stoepsu77
Goto Top

DNS Einträge löschen ohne Admin Rechte

Guten Tag zusammen

Wir haben folgendes Problem.
Wir haben immer wieder Mitarbeitende, die nach einem externen Aufenthalt (z.B. Hotel) DNS Einträge erhalten.
Wie das möglich ist ohne Admin Rechte ist das eine, aber im Moment nicht das Problem.
Wenn die Mitarbeitenden zurück in die Firma kommen, müssen diese Einträge gelöscht werden.
DHCP und DNS auf automatisch beziehen.
Da die User keine Admin Rechte haben, können sie das selber nicht machen.
Also habe ich ein cmd erstellt, indem diese Einträge gelöscht werden.
Das funktioniert natürlich auch nur mit Admin Rechten.

Daher suche ich ein Tool, bei dem es möglich ist die Adminrechte mitzugeben inkl. Passwort.
Ausprobiert habe ich
pcwRunAs
RunAsSPC
Runas
NetSetMan
AutoIt

Nichts funktioniert.
Bei
pcwRunAs und RunAsSPC kann ich den Admin und das Passwort zwar mitgeben, das Script wird aber trotzdem ohne Adminrechte ausgeführt.

Was mach ich falsch resp. kennt jemand ein gratis Tool das wirklich hält was es verspricht?

Danke für jeden Tipp
Grüsse
BeMe

Content-ID: 14047630827

Url: https://administrator.de/forum/dns-eintraege-loeschen-ohne-admin-rechte-14047630827.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

DerWoWusste
DerWoWusste 19.12.2023 um 08:43:26 Uhr
Goto Top
Die Nutzer können das selbst, wenn man sie zur lokalen Gruppe der Netzwerkkonfigurationsoperatoren hinzufügt.
Hubert.N
Hubert.N 19.12.2023 um 08:45:20 Uhr
Goto Top
Moin,

wo ist denn nun wirklich Dein Problem? Dass Clients sich im DNS neu registrieren ist doch nichts ungewöhnliches.

Gruß
Franz-Josef-II
Franz-Josef-II 19.12.2023 aktualisiert um 08:51:45 Uhr
Goto Top
Guten Morgen

Du sprichst von Hotels ..... geht's um WLANs? Da können doch mehrere nebeneinander existieren oder der User löscht das WLAN des Hotels, geht auch als User.

Also in der Firma "WLAN Firma" einstellen und/oder "WLAN Hotel Mama" löschen

Bei Kabelnetzwerken sollten ja eigentlich auch mehrere Profile möglich sein.
stoepsu77
stoepsu77 19.12.2023 um 08:50:53 Uhr
Goto Top
Zitat von @DerWoWusste:

Die Nutzer können das selbst, wenn man sie zur lokalen Gruppe der Netzwerkkonfigurationsoperatoren hinzufügt.

Danke für den Hinweis. Nur leider ist das nicht möglich. Das hatte ich auch schon irgendwo gelesen. Können wir nur nicht machen. Wird nicht akzeptiert, weil dann so auch jeder irgendwas "spielen" kann. Bei 450 Geräten, wird das zur Spielwiese.... leider....
stoepsu77
stoepsu77 19.12.2023 um 08:55:54 Uhr
Goto Top
Zitat von @Franz-Josef-II:

Guten Morgen

Du sprichst von Hotels ..... geht's um WLANs? Da können doch mehrere nebeneinander existieren oder der User löscht das WLAN des Hotels, geht auch als User.

Bei Kabelnetzwerken sollten ja eigentlich auch mehrere Profile möglich sein.

Danke, nicht nur WLAN, aber auch.
Es geht um die Adaptereinstellungen der Geräte, die geändert werden. Scheinbar ist das möglich.
Das hat dann aber zur Folge, dass z.B. im nächsten Hotel kein WLAN mehr gemacht werden kann oder auch hier im Haus nicht mehr.
Erst wenn alle Eintrage gelöscht werden resp. wieder auf automatisch beziehen gesetzt werden funktioniert alles wieder.
stoepsu77
stoepsu77 19.12.2023 um 08:56:56 Uhr
Goto Top
Zitat von @Hubert.N:

Moin,

wo ist denn nun wirklich Dein Problem? Dass Clients sich im DNS neu registrieren ist doch nichts ungewöhnliches.

