Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Berechtigungsproblem mit Remote MMC und UAC unter Vista

Frage Microsoft Windows Vista

Mitglied: ValiX

ValiX (Level 1) - Jetzt verbinden

25.03.2011, aktualisiert 26.03.2011, 7377 Aufrufe, 10 Kommentare

Ich habe administrator.de schon häufiger als Leser genutzt, aber jetzt hätte ich doch mal eine Frage. Ich habe sie zwar schon bei Computerbase.de gestellt, mir ist aber erst zu spät eingefallen, dass ich hier meiner Meinung nach besser aufgehoben wäre, außerdem geht es dort nicht weiter.

Hallo erst mal!

Meine Ausgangssituation:
Ich habe hier 13 Windows Vista Business SP2 PCs in einer Workgroup (ohne Domaine oder Active Directory). Ich habe auf allen PCs gleiche lokale Administratorkonten erstellt, nennen wir es einfach mal "Admin" und überall gibt es normale Standardbenutzer, sagen wir, sie heißen sagen wir mal "User".
Da die Rechner eine abteilungsinterne Bastellösung zur Netzwerkadministration sind und in einem getrennten Managment-Netz stehen, können wir nicht auf die Standardbürolösungen greifen, die auch für alle anderen "normalen" Büroarbeitsplätze ausgerollt werden.
Eine wie auch immer geartete Remote-Desktop-Lösung möchte ich vermeiden, da ich so die daran arbeitenden User störe und der Arbeitsaufwand nur geringfügig niedriger wird, da alle Rechner im gleichen Raum stehen. Sollte alles so funktionieren wie gewünscht und die Systeme fertig eingerichtet sein, wird das Konzept auf vermutlich weitere 7-10 PCs übertragen. Als Werkezuge zur Administration (mangels AD) verwende ich div. Import/exportfunktionen von Einstellungen, Registry-Keys, lokale Gruppenrichtlinien und geplante Tasks und Systemimages um die Systeme auf dem gleichen und aktuellen Stand zu halten. Sie beinhalten keine persönlichen Daten, da alle mit einem technischen User arbeiten. Eine spätere Verwendung eines AD zur Authenifizierung und Authorisierung ist eine Option.

Mein Ziel:
Ich möchte als "Admin" per MMC auf alle Rechner verwaltungstechnisch Zugriff haben.

Mein Problem:
Solange ich den UAC ausschalte funktioniert das alles wunderbar, aber wehe ich aktiviere es wieder, dann heißt es immer, mein Admin User hätte nicht die Berechtigung auf z.B. Aufgabenverwaltung zuzugreifen. Der Zugriff auf den Rechner ansich ist nicht eingeschränkt, nur auf spezifische Snap-Ins.
Ich habe es schon mit verschiedenen Einstellungen der lokalen Sicherheitsrichtlinien im UAC-Bereich experimentiert, aber ich komme nicht weiter. Die Ideen für die Sicherheitsrichtlinien habe ich von hier: http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2217.h ...

Meine Frage:
Wie kann ich per MMC auf die Snap-Ins anderer Rechner zugreifen ohne den UAC deaktivieren zu müssen?

Vielen Dank für eure Unterstützung im Voraus! Ich hoffe ich habe genug Infos mitgegeben.
Mitglied: loonydeluxe
25.03.2011 um 21:53 Uhr
Hallo ValiX,

hast du die mmc.exe mal auf dem Management-PC mit administrativen Rechten gestartet und die Snap-Ins dann manuell hinzugefügt?

Grüße, loonydeluxe
Bitte warten ..
Mitglied: ValiX
25.03.2011 um 23:32 Uhr
Hallo oonydeluxe,

vielen Dank für deine Antwort.

