Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Userverwaltung

GELÖST

Einem Vorgang Adminrechte geben

Mitglied: Patriot

Patriot (Level 2) - Jetzt verbinden

18.06.2009, aktualisiert 19:04 Uhr, 5039 Aufrufe, 8 Kommentare

Hallo Community,

ich hoffe mein TopicThema ist logisch.

Die Situation ist bei uns folgende. Wir haben Fachverfahren die beim Starten einen Versionsabgleich durchführen, wenn eine andere Version auf Server dann wird die Datei kopiert, das Problem ist der Vorgang benötigt lokale Adminrechte da fast jeder bei uns das Verfahren nutzt hat jeder bei uns lokale Adminrechte.. was mir sehr im Magen liegt. Teilweise nutzen die User das aus, teilweiße klicken die einfach alles mögliche an und zack passt dies nicht mehr usw. ich würde das ganze gern beenden. Hat jemand ne Idee wie ich dem Vorgang oder der Datei Adminrechte gebe den Rest aber nicht?

Clients Windows XP SP3
Windows 2003 Domäne

Schonmal Danke für alle Tipps und Ratschläge, wenn ihr noch mehr infos braucht einfach posten.
Mitglied: DerWoWusste
18.06.2009 um 19:19 Uhr
Das Prinzip lautet "autorisierte Vorgänge".
Man kann Nichtadmins sowohl Software zuweisen, die sie ohne Adminrechte installieren können (mit Systemrechten), als auch geplante Tasks entwerfen, die etwas mit Adminrechten erledigen und gleichzeitig vom Benutzer startbar sind. Das Problem bei Letzterem ist nur, dass Windows nicht zulässt, dass diese Vorgänge mit anderen Rechten sichtbar ablaufen - sie werden ausgeführt, jedoch kann der Benutzer weder mit Ihnen interagieren (anklicken zum Beispiel), noch deren Ausgaben sehen.
Braucht man die Sichtbarkeit, kommt das nächste Dilemma: Man könnte Vorgänge über Skripte starten, die Kennwörter übergeben - der Nutzer kann dies Kennwort evtl. lesen, aber - und das ist schlimmer - er kann sich dann widerum volle Rechte ergaunern, denn Prozesse vererben Rechte. Du willst, dass er beispielsweise notepad mit vollen Rechten startet. Ein lieber Nutzer mutiert zum Hacker und benutzt nun den Datei-öffnen-Dialog von Notepad einfach als Explorer mit Adminrechten - er kommt an alles ran (auch im Netzwerk), an das der Admin rankommt. Er kann auch aus diesem Dialog heraus weitere Programme mit hohen Rechten starten - somit ist dies kaum eine annehmbare Lösung.

Fazit: unsichtbar oder gar nicht. Wenn unsichtbar nicht geht: Pech gehabt, dann müssen Adminrechte her. Umweg: Prozess in eine virtuelle Maschine sperren oder am besten gleich die Adminrechte unnötig machen.
Bitte warten ..
Mitglied: Patriot
18.06.2009 um 19:27 Uhr
Danke für deine schnelle Antwort

also das kann ruhig unsichtbar geschehen, der User muss und soll davon überhaupt nichts mitbekommen. Mit geplanten Task, hört sich ganz gut an, bei Benutzert und Kennwort vergeb ich dann logischerweiße die Daten eines Domänen-Admins oder? und gibts da ne Möglichkeit das der User, das irgendwie rausbekommt?
Bitte warten ..
Mitglied: bastla
18.06.2009 um 19:32 Uhr
Hallo mmatze!

Nur interessehalber: Wofür sind die Adminrechte erforderlich?

Wenn's nur um ein(ig)e zu aktualisierende Datei(en) ginge, sollte doch das Anpassen der Sicherheitseinstellungen dieser Datei(en) reichen ...

Grüße
bastla
Bitte warten ..
Mitglied: Patriot
18.06.2009 um 19:35 Uhr
Ja es geht nur darum zu überprüfen wenn datei auf server neuer ist als auf Client dann soll der PC das kopieren, ist so ein spezieller Versionabsgleich, wie der im Hintergrund arbeitet das kann ich selber nicht so genau sagen. Mir wäre halt wichtig das der komplette Vorgang mit Adminrechten ausgeführt wird..meinst du das anpassen der Sicherheitseinstellungen lokal oder in Domäne, und welche Einstellungen genau?
Bitte warten ..
Mitglied: bastla
18.06.2009 um 19:41 Uhr
Hallo mmatze!