Gruß

Die Adaptereinstellungen auf den einzelnen Geräten sind das Problem.
Franz-Josef-II
Franz-Josef-II 19.12.2023 um 09:02:38 Uhr
Goto Top
Irgendwo paßt was nicht 😊

Ich verbinde mich mit "WLAN Firma", dann gehe ich ins "Hotel Mama", dort findet er klarerweise das FirmenWLAN nicht, bietet mir aber das "WLAN Hotel Mama" an. Ich sage verbinden, gebe den Schlüssel ein und alles läuft. Zurück in der Firma umgekehrt ...... naja, eigentlich sage ich "immer verbinden" und er findet das FirmenWLAN und verbindet sich automatisch.

LAN ist auf DHCP und beim booten sucht und fragt er einen DHCP-Server und bekommt von diesen alle Einstellungen. Funktioniert in meinen unterschiedlichen Netzen tadellos.
DerMaddin
DerMaddin 19.12.2023 um 09:18:23 Uhr
Goto Top
Ich verstehe das "Problem" nicht. Bei IPv4/v6 DHCP bekommen die Clients ihre IP-Adresse, GW und DNS vom Server zugewiesen. Verbindet sich der Client mit einem anderen WLAN oder LAN und es ist DHCP vorhanden, so sind andere Einstellungen aktiv.

Um welche Adapter-Einstellungen soll es hier gehen? In der Regal kann ein Standard-User keine Änderungen vornehmen.
manuel-r
manuel-r 19.12.2023 um 09:21:39 Uhr
Goto Top
Wir haben immer wieder Mitarbeitende, die nach einem externen Aufenthalt (z.B. Hotel) DNS Einträge erhalten.

Ich verstehe diesen Satz nicht. Und damit gleichzeitig weder das Problem noch die daraus resultierende Frage 🤔

Manuel
Hubert.N
Hubert.N 19.12.2023 aktualisiert um 09:36:11 Uhr
Goto Top
... ich habe es nun wohl verstanden... (hat auch einen Moment gebraucht.... Es ist früh...)

- Clients verbinden sich mit einem WLAN (z.B. Hotel)
- der eigentlich auf DHCP stehende Eintrag für den Netzwerkadapter wird so geändert, dass der DNS-Server des Hotels als statisch hinterlegt ist.
- Client verbindet sich wieder mit dem Firmennetzwerk und funktioniert nicht, weil eben die Einstellung für den DNS-Server trotz eigentlich DHCP statisch und falsch ist.

Was Du machen kannst:
-Prüfe die Einstellungen aller Netzwerkadapter. Ich meine mich zu erinnern, dass es da einen Bug im Windows gibt, der zum beschriebenen Verhalten führen kann, wenn auch nur ein Adapter eine statische Konfiguration hat
- Schreibe ein kleines Skript, welches beim Systemstart die Netzwerkeinstellungen entsprechend zurücksetzt. Das lässt Du dann in der Computerrichtlinie oder als geplanten Task mit entsprechenden Rechten laufen.

Gruß
kpunkt
kpunkt 19.12.2023 aktualisiert um 09:33:34 Uhr
Goto Top
Ich muss mich da auch einreihen. DHCP an und gut is.

Könnte bei der Fragestellung nur vermuten, dass evtl DDNS im Spiel ist, oder dass der DNS nicht richtig geändert wird.
pebcak7123
pebcak7123 19.12.2023 um 09:45:55 Uhr
Goto Top
Habt ihr evtl nen vpn client auf den rechnern am laufen der ggfs. dns server setzt und dann nicht wieder korrekt entfernt ?
Meine mich zu erinnern das zb forticlient mal so probleme machte
Wern2000
Wern2000 19.12.2023 aktualisiert um 10:19:19 Uhr
Goto Top
Zitat von @Hubert.N:

... ich habe es nun wohl verstanden... (hat auch einen Moment gebraucht.... Es ist früh...)

