killtec
Goto Top

User auf Server Install-Rechte geben

Hi,
ich möchte auf mehreren W2016 Servern einem bestimmten User das Recht zum Installieren von Programmen geben. Er soll jedoch nicht auf andere Bereiche des Servers zugreifen.
Ich habe den User als Hauptbenutzer bei den entsprechenden Systemen eingestellt, jedoch hilft das nicht.
Vollen Admin möchte ich dem User auf den Systemen ungern geben, da dort teilweise noch zusätzliche Daten liegen.
Gibt es eine weitere Möglichkeit das einzustellen?

Danke
Gruß

Content-Key: 419762

Url: https://administrator.de/contentid/419762

Printed on: April 16, 2024 at 17:04 o'clock

Member: Penny.Cilin
Penny.Cilin Feb 20, 2019 at 10:33:44 (UTC)
Goto Top
Nein.
Ein Admin ist ein Admin ist ein Admin.

Gruss Penny
Member: NetzwerkDude
NetzwerkDude Feb 20, 2019 at 10:35:28 (UTC)
Goto Top
Grundsätzlich bietet microsoft für Szenarien bei denen der User eingeschränke Adminrechte benötigt das JEA Modell
https://docs.microsoft.com/de-de/powershell/jea/overview
Aber das wird hautpsächlich dazu benutzt dem User skripte zur verfügung zu stellen, die zwar mit adminrechten laufen, aber eben nur das machen können was im skript vorgesehen ist (also, sofern der user es nicht exploitet face-smile )

Aber Software installieren heißt ja eigentlich "beliebige .exe Dateien mit vollen adminrechten ausführen" - man könnte das zwar oberflächlich irgendwie restriktieren - aber schlussendlich bleibt die logik ja "führe etwas aus was dannach alles mögliche machen kann" - bin da pessimistisch ob man das sinnvoll konfigurieren könnte
Member: Penny.Cilin
Penny.Cilin Feb 20, 2019 at 10:39:13 (UTC)
Goto Top
Ich meine die Gruppe Hauptbenutzer ist nur noch zwecks Abwärtskompatibilität vorhanden.

Gruss Penny
Member: erikro
erikro Feb 20, 2019 at 10:41:54 (UTC)
Goto Top
Moin,

Zitat von @killtec:
ich möchte auf mehreren W2016 Servern einem bestimmten User das Recht zum Installieren von Programmen geben.

Nein, das möchtest Du nicht, weil

Er soll jedoch nicht auf andere Bereiche des Servers zugreifen.

Du das dann nicht sicher verhindern kannst.

Warum soll denn ein User auf dem Server was installieren dürfen?

hth

Erik
Member: DerWoWusste
DerWoWusste Feb 20, 2019 at 10:45:06 (UTC)
Goto Top
Geht auf keinen Fall ohne Drittanbieter-Software.
Zu nennen ist da https://www.beyondtrust.com/endpoint-privilege-management/desktops
Member: Meierjo
Meierjo Feb 20, 2019 updated at 10:52:19 (UTC)
Goto Top
Hallo

Bei mir war die Anforderung mal, das gewisse Benutzer auf den Workstations Installationen durchführen können.
Ich hatte das seinerzeit mal folgendermassen gelöst:

- Auf der Workstation den lokalen Administrator aktiviert
Edit: Stimmt nicht, den Domänenadmin auf der Workstation zu der Gruppe Administratoren hinzugefügt

- Den Benutzer im AD temporär zu den Administratoren hinzugefügt
- Nach der Installation den User wieder aus der AD-Gruppe Administratoren entfernt

Gruss
Member: Mikrofonpartner
Mikrofonpartner Feb 20, 2019 at 11:31:22 (UTC)
Goto Top
Zitat von @Meierjo:

Hallo

Bei mir war die Anforderung mal, das gewisse Benutzer auf den Workstations Installationen durchführen können.
Ich hatte das seinerzeit mal folgendermassen gelöst:

- Auf der Workstation den lokalen Administrator aktiviert
Edit: Stimmt nicht, den Domänenadmin auf der Workstation zu der Gruppe Administratoren hinzugefügt

- Den Benutzer im AD temporär zu den Administratoren hinzugefügt
- Nach der Installation den User wieder aus der AD-Gruppe Administratoren entfernt

Gruss

Hallo

Auf nem Client Adminrechte gewähren, indem du den AD-User zum Domainadmin hochstufst temporär? Heißes Eisen. Warum nicht den Domainuser in die Gruppe der lokalen Admins heben?

