Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Einem Vorgang Adminrechte geben

Frage Microsoft Windows Userverwaltung

Mitglied: Patriot

Patriot (Level 1) - Jetzt verbinden

18.06.2009, aktualisiert 19:04 Uhr, 4994 Aufrufe, 8 Kommentare

Hallo Community,

ich hoffe mein TopicThema ist logisch.

Die Situation ist bei uns folgende. Wir haben Fachverfahren die beim Starten einen Versionsabgleich durchführen, wenn eine andere Version auf Server dann wird die Datei kopiert, das Problem ist der Vorgang benötigt lokale Adminrechte da fast jeder bei uns das Verfahren nutzt hat jeder bei uns lokale Adminrechte.. was mir sehr im Magen liegt. Teilweise nutzen die User das aus, teilweiße klicken die einfach alles mögliche an und zack passt dies nicht mehr usw. ich würde das ganze gern beenden. Hat jemand ne Idee wie ich dem Vorgang oder der Datei Adminrechte gebe den Rest aber nicht?

Clients Windows XP SP3
Windows 2003 Domäne

Schonmal Danke für alle Tipps und Ratschläge, wenn ihr noch mehr infos braucht einfach posten.
Mitglied: DerWoWusste
18.06.2009 um 19:19 Uhr
Das Prinzip lautet "autorisierte Vorgänge".
Man kann Nichtadmins sowohl Software zuweisen, die sie ohne Adminrechte installieren können (mit Systemrechten), als auch geplante Tasks entwerfen, die etwas mit Adminrechten erledigen und gleichzeitig vom Benutzer startbar sind. Das Problem bei Letzterem ist nur, dass Windows nicht zulässt, dass diese Vorgänge mit anderen Rechten sichtbar ablaufen - sie werden ausgeführt, jedoch kann der Benutzer weder mit Ihnen interagieren (anklicken zum Beispiel), noch deren Ausgaben sehen.
Braucht man die Sichtbarkeit, kommt das nächste Dilemma: Man könnte Vorgänge über Skripte starten, die Kennwörter übergeben - der Nutzer kann dies Kennwort evtl. lesen, aber - und das ist schlimmer - er kann sich dann widerum volle Rechte ergaunern, denn Prozesse vererben Rechte. Du willst, dass er beispielsweise notepad mit vollen Rechten startet. Ein lieber Nutzer mutiert zum Hacker und benutzt nun den Datei-öffnen-Dialog von Notepad einfach als Explorer mit Adminrechten - er kommt an alles ran (auch im Netzwerk), an das der Admin rankommt. Er kann auch aus diesem Dialog heraus weitere Programme mit hohen Rechten starten - somit ist dies kaum eine annehmbare Lösung.

Fazit: unsichtbar oder gar nicht. Wenn unsichtbar nicht geht: Pech gehabt, dann müssen Adminrechte her. Umweg: Prozess in eine virtuelle Maschine sperren oder am besten gleich die Adminrechte unnötig machen.
Bitte warten ..
Mitglied: Patriot
18.06.2009 um 19:27 Uhr
Danke für deine schnelle Antwort

also das kann ruhig unsichtbar geschehen, der User muss und soll davon überhaupt nichts mitbekommen. Mit geplanten Task, hört sich ganz gut an, bei Benutzert und Kennwort vergeb ich dann logischerweiße die Daten eines Domänen-Admins oder? und gibts da ne Möglichkeit das der User, das irgendwie rausbekommt?
Bitte warten ..
Mitglied: bastla
18.06.2009 um 19:32 Uhr
Hallo mmatze!

Nur interessehalber: Wofür sind die Adminrechte erforderlich?

Wenn's nur um ein(ig)e zu aktualisierende Datei(en) ginge, sollte doch das Anpassen der Sicherheitseinstellungen dieser Datei(en) reichen ...

Grüße
bastla
Bitte warten ..
Mitglied: Patriot
18.06.2009 um 19:35 Uhr
Ja es geht nur darum zu überprüfen wenn datei auf server neuer ist als auf Client dann soll der PC das kopieren, ist so ein spezieller Versionabsgleich, wie der im Hintergrund arbeitet das kann ich selber nicht so genau sagen. Mir wäre halt wichtig das der komplette Vorgang mit Adminrechten ausgeführt wird..meinst du das anpassen der Sicherheitseinstellungen lokal oder in Domäne, und welche Einstellungen genau?
Bitte warten ..
Mitglied: bastla
18.06.2009 um 19:41 Uhr
Hallo mmatze!

Wenn vom Server auf den Client Dateien kopiert werden sollen, kannst Du ja den Usern für diese Dateien auf dem Client zB "Ändern"-Rechte ("Schreiben" könnte auch genügen) geben - dann kann die Aktualisierung im Kontext des Users erfolgen.

Grüße
bastla
Bitte warten ..
Mitglied: Patriot
18.06.2009 um 19:43 Uhr
Okay, ich werde das Montag mal auf der Arbeit probieren, wenn das funkt setz ich den Beitrag auf gelöst. sollte sonst noch jemand nen Vorschlag haben, einfach posten.

Danke
Bitte warten ..
Mitglied: mrtux
18.06.2009 um 20:00 Uhr
Hi !

Zitat von DerWoWusste:
virtuelle Maschine sperren oder am besten gleich die Adminrechte
unnötig machen.

Was dann aber eher was mit guter Softwareentwicklung zu tun hätte und ich auch noch ein Klage- und Trauerlied mitsingen kann.

Solange es "Softwareentwickler" gibt, die im Jahre 2009 eine Konfigurationsdatei immer noch im Ordner "program files" oder "windows" ablegen, obwohl eine solche Vorgehensweise schon seit Windows NT unter der Rubrik "semiprofessionelles Arbeiten" abzulegen ist, werden solche Probleme immer nur auf Umwegen zu lösen sein.

Zurück zum Thema:
Entweder die Rechte anpassen oder eben nur die eine Anwendung mit Adminrechten fahren (was aber ebenfalls Sicherheitsprobleme schaffen kann).

mrtux
Bitte warten ..
Mitglied: DerWoWusste
18.06.2009 um 20:13 Uhr
In Tasks eingespeicherte Kennwörter sind verschlüsselt. Erfolgreiche Attacken dagegen sind mir nicht bekannt.
Was aber nach hinten losgehen kann und unbedingt verstanden sein muss: Kann der Nutzer den Task starten, so kann er auch lesen, was geschieht. Und steht da zum Beispiel "Führe als Domänenadmin c:\skripte\Versionspruefung.bat aus", dann ändert der erneut zum Hacker mutierende User das Skript Versionspruefung.bat mal eben nach seinem Gusto ab. Das Skript muss IMMER auf einem Server liegen und der Nutzer darf auf es nur Leserechte haben - niemals ändern.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...