Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zeitlich begrenzte Admin-Rechte im AD

Frage Microsoft Windows Userverwaltung

Mitglied: memolidogan

memolidogan (Level 1) - Jetzt verbinden

31.05.2010, aktualisiert 15:32 Uhr, 7100 Aufrufe, 21 Kommentare

Ich benötige einen Vorschlag für folgendes Problem:

Ich bin Praktikant und habe die A....karte gezogen auf der stand, dass ich ein Programm finden soll womit man im AD dem einzelnen User zeitlich begrenztes Admin-Recht vergeben kann, damit der User ohne große Admin-Hilfe z.B. sein Java-Updaten kann oder irgendein Programm installieren soll etc.

Vorstellung handelt von einem System welches dem User im Firmennetzwerk sowie ausserhalb der Firma Admin-Rechte vergeben kann.

Offline-Szenario:

Der User möchte auf seinem Notebook seine erste Powerpoint-Präsentation vorbereiten. Da er aber zu Haus in seinem Garten sitzt und der Admin auch nicht mehr im Betrieb ist und der User seine Office-CD nicht einfach so zum installieren des Features einfach so einlegen kann, muss er sich irgendwie Admin-Rechte besorgen. Der User ruft eine speziell dafür eingerichtete Hotline an die direkt zum Diensthandy des Admins umleitet, anschließend bekommt der User eine Mail mit einem temporären Kennwort welches X Minuten/Stunden nach der Eingabe abläuft in das Programm eingibt und weiterarbeiten kann.

Im Firmennetzwerk oder über das Internet könnte das gleiche oder ähnliche Szenario ohne Telefonat über eine spezielle e-Mail Adresse laufen.

Kennt jemand eine zumindest annähernde Lösung??

Bin für jede Antwort dankbar
Mitglied: 2hard4you
31.05.2010 um 15:44 Uhr
Moin,

Rückfrage - ist der User im Garten mit der Firma verbunden?

Gruß

24
Bitte warten ..
Mitglied: 60730
31.05.2010 um 15:46 Uhr
Auch dir eine nette erste Zeile ...

Wenn der A Karten vergeber etwas mehr nachdenkt, dann findet er ganz schnell folgendes heraus...

  • ohne AD Anbindung, weil der User im Garten nicht im AD klemmt und sein unvorbereitetes Notenbuch das erste mal startet....
  • ohne einen Admin, der ein Diensthandy hat und den der User eigentlich ohne speziell eingerichtete Hotline erreichbar ist...

hört sich das für einen nicht Bäcker nach einem schlecht durchdachten IT Support der mit einer noch weniger durchdachten Frickelbunti Lösung optimiert werden soll.

Gruß
Bitte warten ..
Mitglied: schuhmann
31.05.2010 um 15:49 Uhr
Hm, wenn er offline die Rechte nur durch ein Kennwort bekommen soll, fällt mir nur ne Batch ein.
Nach ner Kennwortabfrage könntest du per net user das Benutzerkonto in die Gruppe administratoren nehmen und gleichzeitig eine weitere Batch in den Autostart kopieren, welche bei der nächsten Anmeldung das Konto wieder rausnimmt.
Nach Ausführen der Batch hat der User nach erneutem Logon Adminrechte und nach noch einem Logon nicht mehr.
Damit er das Kennwort nicht immer wiederverwenden kann um sich die Rechte zu verschaffen musst du dir noch was überlegen, was sich aus Datum und Zeit errechnet.

Oder wenn der Admin eh an einen PC geht um ne Mail zu schreiben mit dem PW, dann könnte er auch eben per Teamviewer oder Ähnliches die Installation via Ausführen als" starten
Bitte warten ..
Mitglied: 60730
31.05.2010 um 15:54 Uhr
Zitat von schuhmann:
Nach ner Kennwortabfrage könntest du per net user das Benutzerkonto in die Gruppe administratoren nehmen und gleichzeitig....

überleg mal...

  • welche User dürfen User in die Gruppe der Administratoren bringen?

Also auch ein Griff ins Klo - oder darf ich wegen deinem Avatar schreiben - in den eigenen Schritt?

Gruß
Bitte warten ..
Mitglied: skibby
31.05.2010 um 15:56 Uhr
Direkt mal vorne weg: Ich kenn kein Programm welches sowas kann.