Das erstere ist ja selbstverständlich, aber mit manuellen Snap-Ins habe ich noch nicht getestet, werde es am Montag versuchen.
Bitte warten ..
Mitglied: DerWoWusste
26.03.2011 um 11:37 Uhr
Moin.
Zunächst mal:
Ich habe sie zwar schon bei Computerbase.de gestellt, ...außerdem geht es dort nicht weiter.
Dann verlink den Beitrag, oder möchtest Du uns lieber bei Null anfangen lassen?

Teste mal aus, was passiert, wenn Du das Konto Administrator nutzt - es muss zunächst bei allen aktiviert und mit einem Kennwort versehen werden. Für dieses Konto greift die UAC nie ein.
Bitte warten ..
Mitglied: ValiX
28.03.2011 um 15:57 Uhr
Zitat von DerWoWusste:
Dann verlink den Beitrag, oder möchtest Du uns lieber bei Null anfangen lassen?
Da dort das Ergebnis 0 ist, macht es keinen Unterschied.

Also mit dem aktiviertem "Administrator"-Konto geht alles wie gewünscht. Es liegt also definitiv am UAC, da der Administrator keinen UAC hat. Ist jetzt die Frage ist das Nutzen eines "echten" Administratorkontos empfehlenswert? Denn alle UAC-Vorteile sind dann ja futsch, andererseits solange keiner das Administratorpasswort hat und ich es nur für Remotekonfig nutze, sollte das kein Problem sein, oder?
Bitte warten ..
Mitglied: DerWoWusste
28.03.2011 um 20:02 Uhr
Denn alle UAC-Vorteile sind dann ja futsch
Du willst in diesem ja stark arbeiten - welche Vorteile sind also futsch? Keine.

Teste, ob es reicht, die mmc per Rechtsklick "als Administrator aus(zu)führen".
Bitte warten ..
Mitglied: loonydeluxe
28.03.2011 um 20:04 Uhr
sag ich doch...

"hast du die mmc.exe mal auf dem Management-PC mit administrativen Rechten gestartet und die Snap-Ins dann manuell hinzugefügt?"
Bitte warten ..
Mitglied: DerWoWusste
28.03.2011 um 20:19 Uhr
Ich wollte auf den Rechtsklick hinaus. Bei deiner Frage dachte er evtl. an Ausführung mit einem Adminkonto, was seit der UAC ja nicht mehr das Selbe ist.
Bitte warten ..
Mitglied: ValiX
28.03.2011 um 20:38 Uhr
Zitat von loonydeluxe:
sag ich doch...

"hast du die mmc.exe mal auf dem Management-PC mit administrativen Rechten gestartet und die Snap-Ins dann manuell
hinzugefügt?"

Jap, seit Vista sollte man sorgfältigst schreiben, es gibt schließlich den "Administrator" und den Administrator (z.B. Admin). Ersterer ist das gleichnamige Benutzerkonto, das andere ein User, der Mitglied der Administrator-Gruppe ist. Mein Problem bezog sich auf das letztere. Beim "Als Administrator ausführen" kann man, wenn man davor sitzt, jedes Konto, das Mitglied der Administrator-Gruppe ist, nehmen (z.B. Admin). Solange man also nix Remote machen möchte merkt man keinen Unterschied, ob ich als "Admin" oder "Administrator" arbeite, außer dass beim letzteren keine UAC-Popups kommen.

Deshalb half mir die Aussage "Administrative Rechte" nicht weiter, da ich ja als "Admin" bereits die MMC per UAC Berechtigungserhöhung mit höchsten Rechten ausführte, ohne den "Administrator"-Benutzer zu nutzen.
Wenn ich lokal die MMC wie seit eh und je mit Rechtsklick -> "Als Administrator ausführen" wähle, ist mit dem hier genannten "Administrator" nicht das standardmäßig deaktivierte "Administrator"-Konto gemeint, sondern irgendeins, was in der Gruppe "Administrator" ist.
Also habe ich bisher immer meinen "Admin"-User dafür benutzt. Doch genau das funktioniert Remote nicht, weil der UAC auf dem Remote System den "Admin"-User blockiert, da dieser dort zwar auch als Administrator eingruppiert ist, aber ja niemand da ist, der den jetzt nötigen systeminternen UAC-Popup (der jetzt nicht reell, sondern nur bildlich gesprochen) bestätigt.