Wenn vom Server auf den Client Dateien kopiert werden sollen, kannst Du ja den Usern für diese Dateien auf dem Client zB "Ändern"-Rechte ("Schreiben" könnte auch genügen) geben - dann kann die Aktualisierung im Kontext des Users erfolgen.

Grüße
bastla
Bitte warten ..
Mitglied: Patriot
18.06.2009 um 19:43 Uhr
Okay, ich werde das Montag mal auf der Arbeit probieren, wenn das funkt setz ich den Beitrag auf gelöst. sollte sonst noch jemand nen Vorschlag haben, einfach posten.

Danke
Bitte warten ..
Mitglied: mrtux
18.06.2009 um 20:00 Uhr
Hi !

Zitat von DerWoWusste:
virtuelle Maschine sperren oder am besten gleich die Adminrechte
unnötig machen.

Was dann aber eher was mit guter Softwareentwicklung zu tun hätte und ich auch noch ein Klage- und Trauerlied mitsingen kann.

Solange es "Softwareentwickler" gibt, die im Jahre 2009 eine Konfigurationsdatei immer noch im Ordner "program files" oder "windows" ablegen, obwohl eine solche Vorgehensweise schon seit Windows NT unter der Rubrik "semiprofessionelles Arbeiten" abzulegen ist, werden solche Probleme immer nur auf Umwegen zu lösen sein.

Zurück zum Thema:
Entweder die Rechte anpassen oder eben nur die eine Anwendung mit Adminrechten fahren (was aber ebenfalls Sicherheitsprobleme schaffen kann).

mrtux
Bitte warten ..
Mitglied: DerWoWusste
18.06.2009 um 20:13 Uhr
In Tasks eingespeicherte Kennwörter sind verschlüsselt. Erfolgreiche Attacken dagegen sind mir nicht bekannt.
Was aber nach hinten losgehen kann und unbedingt verstanden sein muss: Kann der Nutzer den Task starten, so kann er auch lesen, was geschieht. Und steht da zum Beispiel "Führe als Domänenadmin c:\skripte\Versionspruefung.bat aus", dann ändert der erneut zum Hacker mutierende User das Skript Versionspruefung.bat mal eben nach seinem Gusto ab. Das Skript muss IMMER auf einem Server liegen und der Nutzer darf auf es nur Leserechte haben - niemals ändern.
Bitte warten ..
Ähnliche Inhalte
Windows 7
Remote einen User Adminrechte geben um Programme zu löschen?
Frage von Seak39Windows 710 Kommentare

Hallo, Und zwar haben wir ein Problem wir müssen in unsere Firma den Usern gewisse Programme Lokal runterlöschen. Leider ...

Webbrowser
Automatisierte Vorgänge auf einer Webseite
gelöst Frage von Chopper86Webbrowser8 Kommentare

Hallo liebe Community, wie der Titel schon sagt muss ich einige Vorgänge auf einer Webseite automatisieren. Details: Unsere Sekretärin ...

Windows Userverwaltung
GPO mit Adminrechten.
Frage von Illuminant777Windows Userverwaltung2 Kommentare

Hallo zusammen, ich habe hier ein kleines Problem und zumindest meine erste Recherche ging in die Hose. Ich habe ...

Windows Installation
Programminstallation ohne Adminrechte
Frage von MarcysWindows Installation10 Kommentare

Hallo Zusammen, wir haben eine ganz normale Domänenumgebung. Mit W2k3 als Domänencontroller. Es gibt den üblichen Admin mit allen ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 12 StundenRouter & Routing2 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 19 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 23 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...

Sonstige Systeme
7-zip: Programm frägt nach Passwort erst bei einzelnen Dateien
Frage von freeskierchrisSonstige Systeme7 Kommentare

Guten Morgen, ich habe ein Problem beim Arbeiten mit 7-zip: Wenn ich die einzelnen Dateien zu einem Archiv verpacke ...