So ganz kann ich aber auch den Sinn daran erkennen. Der Mitarbeiter sitzt zuhause und hat ein Firmennotebook. Damit will er nun arbeiten und seine Powerpoint Präsentation vorbereiteten und muss etwas Nachinstallieren. Nun möchte man dem Benutzer übers AD kurzzeitig die Adminrechte geben. Hab ich soweit alles richtig verstanden?

Problem:
- Der Benutzer braucht dann eine direkte VPN Verbindung zu sich nach Hause (also per Router nicht per Hardware), da sich sonst die Richtlinien nicht aktualisieren. Ich gehe stark davon aus, das er nicht solch einen Router hat, da die schon ein bisschen was kosten.
- Warum braucht man sowas??

Selbst wenn er solch einen Router hat und sich alle aktuelle Richtlinien zieht bevor er sich anmeldet, kann ich dem doch Adminrechte geben und dem per Mail schreiben: Neustarten -> Anmelden -> installieren -> Mail schreiben das man fertig ist -> Neustarten.
So könnte der Admin noch kürzer halten indem er die entsprechende Rechte Besitzt.

Persönlich würde ich aber einem User der ein Notebook hat, immer lokale Adminrechte geben. Weil die oftmals schlecht zu erreichen sind und sich so erst mal über Wasser halten können.
Bitte warten ..
Mitglied: 60730
31.05.2010 um 16:04 Uhr
Zitat von skibby:
Persönlich würde ich aber einem User der ein Notebook hat, immer lokale Adminrechte geben.

aua


Ich dachte, hier schreiben gestandene Admins und keine gestrandeten Bäcker...
Bitte warten ..
Mitglied: skibby
31.05.2010 um 16:10 Uhr
Zwischen dem was ich dem Persönlich geben würde und was ich auf der Arbeit mache, sind eben zwei Seiten. Deswegen steht da ja auch "persönlich". Natürlich gebe ich keinen Kunden Lokale Adminrechte nur weil er ein Notebook hat. Versuch das nur mal der Geschäftsführung zu erzählen. Immerhin zahlt diese ja meine Rechnungen :o)

Mal davon abgesehen kann ich es nicht verstehen warum man sich noch nicht die Frage gestellt hat: Wieso ist das Teil nicht fertig konfiguriert?
Hätte da mal jemand seine Arbeit fertig/richtig gemacht, würde dieses Problem nicht existieren.
Bitte warten ..
Mitglied: schuhmann
31.05.2010 um 16:27 Uhr
Da hast du nicht ganz unrecht.
Dann müsstest du dir ne exe basteln mir hard codiertem Adminkennwort dass per Runas dein Prog aufruft und direkt das Adminpw mitgibt.
Bitte warten ..
Mitglied: 60730
31.05.2010 um 16:35 Uhr
Zitat von schuhmann:
Da hast du nicht ganz unrecht.
Dann müsstest du dir ne exe basteln mir hard codiertem Adminkennwort dass per Runas dein Prog aufruft und direkt das Adminpw
mitgibt.

Nein -
  • ein simples starten aller Anwendungen vor der Ausgabe des Notebooks
  • regelmäßiges erscheinen der ausgegebenen Noteboosk im Firmenlan / sei es echt oder über VPN
  • oder andersherum patchmanagement

sind die Punkte, an denen jeder nicht Bäcker zuerst ansetzen wird und am schnellsten am ziel ankommt.

Gruß
Bitte warten ..
Mitglied: Peter161
31.05.2010 um 16:51 Uhr
Moin, also bei uns ist das mit den Lehrernotebooks so ähnlich. Aber wir haben die Sicherheitssoftware HDGuard --> Der Notebookaccount hat lokale Adminrechte, sodass die Lehrer alles installieren können. Eigentlich ist alles nötige drauf, aber manchmal braucht man was bestimmtes. Solange befinden sich die Rechner im sog. Seminarmodus, alle Daten bleiben erhalten. Wenn der Lehrer den Notebook wieder in der Schule abgibt, also ins Fach legt, wird er nochmal hochgefahren und einfach neugestartet, sodass er wieder sauber ist für den nächsten. Soll eine Software für immer drauf, dann muss ich das machen.

