fidel83
Goto Top

Applets im Adminkontext öffnen, aber eingeschränkter User angemeldet

Hallo zusammen

Ich brauche eure Hilfe in einem Szenario, wo mir für mich keine zufriedenstellende Lösung einfällt.

Ist-Zustand:

-Win2k8 R2 Domäne
-Win7 Enterprise Clients
-User mit eingeschränkten Rechten unterwegs
-Aufschaltung findet via LANDesk statt
-Installation von Programmen darf wegen Firmenrichtlinien nicht geschehen

Manche User wollen Einstellungen in der Systemsteuerung, zum Beispiel erweiterte Energieeinstellungen, vorgenommen bekommen. Geht natürlich ohne Adminrechte nicht.

Szenario läuft wie folgt. Ich schalte mich via LANDesk auf die IP auf. Starte über das Run-Feld im Remote Control Viewer das entsprechende Applet mit dem Befehl rundll32.exe shell32.dll, Control_RunDLL powercfg.cpl. Der Anwender erhält nun eine Abfrage, damit das ganze im Systemkontext geschehen soll. Das Applet öffnet sich. Jetzt kommt das Problem auf. Man muss sich dann ja durchklicken über Energieplaneinstellungen ändern zu erweiterte Energieeinstellungen ändern. Nun öffnet sich ein neues Fenster, wo der Adminkontext durch den Remote Control Viewer endet. Dieses Fenster wird nun im normalen Userkontext geöffnet. Somit kann ich nun nichts einstellen.

Einzige Lösung bisher ist das Eintragen des Users in die lokale Admingruppe. Das bedarf dann natürlich einem Ab- und Anmelden. Einstellung vornehmen. User aus der lokalen Gruppe austragen. Ab- und Anmelden. Das ist für mich auf Dauer aber unbefriedigend. Fallen da mehrere Fälle an, zieht sich das Ganze in die Länge und nimmt kostbare Zeit in Anspruch.

Hat jemand eine Idee, wie ich dies lösen kann ohne das Eintragen in die lokale Admingruppe?

Schon mal vielen Dank für die Mühe

LG

PS: War mir nicht ganz sicher, ob es besser unter Windows Server oder Windows 7 ist. Ein Mod möge es bitte verzeihen und verschieben, wenn ich falsch liege.

Content-ID: 194597

Url: https://administrator.de/forum/applets-im-adminkontext-oeffnen-aber-eingeschraenkter-user-angemeldet-194597.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

DerWoWusste
DerWoWusste 20.11.2012 um 23:00:49 Uhr
Goto Top
Moin.

Normales Vorgehen in jeglicher Art von Fernwartung wäre doch, die UAC-Abfrage mit einem Adminkennwort zu füttern - warum nicht? Geht es um die Sicherheit der Kennworteingabe?
Fidel83
Fidel83 20.11.2012 um 23:12:28 Uhr
Goto Top
Hallo

Okay, den Fakt hätte ich mit erwähnen können. UAC-Abfrage ist deaktiviert.

LG
DerWoWusste
DerWoWusste 20.11.2012 um 23:15:33 Uhr
Goto Top
Warum das?_____________________________________
Fidel83
Fidel83 20.11.2012 um 23:20:22 Uhr
Goto Top
Wird alles über die Benutzerrechte gewährleistet. Insofern Rechte benötigt werden, werden diese entsprechend der Notwendigkeit gewährt. Es gibt da Abgrenzungen zw. normaler Domain User und Adminrechte.
DerWoWusste
DerWoWusste 20.11.2012 aktualisiert um 23:22:54 Uhr
Goto Top
Ich kann nicht folgen... das Genannte spricht doch ganz und gar nicht gegen die UAC. Nichts spricht gegen die UAC.
Edit: Werde zügig antworten, kannst dran bleiben.
Fidel83
Fidel83 20.11.2012 um 23:27:43 Uhr
Goto Top
Es ist in der Domäne so, dass jeder User, solange keine Adminrechte gewährt wurden, nur eingeschränkte Rechte hat. Wenn der User eine Anwendung bei sich installiert bekommen hat, werden entsprechend der Anwendung die notwendigen NTFS-Berechtigungen für das Programm im System gewährt.

Damit dem User ansonsten während seiner Arbeit die UAC nicht stört, User beschweren sich über sowas gerne mal, wurde diese deaktiviert. Ist so. Kann ich von meiner Seite auch nicht ändern.
DerWoWusste
DerWoWusste 20.11.2012 um 23:30:11 Uhr
Goto Top
Verzeih bitte, aber das ist eine der blödsinnigsten Begründungen seit langem. Die UAC stört die schwachen User auch nicht mehr, als das was jetzt kommt, sobald sie was "Starkes" machen wollen, nämlich "Access denied". Und das Manko des Ansatzes erfährst Du gerade. Niemand Vernünftiges schaltet aus diesem Grund die UAC aus, wirklich nicht - krasse Fehlentscheidung.
DerWoWusste
DerWoWusste 20.11.2012 um 23:32:16 Uhr
Goto Top
Ok, wenn Du es nicht ändern kannst, dann sei's drum.
Mal sehen, es gibt ja Tools wie sudowin, die meinen, ohne Ab-/Anmeldung auszukommen...mal angesehen?
Fidel83
Fidel83 20.11.2012 aktualisiert um 23:33:35 Uhr
Goto Top
Da magst du recht haben. Dennoch kann ich daran nichts ändern. Ich muss damit leben. Deine Lösung, die UAC-Abfrage mit nem Kennwort füttern, würde das Problem sicherlich lösen. Aber das wird nicht laufen. Ich muss mit dem gegeben arbeiten.

Hättest du denn eine Lösung mit dem gegebenen Ist-Zustand?

edit: sudowin habe ich mir noch nicht angesehen. Bisher auch noch nicht gehört um ehrlich zu sein. Werde es mir mal ansehen. Danke.
DerWoWusste
DerWoWusste 20.11.2012 um 23:40:35 Uhr
Goto Top
Andere Ansätze wären natürlich die Ummeldung (Admin übernimmt, Usersitzung wird pausiert) oder runas auf der Shell absetzen samt Adminkennwort (wird unsichtbar eingegeben) und von da alles regeln.

Allerdings wird Dein Fall eher selten auftreten: was das userprofil angeht, darf der User selbst alles machen und was das Systemprofil angeht, kannst Du alles per GPOs/GPPs machen.
Einzelwünsche jedoch...ja, da scheitert das Ganze bzw. wird es zur GPO-Friemelei.