und genau wegen dieser Rechtsklick-Geschichte will ich den UAC an sich aktiviert haben, denn als ich den mal testweise abschaltet konnte ich kein einziges Programm vom normalen Benutzerkonto aus per Rechtsklick als Admin ausführen, weil ich dann eine plumpe Fehlermeldung erhielt, dass ich keine Berechtigung besäße, ich aber nicht permant für jeden kleinen Admin-Klick das Konto wechseln möchte.
Bitte warten ..
Mitglied: DerWoWusste
28.03.2011 um 20:48 Uhr
Wir sind noch nicht am Lateinende angelangt.
Setze auf allen Systemen folgende Regkeys und reboote sie:
Zunächst http://support.microsoft.com/kb/951016

dann bei Bedarf noch http://support.microsoft.com/kb/937624 auch wenn ich nicht glaube, dass das hier passt.
Bitte warten ..
Mitglied: ValiX
28.03.2011 um 20:50 Uhr
Ah Danke! Das hört sich gut an, muss aber Feierabend machen und werde es morgen testen.

- So ich habe es getestet und der KB951016 war genau die Lösung.

Vielen Dank an euch beide!
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
Windows Remote App - Ausgabe in lokales Office (1)

Frage von fluluk zum Thema Windows Server ...

Erkennung und -Abwehr
Port 7547 SOAP Remote Code Execution Attack Against DSL Modems Internet Storm Center (5)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Windows Server
gelöst Windows Server 2012 Berechtigungsproblem (14)

Frage von Ausserwoeger zum Thema Windows Server ...

Windows Server
Remote App Manger Server 2016 (2)

Frage von opc123 zum Thema Windows Server ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...