Grüße
Bitte warten ..
Mitglied: DerWoWusste
31.05.2010 um 18:57 Uhr
Hallöchen.
Das Szenario ist schon abwegig: Wird Office tatsächlich nicht komplett installiert bei Euch auf Rechnern ohne Adminrechten? Egal.
Basteln kann man eine ganze Menge. Ich würde an Deiner Stelle aber vorher klarstellen, wie es mit dem Schutzbedürfnis Eurer Rechner aussieht - bei strengen und ernst gemeinten Vorgaben kann man da nicht viel machen ohne zu riskieren, dass sich der Nutzer die Adminrechte dauerhaft aneignet.
Eine Möglichkeit des Installierens von Anwendungen ohne Adminrechte, welche tatsächlich sicher ist und auch von MS vorgesehen, ist das Veröffentlichen von Anwendungen über GPOs. Veröffentlichte Anwendugen findet der Anwender bereit zur Installation unter appwiz.cpl - Anwendungen vom Netzwerk installieren. Dies läuft nur mit Verbindung zur Domäne.
Ohne Verbindung kann man nur Lösungen basteln, die allesamt umgangen werden können.
Bitte warten ..
Mitglied: St-Andreas
31.05.2010 um 21:00 Uhr
Hallo,

vorweg: Hab selten sowas abwegiges gelesen, und hier liest man ja so einiges.
Aber: Du solltest mal folgende Fragen stellen:

Warum haben die Benutzer nicht standardmässig lokale Adminrechte? Wenn Du dafür einen Grund bekommst, dann frag ob diese Gründe in der zu vergebenden Zeit nicht möglich sind.
Sollte diese Frage mit "nein" beantwortet werden lügt dich jemand an (Begründung: wenn jemand administrative Rechte auf einem Windowssystem hat ist es nahezu unmöglich diese Zeit zu begrenzen).
Sollte die Frage mit "ja" beantwortet werden so frage wie den sichergestellt werden soll das der Benutzer im Garten tatsächlich Powerpoint installiert und nicht einen der Ursprungsgründe ausführt.
Sollte für die letzte Frage tatsächlich eine sinnvolle Antwort möglich sein (was ich bezweifel) finde ich auch eine Lösung für Dein Problem.
Bitte warten ..
Mitglied: Midivirus
31.05.2010 um 21:01 Uhr
damit ich auch meinen Senf dazugeben kann:

ich war mal Mitarbeiter einer IT-Hotline für einen großen Baudienstleister.

Dort konnte man für Notebooks "lokale Adminrchte" beantragen, aber: wenn ein Fehler entstanden ist, welcher nachweislich nicht durch normales benutzen entstanden ist, wird die Bereinigung des Systemes komplett der Person > Abteilung > Leitung in Rechnung gestellt ...
Wenn die mal nach Konbuckto gereist sind und kein UMTS bekommen oder das gestört ist, schon scheiße!

Dann noch DerWoWusste nachgesagt: Dort gibt es eine sog. Softwareverteilung nicht, zwar nicht über GPO gelöst [nähere Details egal], aber sowas wie jetzt Office etc. Standardprogramme sind vom Start aus komplett installiert.

Und aus datenschutztechnischen Gründen haben die Leute, die keine lok AdminR haben am Notebook, egal wo sie sind, das P halt.

die Lösung von Peter161 kenn ich jetzt nur, dass nach jedem Neustart der Rechner in einem vorher definiertem Zustand ist (...) Gibt es als Steckkarte für Desktops!

Um einen Abschluss zufinden:
es geht nur eins ... und ordentliche Admins ... machen es ordentlich, und Bäcker machen es nach 60730 sowieso immer anders ;)
Bitte warten ..
Mitglied: Peter161
31.05.2010 um 21:08 Uhr

die Lösung von Peter161 kenn ich jetzt nur, dass nach jedem Neustart der Rechner in einem vorher definiertem Zustand ist
(...) Gibt es als Steckkarte für Desktops!

Es gibt eine Softwarelösung von RDT Gobal, mit dem Namen HDGuard, die dies unterstützt. Bin sehr zufrieden. Die Karten sind die Kaiser Wächterkarten...
Bitte warten ..
Mitglied: TuXHunt3R
31.05.2010 um 23:42 Uhr
Schliesse mich an:

AUTSCH!!!!!!!!!!!!!!!!!!!!!!!

Bitte warten ..
Mitglied: memolidogan
01.06.2010 um 09:01 Uhr
Manche User haben mich verstanden. (Auch wenn nicht ganz) :D

Primär gehts darum dem User im Offline-sein Admin rechte zu vergeben. Stellt euch vor ihr seid im Zug und braucht für irgendeine Aufgabe Admin-Rechte, gibts da ein Programm welches den User dazu bewegt den Admin zu kontaktieren und ein Passwort zu verlangen welches in das Programm eingegeben wird???