- Clients verbinden sich mit einem WLAN (z.B. Hotel)
- der eigentlich auf DHCP stehende Eintrag für den Netzwerkadapter wird so geändert, dass der DNS-Server des Hotels als statisch hinterlegt ist.

Wenn ich ehrlich bin ich hab bis jetzt noch nie erlebt das ein DHCP-Server die Adaptereinstellung eines Clients auf statisch geändert hat. Weder IP, DNS oder Gateway.

Das einzige was früher ein paar mal war ist das der Client beim netzwerk wechsel keine neuen DHCP-Einstellungen geholt hat. Man muste auf feste IP einstellen und danach auf DHCP zurück stellen damit es wieder funktioniert. Das ist aber schon viele Jahre her.

Das ein Benutzer diese einstellung nicht ändern kann finde ich gut so.
manuel-r
manuel-r 19.12.2023 um 10:11:59 Uhr
Goto Top
Zitat von @manuel-r:

Wir haben immer wieder Mitarbeitende, die nach einem externen Aufenthalt (z.B. Hotel) DNS Einträge erhalten.

Ich verstehe diesen Satz nicht. Und damit gleichzeitig weder das Problem noch die daraus resultierende Frage 🤔

Manuel

Nach dem Lesen der restlichen Beiträge habe ich eine Vermutung.

Wenn die Mitarbeiter aus einem fremden Netzwerk wieder zurück kommen stehen in den Einstellungen der Netzwerkkarte DNS-Server drin die es im Firmennetz nicht gibt. So richtig verstanden?

Ein normaler Benutzer darf die nicht ändern. Also können die Einträge nur vom DHCP-Client vorgenommen worden sein. Eigentlich sollten die dann aber auch im Firmennetz wieder überschrieben werden mit den Angaben die dort gelten.
Außer natürlich die DNS-Server sind in den DHCP-Optionen des DHCP im Firmennetz nicht angegeben.

Manuel
DerMaddin
DerMaddin 19.12.2023 um 10:19:18 Uhr
Goto Top
Zitat von @manuel-r:

Außer natürlich die DNS-Server sind in den DHCP-Optionen des DHCP im Firmennetz nicht angegeben.

Ich kann mir hierfür keinen Anwendungsfall denken, zumindest nicht für Office-WLAN wo DNS eine entscheidende Rolle spielt.
manuel-r
manuel-r 19.12.2023 um 10:26:46 Uhr
Goto Top
Zitat von @DerMaddin:

Zitat von @manuel-r:

Außer natürlich die DNS-Server sind in den DHCP-Optionen des DHCP im Firmennetz nicht angegeben.

Ich kann mir hierfür keinen Anwendungsfall denken, zumindest nicht für Office-WLAN wo DNS eine entscheidende Rolle spielt.

Ich mir auch nicht.
Es ist aber das einzige was mir einfällt wie es dazu kommen könnte.

Manuel
HansDampf06
HansDampf06 19.12.2023 aktualisiert um 18:34:39 Uhr
Goto Top
Ich werfe einmal meine 5 Pfennige in den Ring:

Einige der Kommentatoren haben es ja schon deutlich gesagt: Sind die WLAN-/LAN-Adaptereinstellungen sowohl bei der IP-Adresse als auch bei den DNS-Angaben auf automatisch (= DHCP) gestellt, führt jede Neuverbindung mit einem Netzwerk zu korrekten Verbindungsdaten. Es ist eigentlich ausgeschlossen, dass unter normalen Umständen irgendetwas von automatisch auf statisch wechselt. Jedenfalls kann ich das für Windows 8.1/10/11 Pro und für Debian 11/12 so konstatieren.

Auch eine (gesplittete) VPN-Verbindung, die üblicherweise zugleich DNS-Vorgaben macht, sollte nach der Beendigung der VPN-Verbindung zum normalen Zustand zurückkehren.

