Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokale Adminrechte für Anwendungen

Frage Microsoft Windows Server

Mitglied: meddie

meddie (Level 1) - Jetzt verbinden

18.01.2010 um 22:44 Uhr, 11598 Aufrufe, 13 Kommentare

Hallo Leute,

Folgendes Situation. 2 spezielle Anwendungen erfordern lokale Adminrechte damit diese funktionieren. Die eine Anwendung ist ein Add-on für MS Word. Und das andere ist ein Datanbankprogramm zum Erfassen und Auswerten von Daten.
Ich dachte kein Problem, dann bekommt der User diese. Nun ist einige Zeit vergangen. Ich bin heute dran an den PC von einem dieser User und was sehe ich dort 100.000 Programme installiert diverse Toolbars usw.
Und dann beschwert sich der User auch noch, daß sein Pc so langsam geworden ist.

Nun geht mir heute schon den ganzen Tag durch den Kopf ihm die Rechte zu nehmen. Der Grund ist der dass es mehr solcher Clients gibt, die diese Software brauchen.

Wie könnte ich die Software zum Laufen bekommen. Reicht es wenn ich der Benutzergruppe Schreibrechte auf den Ordner Programme gebe? Oder ist das ein Holzweg?

Dann daraus resultierende Frage, kann ich das per GPO machen?

Und noch eine Frage wie entferne ich von allen Benutzern per GPO die lokalen Admin-Rechte.
Oder reichte es wenn ich einfach in der GPO bei Eingeschränkten Gruppen einfach eine Gruppe loklae Admins erstelle und dort erst mal keine Benutzer rein tue, löscht diese GPO dann die vorhandenen Einstellungen am Client in der Benutzerverwaltung?

Sorry, das ist jetzt eine ganze Reihe von Fragen

Vielen Dank im Voraus

Gruß Eddie
Mitglied: 2hard4you
18.01.2010 um 22:56 Uhr
Moin

lokaler Admin = Admin = User, der vor dem PC sitzt = da kannst Du gar nix machen

wer Admin ist von dem Stück Blech, vor dem er sitzt, der darf alles damit machen

wenn das eine Anwendung von Euch verlangt, dann sollte die Anwendung das ändern (Ticket an Hersteller?)

mit Hilfskrücken (Rechte auf bestimmte Verzeichnisse, Registryzweige etc.) kommste meist nicht weiter -also Herstellersupport oder damit leben (ggf. Info der IT / GL, was alles zu unterlassen ist)

Gruß

24
Bitte warten ..
Mitglied: mayho33
18.01.2010 um 23:01 Uhr
Hi!

Ich dachte kein Problem, dann bekommt der User diese. Nun ist einige Zeit vergangen. Ich bin heute dran an den PC von einem dieser User und was sehe ich dort 100.000 Programme installiert diverse Toolbars usw.
Und dann beschwert sich der User auch noch, daß sein Pc so langsam geworden ist.

Also ganz im Ernst. DAmit hättest du aber rechnen müssen. Was macht ein DAU zuerst, wenn er merkt dass alles möglich ist? Richtig! ER installiert jeden auffindbaren SChrott und müllt das System zu.

Wie könnte ich die Software zum Laufen bekommen. Reicht es wenn ich der Benutzergruppe Schreibrechte auf den Ordner Programme gebe? Oder ist das ein Holzweg?

Durchaus möglich. Manche Programme brauchen zusätzlich Schreibrechte auf Ordner auf C:\ oder wollen dort temporär was ablegen. Meißtens kannst du den Programmen in der Registry auf die SChliche kommen was die wann machen wollen. Da hilft nur testen, testen testen.


Dann daraus resultierende Frage, kann ich das per GPO machen?
Und noch eine Frage wie entferne ich von allen Benutzern per GPO die lokalen Admin-Rechte.
Oder reichte es wenn ich einfach in der GPO bei Eingeschränkten Gruppen einfach eine Gruppe loklae Admins erstelle und dort erst mal keine Benutzer rein tue, löscht diese GPO dann die vorhandenen Einstellungen am Client in der Benutzerverwaltung?



DAzu mein Tipp: http://www.gruppenrichtlinien.de/


@2hard4you: Da bin ich nicht ganz deiner Meinung. Bei der Planung und Erstellung der SW denkt kaum ein HErstellen an Rechteverwaltung. Der Programmierer Arbeitet explizit mit Adminrechten. Testen kommte erst danach und Bereinigung erst nachdem das Produkt auf dem Markt ist.

Wer die Aufgabe hat Solcherart SW zu installieren, das vielleicht auch noch automatisiert per SCCM oder RIS weis genau was zu tun ist und dazu gehört auch die Installation so zu verbiegen, dass die SW auch entweder ganz ohne Adminrechten läuft oder zumindest eingeschränkt.