Bei früheren Win Versionen war das einfacher, da konnte "jeder" Administrator (egal ob er Werner, Till oder Simone hieß) die MMC auch Remote mit vollen Rechten bedienen.

Hm, da auch ich auch hier nicht weiter komme, werde ich wohl für RemoteBF das "Administrator"-Konto nutzen müssen.

Und genau wegen dieser Rechtsklick-Geschichte will ich den UAC an sich aktiviert haben, denn als ich den mal testweise abschaltet konnte ich kein einziges Programm vom normalen Benutzerkonto aus per Rechtsklick als Admin ausführen, weil ich dann eine plumpe Fehlermeldung erhielt, dass ich keine Berechtigung besäße, ich aber nicht permant für jeden kleinen Admin-Klick das Konto wechseln möchte.
Bitte warten ..
Mitglied: DerWoWusste
28.03.2011 um 20:48 Uhr
Wir sind noch nicht am Lateinende angelangt.
Setze auf allen Systemen folgende Regkeys und reboote sie:
Zunächst http://support.microsoft.com/kb/951016

dann bei Bedarf noch http://support.microsoft.com/kb/937624 auch wenn ich nicht glaube, dass das hier passt.
Bitte warten ..
Mitglied: ValiX
28.03.2011 um 20:50 Uhr
Ah Danke! Das hört sich gut an, muss aber Feierabend machen und werde es morgen testen.

- So ich habe es getestet und der KB951016 war genau die Lösung.

Vielen Dank an euch beide!
Bitte warten ..
Ähnliche Inhalte
Windows 7
UAC-Feintuning
gelöst Frage von SarekHLWindows 78 Kommentare

Hallo zusammen, ich habe jetzt auf dem PC unserer Gemeindereferentin (Windows 7 Professional) Acronis True Image durch Acronis Backup ...

Papierkorb
UAC deaktivieren
Anleitung von 121355Papierkorb5 Kommentare

Hey. Ich hatte in letzter Zeit Probleme mit meinem Win10. Nach Deaktivierung der UAC war dieses dann gelöst. Hier ...

Sicherheitsgrundlagen
UAC und Locky
gelöst Frage von OberlausitzerSicherheitsgrundlagen10 Kommentare

Hallo, ich bin ein bisschen unklar darüber, ob man die UAC wirklich so einfach aushebeln kann: Umgebung: Windows 10 ...

Microsoft
Programmupdates und UAC
Frage von OliverWMicrosoft1 Kommentar

Hallo zusammen, Ich habe folgendes Problem und hoffe, das ihr mir helfen könnt. Wir haben eine Software, die beim ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 13 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 18 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 18 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Windows XP
Windows XP Aktivieren geht nicht
Frage von tetikmiroWindows XP13 Kommentare

Hallo Ich habe einen Windows XP mit einen vCenter Converter umgezogen auf eine ESXI. Soweit funktioniert dies auch ohne ...

Blogs
Immer wiederkehrende PHP Fehlermeldung bei Wordpress UTF-8 - ASCII
gelöst Frage von vcdweltBlogs11 Kommentare

Hi, seit einiger Zeit wird mein error_log meines Wordpress Blogs mit immer der gleichen Fehlermeldung überschwemmt. 14-Dec-2017 08:18:05 UTC ...

Switche und Hubs
Redundante L2 LWL Leitung über 2 Standorte - Spanning Tree - HP Equipment
gelöst Frage von ResolvSwitche und Hubs10 Kommentare

Hallo, ich stehe vor der Herausforderung eine Redundante L2 LWL Leitung über 2 Standorte herzustellen. Grundsätzliches Switching Know How ...