5
UAC verhindert Start von MMC auf Server 2012R2
Hallo,
ich habe mir zur möglichst sicheren Administration einen Rechner mit Windows 2012R2 eingerichtet. Von diesem aus sollen die zentralen Server administriert werden (quasi als Privilege Access Workstation). Die Administrator-Konten der Server haben auf dem Admin-Rechner KEINE lokalen Administrator Rechte, was genau so gewünscht ist; dazu gibt es ein separates Konto.
Dumm ist jetzt, dass ich mit diesen Konten die MMC (z.B. um dann das DNS-Server Snap-in zu benutzen) nicht starten kann, dafür ist eine Rechteerhöhung erforderlich, die die Benutzer aber nicht bekommen sollen. Kann man das ermöglichen? Auf einem Windows10-PC kann ich das mmc doch auch ohne erhöhte Rechte starten.
Grüße
lcer
ich habe mir zur möglichst sicheren Administration einen Rechner mit Windows 2012R2 eingerichtet. Von diesem aus sollen die zentralen Server administriert werden (quasi als Privilege Access Workstation). Die Administrator-Konten der Server haben auf dem Admin-Rechner KEINE lokalen Administrator Rechte, was genau so gewünscht ist; dazu gibt es ein separates Konto.
Dumm ist jetzt, dass ich mit diesen Konten die MMC (z.B. um dann das DNS-Server Snap-in zu benutzen) nicht starten kann, dafür ist eine Rechteerhöhung erforderlich, die die Benutzer aber nicht bekommen sollen. Kann man das ermöglichen? Auf einem Windows10-PC kann ich das mmc doch auch ohne erhöhte Rechte starten.
Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 615219
Url: https://administrator.de/contentid/615219
Printed on: April 19, 2024 at 13:04 o'clock
5 Comments
Latest comment
Hi.
Sobald Du etwas elevated startest, wirst Du nach Credentials gefragt, so einfach ist das. Und ohne Rechteerhöhung funktionieren keine DNS-Snapins - das hat MS so eingestellt.
Beschreibe doch bitte deine Befürchtungen. Warum willst Du mit Benutzerrechten administrieren?
Sobald Du etwas elevated startest, wirst Du nach Credentials gefragt, so einfach ist das. Und ohne Rechteerhöhung funktionieren keine DNS-Snapins - das hat MS so eingestellt.
Beschreibe doch bitte deine Befürchtungen. Warum willst Du mit Benutzerrechten administrieren?
Hallo,
Beschreibe doch bitte deine Befürchtungen. Warum willst Du mit Benutzerrechten administrieren?
Auf dem Server sollen man sich als Anmelden und von dort aus die verschiedenen anderen Systeme administrieren. Der Rechner soll dann als einziger über z.B. WMI/WinRM auf die anderen zugreifen können, was auch an den Firewalls hinterlegt werden soll. Da die Admin-Konten auf diesem Rechner aber nichts administrieren sollen, sollen sie dort auch keine Administrator-Rechte haben. Auf dem DNS-Server (als Beispiel) haben sie natürlich Admin-Rechte.
Grüße
lcer
Zitat von @DerWoWusste:
Hi.
Sobald Du etwas elevated startest, wirst Du nach Credentials gefragt, so einfach ist das. Und ohne Rechteerhöhung funktionieren keine DNS-Snapins - das hat MS so eingestellt.
ich kann nicht mal die nackige mmc.exe starten, ohne den UAC-Dialog zu bekommen.Hi.
Sobald Du etwas elevated startest, wirst Du nach Credentials gefragt, so einfach ist das. Und ohne Rechteerhöhung funktionieren keine DNS-Snapins - das hat MS so eingestellt.
Beschreibe doch bitte deine Befürchtungen. Warum willst Du mit Benutzerrechten administrieren?
Grüße
lcer
ich kann nicht mal die nackige mmc.exe starten, ohne den UAC-Dialog zu bekommen.
Ja, das will Microsoft so.Auf dem Server sollen...
Du wiederholst, was Du bereits geschrieben hast. Warum sollen Sie auf dem Server keine Adminrechte haben?Zitat von @DerWoWusste:
Weil die verschiedenen Konten nix miteinander zu tun haben und z.b. Admin1 nicht auf die Dateien von Admin2 zugreifen soll. OK, das kann umgangen werden, wenn Admin2 an die GPOs rankommt. Es wäre jedenfalls eine saubere Lösung, und ich verstehe wirklich nicht, warum ich zur Remoteadministration irgendwelche Rechte auf der Kiste benötige, von der ich die Konsole starte.ich kann nicht mal die nackige mmc.exe starten, ohne den UAC-Dialog zu bekommen.
Ja, das will Microsoft so.Auf dem Server sollen...
Du wiederholst, was Du bereits geschrieben hast. Warum sollen Sie auf dem Server keine Adminrechte haben?Aber wenn es nicht anders geht, muss ich die Benutzer in die lokale Admininistratorengruppe aufnehmen.
Grüße
lcer
Ein geteilter Rechner ist nie ein sicherer Rechner - man kann nie erwarten, die einzelnen Nutzer gegeneinander abschirmen zu können. Den Gedanken lass lieber fallen.