Und nochwas. Auch lokalen Admins kann man die Rechte nehmen oder diese löschen. Vorraussetzung ist natürlich, dass der USer nicht gerade mit "dem" Administrator arbeitet. Aber wer das zulässt, steht sowieso auf verlorenem Posten.

'Rechte Lokaler Admin entfernen
'VBS

strComputer = "TESTPC0001"
strGroup = "Administrators"
arrUsers = Array("kenmyer", "adambarr", "lewjudy")
Set objGroup = GetObject("WinNT://" & strComputer & "/" & strGroup & ",group")
For Each strUser In arrUsers
Set objUser = GetObject("WinNT://" & strComputer & "/" & strUser & ",user")
objGroup.Remove(objUser.ADsPath)
Next

Grüße

Mayho
Bitte warten ..
Mitglied: DerWoWusste
18.01.2010 um 23:44 Uhr
Hi meddie.
Das Thema ist zwar immer wieder zu finden, eigentlich aber uralt.
Ich werf mal der Einfachheit halber ein paar Brocken hin und Du kannst bei Bedarf Rückfragen stellen.
-procmon nutzen und schauen, wohin genau die Programme schreiben wollen (bzw. welche Privilegien sie haben wollen) und anpassen
-Erzieherische Maßnahmen ("Sie verpflichten sich hiermit, die Adminrechte einzig und allein zum Zweck... zu verwenden") - funktionieren nur, wenn auch ernst und von oben angeordnet und überwachbar.
-alle vermeintlichen Workarounds (runas/runas mit savecred/runasspc/GPOs zum Einschränken von Admins) sind nicht wasserdicht, gewiefte Leute können diese immer umgehen
-der einzige Fall, wann man gesichert einen Benutzer mit hohen Rechten zum Programmstart ausstatten kann, ist leider, das Programm unsichtbar (nicht interaktiv, zum Beispiel über den Taskplaner) zu starten - dies hat also nur Wert, wenn das Programm keine Interaktion braucht (wie zum Bsp. Skripte zum Defragmentieren oder IP ändern)

Deine Frage zu den eingeschränkten Gruppen hast Du Dir selbst beantwortet. Probier es an einer Test-OU aus.
Schreibrechte auf Ordner und Registryzweige kann man auch per Computerpolicy vergeben ->im Bereich Windowseinstellungen - Sicherheitseinstellungen - Dateisystem/Registry
Bitte warten ..
Mitglied: mayho33
18.01.2010 um 23:55 Uhr
...REGMON und REGSHOT sind auch sehr nützliche Tools die du einsetzen kannst um eigensonnige Installationen zu zähmen
Bitte warten ..
Mitglied: maretz
19.01.2010 um 08:13 Uhr
Moin,

wie wäre es denn für die Programme je ein lokales Admin-Konto anzulegen und dem User das PW dafür zu geben? Sein Domänen-User hat dann nur Benutzerrechte und er kann das Programm mittels "Ausführen als" dann mit dem Admin-Account starten.

Hintergrund ist einfach der das du keinem User was auf die Finger geben kannst weil er sich 20 Toolbars installiert hat. Der behauptet nämlich einfach das er das nicht bewusst gemacht hat - und da heute teilweise die Webseiten schon anbieten so nen Müll zu installieren musst du dem erstmal die Absicht nachweisen.

Dasselbe gilt fast schon für Software - ups, das war nicht beabsichtigt, das Programm X hat gesagt es will was machen und ich hab ja gesagt. Auch wenn du genau weisst das sowas nicht stimmt - du kannst es schlecht nachweisen.

Mit der vorgeschlagenen Vorgehensweise kann er nichts installieren - und sich auch nicht rausreden. Denn: Warum gibt er das Admin-PW ausserhalb dieser beiden Anwendungen denn ein?

Wäre zumindest mein Ansatz - ob es klappt weiss ich ehrlich gesagt auch nich
Bitte warten ..
Mitglied: DerWoWusste
19.01.2010 um 10:31 Uhr
Moin Maretz.
Mit der vorgeschlagenen Vorgehensweise kann er nichts installieren - und sich auch nicht rausreden
Ich glaube, es ist nicht schwer zu sehen, dass das nicht vor Missbaruch schützt. Wenn es darum geht "dass er sich nur nicht rausreden kann", dann lässt man ihn einfach unterschreiben, dass er die Adminrechte nur für einen bestimmten Zweck nutzt, dann braucht man den (kleinen) Aufwand mit mehreren Konten auch nicht mehr.
Bitte warten ..
Mitglied: mayho33
19.01.2010 um 13:08 Uhr
HI!

@DerWoWusste: Leider ist diese Vorgehensweise nicht unbedingt zielführend. Auch bei uns gibt es solche Formulare und die Erfahrung hat gezeigt, dass die User sich kaum daran halten. Bei insgesamt 1200 Clients, davon 300 Workstations mit Adminrechten haben wir festgestellt, das mindestens 10 Workstations die Woche durch Zusatztools versaut wurden. Von Google Earth bis IE7Pro Updatefinder ist alles installiert. Jede Menge Zusatztools die dem armen User die Arbeit erleichtern sollen kannst du finden und noch mehr. Nur wenn dann plötzlich die Performance einbricht und du dem User erklärst woran das liegt gibts fpr etwa 10 Sekunden Einsicht. Spätestens nach dem bereinigen des Systems ist alles vergessen.