Es gibt aber bei Windows (10/11) offenkundig eine besondere Konstellation beim Einsatz von VPN-Clienten von Drittanbietern (Fortinet & Co.). Wird die VPN-Verbindung beendet, lässt Windows die per VPN-Verbindung gesetzten DNS-Server stehen. Hier hilft als Normalo-Anwender leider nur ein Neustart des Rechners (Ich glaube, dass ein bloßer Ruhemodus nicht genügt, um das Problem zu beheben), um die DNS-Angaben wieder loszuwerden.
Entsprechende Rechte vorausgesetzt müsste es ansonsten genügen, den betreffenden Adapter zu deaktivieren und anschließend wieder zu aktivieren. Ein Normalo-Anwender kann das jedenfalls nicht.

Viele Grüße
HansDampf06

PS:
Die beschriebene besondere Konstellation kenne ich nur, wenn im Rahmen von Projekten vom Kunden ein "Dienst-PC" für den Remotezugriff gestellt wird, der nur Normalo-Anwender-Rechte gewährt und wie üblich eine genannte Dritt-VPN-Clientsoftware Verwendung findet. Dann stehen vor dem Aufbau der VPN-Verbindung die lokalen DNS-Server ganz normal zur Verfügung - der Dienst-PC ist ja zunächst mit dem lokalen Netzwerk verbunden. Wird die sodann zum Kunden-LAN aufgebaute VPN-Verbindung wieder beendet, ist die lokale DNS-Auflösung nicht mehr möglich. Sicher behebbar war das wegen der Normalo-Anwender-Rechte bisher nur durch einen Neustart. Ich meine, dass sich ein bloßes Trennen der lokalen WLAN-/LAN-Verbindung plus eine Neuanmeldung des Benutzers als nicht ausreichend erwies.

Ob die Problematik durch bestimmte GPO-Regeln verursacht wird, ist in den Projekten wegen der Normalo-Anwender-Rechte nicht verifizierbar, aber durchaus denkbar. Denn im hiesigen (AD-)Netzwerk ist dieses Phänomen als solches nicht bekannt.
Hubert.N
Hubert.N 20.12.2023 um 08:41:32 Uhr
Goto Top
stoepsu77
stoepsu77 21.12.2023 um 09:23:34 Uhr
Goto Top
Zitat von @Hubert.N:

... ich habe es nun wohl verstanden... (hat auch einen Moment gebraucht.... Es ist früh...)

- Clients verbinden sich mit einem WLAN (z.B. Hotel)
- der eigentlich auf DHCP stehende Eintrag für den Netzwerkadapter wird so geändert, dass der DNS-Server des Hotels als statisch hinterlegt ist.
- Client verbindet sich wieder mit dem Firmennetzwerk und funktioniert nicht, weil eben die Einstellung für den DNS-Server trotz eigentlich DHCP statisch und falsch ist.

Was Du machen kannst:
-Prüfe die Einstellungen aller Netzwerkadapter. Ich meine mich zu erinnern, dass es da einen Bug im Windows gibt, der zum beschriebenen Verhalten führen kann, wenn auch nur ein Adapter eine statische Konfiguration hat
- Schreibe ein kleines Skript, welches beim Systemstart die Netzwerkeinstellungen entsprechend zurücksetzt. Das lässt Du dann in der Computerrichtlinie oder als geplanten Task mit entsprechenden Rechten laufen.

Gruß

Danke Hubert.N
Genau darum geht es.
Nur kann ich das nicht einfach bei uns in eine GPO schmeissen, da die Mitarbeitenden z.T. von Hotal A wo das Problem entsteht nach Hause kommen, sondern zu Hotel B weiter reisen und dann nicht mehr arbeiten können.
Daher müsste ich was haben, dass der User ohne Admin-Rechte auf seinem Laptop ausführen kann und so die Einträge entfernt werden.
stoepsu77
stoepsu77 21.12.2023 um 09:30:11 Uhr
Goto Top
Zitat von @manuel-r:

Zitat von @manuel-r:

Wir haben immer wieder Mitarbeitende, die nach einem externen Aufenthalt (z.B. Hotel) DNS Einträge erhalten.