@DerWoWusste: Natürlich wird Office VOLL-Installiert und cih weiss dass das ein dummes Beispiel war. es geht lediglich in erster Linie um da oben im Text beschriebene...

eine Lösung in der Domäne bzw. AD wäre auch nicht schlecht.

Vielen Dank an alle die so fleissig geantwortet haben, mit soviel Replies habe ich nicht gerechnet.
Bitte warten ..
Mitglied: Midivirus
01.06.2010 um 09:16 Uhr
gut, dann erwarten wir von dir, du auch anderen hilfst ... sieht man ja in deinem Profil ....
Bitte warten ..
Mitglied: DerWoWusste
01.06.2010 um 10:50 Uhr
Die Lösung in der Domäne habe ich Dir genannt (jedenfalls, was das Installieren angeht): Software publishing googeln und einrichten.
Ohne Domänenzugriff wird das nichts wenn es sicher sein soll - soll es das sein? (Hast Du nicht beantwortet)
Bitte warten ..
Mitglied: 2hard4you
01.06.2010 um 11:07 Uhr
Zitat von memolidogan:


Stellt euch vor ihr seid im Zug und braucht für
irgendeine Aufgabe Admin-Rechte, gibts da ein Programm welches den User dazu bewegt den Admin zu kontaktieren und ein Passwort zu
verlangen welches in das Programm eingegeben wird???


Auch im Zug kann man per VPN mit dem FirmenLAN verbunden sein - Du hast also immer noch nicht die Frage beantwortet - offline oder online

Du hast einen kompletten Denkfehler - wie soll WIN überprüfen, ob der User (noch) Admin ist? (und das Passwort des Users korrekt ist?)- deshalb geht sowas nur online (ggf. mit VPN).

Gruß

24
Bitte warten ..
Mitglied: mattes007
06.09.2012 um 10:20 Uhr
Auch wenn der letzte Beitrag schon etwas her ist...gebe ich mal meinen Senf dazu.

Ja, es gibt eine Software mit der man (auch ohne VPN Tunnel/Internetzugang) Admin-Rechte vergeben kann.

Die Software lautet: Avecto Privilege Guard

Lässt sich per GPO administrieren, braucht aber keine ständige Verbindung zum Server!

Es lassen sich lokale Drucker installieren, Netzwerkkarten konfigurieren...ohne Adminrechte. Zudem lässt sich auch Software installieren (Whitelist) ohne Admin-Rechte und ... sehr interessant ... Software blocken (auch Portable Versionen).
Man kann auch zeitlich beschränkte Rechte vergeben und mitprotokollieren was der User damit getan hat...und sich dieses Protokoll per Mail zuschicken lassen.

Man kann aber auch einen anderen Weg gehen. Bei Win7 lassen sich Programme blocken. Also "lokale Admin Rechte" geben und entsprechend "unerwünschte" Software von vornerein blocken.
Bitte warten ..
Mitglied: DerWoWusste
06.09.2012 um 11:19 Uhr
Moin.

Noch etwas Ketchup zum verspäteteten Senf gefällig? ;)

Es lassen sich lokale Drucker installieren
Geht auch mit GPOs
Netzwerkkarten konfigurieren...ohne Adminrechte.
Geht über die Gruppe Netzwerkkonfigurationsoperatoren seit xp
Zudem lässt sich auch Softwareinstallieren (Whitelist) ohne Admin-Rechte
Geht wie beschrieben mit GPO App-Publishing
und ... sehr interessant ... Software blocken (auch Portable Versionen).
Geht seit xp mit SRPs
Man kann auch zeitlich beschränkte Rechte vergeben und mitprotokollieren was der User damit getan hat...und sich dieses
Protokoll per Mail zuschicken lassen.
DAS geht natürlich nicht mit Bordmitteln

Man kann aber auch einen anderen Weg gehen. Bei Win7 lassen sich Programme blocken. Also "lokale Admin Rechte" geben und
entsprechend "unerwünschte" Software von vornerein blocken.
Das geht wie gesagt schon seit xp. Seit 7 gibt es (nur Edition Ultimate und Enterprse) nicht nur SRPs, sondern auch Applocker, welcher ein verbessertes SRP ist.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 7
Dataline Office benötigt zum starten Admin-Rechte (3)

Frage von ingoue zum Thema Windows 7 ...

Windows Userverwaltung
Domain Admin Rechte auf FileServer (3)

Frage von BlueShadow9 zum Thema Windows Userverwaltung ...

Windows 10
gelöst Bitlocker und Admin-Rechte (5)

Frage von quin83 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...