Wen man das halbwegs wasserdicht machen möchte muss jemand die Installation anpassen damit das ohne Adminrechte laufen kann. Ausnahmen gibts natürlich (ProE Wildfire, AutoDesk, AutoCAD, Inventor)

@maretz: Wenn du den User nicht demoralisieren willst, darunter leidet seine Arbeitsleistung, solltest du ihm erst garnicht die Möglichkeit geben etwas selbst zu installieren und ihm dann auf die Finger hauen. Ein User bleibt ein User und User machen was ihnen von der IT ermöglicht wird. Der einzige der eine auf die Finger bekommen sollte wenn da was passiert ist die IT.

Das zumindest ist meine Meinung.

Grüße!

mayho
Bitte warten ..
Mitglied: DerWoWusste
19.01.2010 um 13:26 Uhr
Leider ist diese Vorgehensweise nicht unbedingt zielführend
Ich hab, wie Du oben lesen kannst, dies als eine unter mehreren Wegen aufgezählt. "Unbedingt" zielführend ist es nur dann, wenn die Überwachung stattfindet (technisch möglich) und dann auch Sanktionen folgen, die den Anwender auch interessieren.
Bitte warten ..
Mitglied: mayho33
19.01.2010 um 14:33 Uhr
Sollte auch keine Kritik sein. Sorry, wenn das so verstanden wurde
Ich wollte/möchte nur meine Erfahrung zum Besten und ein paar Tipps geben.

Welche Sanktionen könnten das sein?

°Das die Abteilung die Wiederherstellung zahlen muss?
°Kündigung im Wiederholungsfall?
°Verlust der Adminrechte (und somit Entzug der Arbeitsgrundlage)?

Hatten wir alles irgendwie schon durch. Alles was das gebracht hat war Verdruss. Und außerdem muss man da ziemlich lückenlos nachweisen können, dass genau der User, dem die Löffel lang gezogen werden, an allem schuld ist. Und das ist oft nicht möglich.

Nach wie vor vertrete ich die Meinung es erst garnicht soweit kommen zu lassen, Sprich, so viel Einschränkung wie möglich, so viel Freiraum wie nötig. Alles andere macht nur Arbeit.

grüße!

Mayho
Bitte warten ..
Mitglied: DerWoWusste
19.01.2010 um 15:06 Uhr
Wir überwachen Installationsereignisse und bekommen E-Mails gesendet (die auch regelmäßig gelesen werden), welche durch Eventlogtriggering hervorgerufen werden - darin steht, was installiert wurde. Das wissen die Kollegen und halten sich tatsächlich daran. Etwaige Schwere von Maßnahmen mussten wir nicht einmal diskutieren - aber ich gebe Dir Recht, das wäre nicht leicht. Dennoch halte ich es durchaus für denkbar, wenn dies schriftlich vereinbart wird, auch Schritte bis hin zur Abmahnung zu gehen.
Bitte warten ..
Mitglied: mayho33
19.01.2010 um 15:43 Uhr
Das mit dem EventlogTriggering hört sich sehr interessant an. Kannst du mir das etwas genauer erklären wei das läuft, welche Tools verwendet werden?

Danke!
Bitte warten ..
Mitglied: DerWoWusste
19.01.2010 um 16:46 Uhr
Bei xp: über eventtriggers.exe in Verbindung mit Blat.exe Bei vista über das in den Scheduler eingebaute eventtriggering.
Log: Application, Source: MSIInstaller, EventID:1033
Aktion: dumping des Eventlogs, zippen (7zip-Kommandozeile - nur, falls notwendig, hier eher unnötig) und per Blat.exe versenden.
\\server\share\dumpel.exe -e 1033 -d 1 -l application -m MsiInstaller -f %windir%\temp\dump.txt
[Edit: dumpel sollte natürlich auch auf einem Server liegen, Pfade angepasst]
--Blat--
\\server\share\Blat -install Mailserver %username%@domain
\\server\share\Blat "%windir%\temp\dump.txt" -to empfänger@domain -server Mailserver -debug -timestamp -subject "Installation fand statt***Syslogging"
Bitte warten ..
Mitglied: mayho33
19.01.2010 um 18:53 Uhr
Super!! Danke!!!

Werd ich gleich mal im Unternehmen vorschlagen.

Grüße!

Mayho
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
Lokale Serveranmeldung via RDP? (9)

Frage von ooAlbert zum Thema Windows Server ...

Windows Userverwaltung
Lokale Ordnerumleitung auf den Server wieder lokal umsetzen (6)

Frage von M.Marz zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...