Ich verstehe diesen Satz nicht. Und damit gleichzeitig weder das Problem noch die daraus resultierende Frage 🤔

Manuel

Nach dem Lesen der restlichen Beiträge habe ich eine Vermutung.

Wenn die Mitarbeiter aus einem fremden Netzwerk wieder zurück kommen stehen in den Einstellungen der Netzwerkkarte DNS-Server drin die es im Firmennetz nicht gibt. So richtig verstanden?

Ein normaler Benutzer darf die nicht ändern. Also können die Einträge nur vom DHCP-Client vorgenommen worden sein. Eigentlich sollten die dann aber auch im Firmennetz wieder überschrieben werden mit den Angaben die dort gelten.
Außer natürlich die DNS-Server sind in den DHCP-Optionen des DHCP im Firmennetz nicht angegeben.

Manuel

Hallo Manuel
Es ist genau so. In der Netzwerkkarte gibt es DNS Einträge dir raus müssen.
Im Firmennetz sind die Mitarbeitenden meisst nicht via WLAN am Arbeiten.
Aber das Hauptproblem ist, wenn die MAs von einem Ort zum anderen weiterreisen. Dann können sie nicht mehr arbeiten und haben eben auch keine Admin rechte um die Einträge zu löschen.
Daher suche ich ein Tool resp. Möglichkeit um das ohne Admin Rechte zu machen, wie das eigentlich von pcwRunAs oder RunAsSPC angepriesen wird. Funktioniert nur nicht.
pebcak7123
Lösung pebcak7123 21.12.2023 um 09:38:01 Uhr
Goto Top
Wäre natürlich sinnvoll die ursache rauszufinden, aber als workaround vieleicht einfach nen powershell skript in den taskscheduler welches bei systemstart oder userlogin die dns server für alle adapter auf dhcp stellt ?
Get-Netadapter | Set-DnsClientServerAddress -ResetServerAddresses
stoepsu77
stoepsu77 21.12.2023 um 09:39:40 Uhr
Goto Top

Das ist genau das, was bei uns auch passiert.
Nur mit der Antwort kann ich nicht viel anfangen.
Von wo vererbt?
Wenn ein Tool, bei dem ich die Adminrechte mitgeben kann, die Einträge einfach raushauen würde, wäre ich schon zufrieden.
pcwRunAs oder RunAsSPC würden in sich auch nicht schlecht aussehen, nur führt er das script (cmd) nicht mit Adminrechten aus.

Ideen?
Franz-Josef-II
Franz-Josef-II 21.12.2023 um 13:35:25 Uhr
Goto Top
Ein Startupscript, das alle Netzwerkadapter beim booten zurücksetzt ...... ähnlich dem von pebcak7123.
stoepsu77
stoepsu77 22.12.2023 um 09:27:35 Uhr
Goto Top
Zitat von @pebcak7123:

Wäre natürlich sinnvoll die ursache rauszufinden, aber als workaround vieleicht einfach nen powershell skript in den taskscheduler welches bei systemstart oder userlogin die dns server für alle adapter auf dhcp stellt ?
Get-Netadapter | Set-DnsClientServerAddress -ResetServerAddresses

Danke pebcak7123
Dein Vorschlag bringt mich weiter.
ich versuchs mal in diese Richtung. Gute Idee. Danke
Dani
Dani 23.12.2023 um 11:43:57 Uhr
Goto Top
Moin,
Ein Startupscript, das alle Netzwerkadapter beim booten zurücksetzt ...... ähnlich dem von pebcak7123.
Wichtig ist meines Wissens nach, dass es kein User sondern ein Computer Startup Skript ist. Bin mir nicht sicher, ob das nicht zu Anmeldeverzögerungen kommt, wenn du im Hotel bist.

Alternativ könnte ich mir ein Scheduled Task vorstellen, welche als LocalSystem ausgeführt wird. Als Trigger das Event "Bei Start" und "Bei Anmeldung" konfigurieren. Somit könnte zur Not die Task auch manuell ausgeführt werden. Das setzt aber voraus, dass du für die Scheduled Task die SDDL anpasst, damit ein normaler Nutzer die Task sieht und ausführen kann.


Gruß,
Dani