Gruß Mikro
Member: killtec
killtec Feb 20, 2019 updated at 11:53:29 (UTC)
Goto Top
Hi,
es geht im Grunde darum, dass er genau ein Programm aktualisieren muss, mehr soll er da nicht machen.
Möchte aber ungern dem User kompletten Admin auf dem System geben. Genauer geht es um 4 Systeme wo teils User-Daten zusätzlich drauf liegen.

Gruß
Member: Penny.Cilin
Penny.Cilin Feb 20, 2019 at 11:57:45 (UTC)
Goto Top
Zitat von @killtec:

Hi,
es geht im Grunde darum, dass er genau ein Programm aktualisieren muss, mehr soll er da nicht machen.
Möchte aber ungern dem User kompletten Admin auf dem System geben. Genauer geht es um 4 Systeme wo teils User-Daten zusätzlich drauf liegen.
Ja und wo ist das Problem? - Wenn es ein externer Dienstleister ist, muss er ohnehin die Verschwiegenheitserklärung / Datenschutzerklärung unterschreiben.
Und wenn es so kritisch ist, dann macht der Dienstleister es halt in Begleitung eine internen MAs.

Nixx für ungut, wenn jeder so handeln / denken würde, dürfte kein externer Dienstleister an die Systeme ran.
Entweder vertraue ich dem Dienstleister, oder es steht ein interner MA zur Kontrolle an der Seite.

Gruß

Gruss Penny
Member: killtec
killtec Feb 20, 2019 at 12:04:18 (UTC)
Goto Top
Hi,
nein, es ist ein interener MA, jedoch kein IT'ler, daher will ich das so dicht wie möglich machen.

Gruß
Mitglied: 138810
138810 Feb 20, 2019 updated at 12:07:09 (UTC)
Goto Top
Gib ihm eine VM, da kann er schalten und walten wie er lustig ist.

Ein Admin bleibt ein Admin, .....
Member: DerWoWusste
DerWoWusste Feb 20, 2019 updated at 12:21:17 (UTC)
Goto Top
In aller Deutlichkeit: es gibt unter Windows KEINE separaten Installationsrechte.
Wer installieren will, muss Admin sein.

Das Einzige, was Windows-Domänen hier für Nicht-Admins anbieten, sind Installationen bei Bedarf. Dazu müsste jedoch der Domänenadmin im Vorfeld die Anwendungen als MSI-Pakete bereitstellen ("MSI publishing"), was vermutlich für deine Zwecke nicht passt.
Member: erikro
erikro Feb 20, 2019 at 12:30:20 (UTC)
Goto Top
Moin,

um es mal ganz klar zu sagen:

Zitat von @killtec:
es geht im Grunde darum, dass er genau ein Programm aktualisieren muss, mehr soll er da nicht machen.

Das geht nicht, weil

Möchte aber ungern dem User kompletten Admin auf dem System geben.

das notwendig wäre und Du es aus dem Grund nicht darfst, denn

Genauer geht es um 4 Systeme wo teils User-Daten zusätzlich drauf liegen.

das wäre ein schwerer Verstoß gegen den Datenschutz, wenn einfache User Zugriff auf schützenswerte Daten bekämen.

Liebe Grüße

Erik
Member: Meierjo
Meierjo Feb 20, 2019 at 12:53:15 (UTC)
Goto Top
Hllo Mikro

Ja, klar, ist ein heisses Eisen.

Aber da der User nur temporär Admin-Rechte hat, finde ich es überschaubar. Kommt halt auf die Betriebsgrösse (Anzahl User) an, aber eine andere Möglichkeit sehe ich nicht

Gruss
Member: killtec
killtec Feb 20, 2019 at 12:54:49 (UTC)
Goto Top
HI,
danke für eure Antworten. Ich werde es erstmal so machen, dass der User das nicht kann.

Gruß
Member: erikro
erikro Feb 20, 2019 at 12:57:27 (UTC)
Goto Top
Moin,

Zitat von @Meierjo:
Aber da der User nur temporär Admin-Rechte hat, finde ich es überschaubar. Kommt halt auf die Betriebsgrösse (Anzahl User) an, aber eine andere Möglichkeit sehe ich nicht

Die einzig vernünftige Möglichkeit ist, dass der Admin seine Arbeit macht bzw. machen darf. Usern Domainadminrechte zu geben ist wie einem zehnjährigen den Schlüssel zum Ferrari zu geben und ihn auf die Autobahn zu schicken. Echt jetzt. Das geht dann so schnell, dass der Server voll gegen die Wand gefahren ist und nichts mehr funktioniert, dass man das auf jeden Fall und unter allen Umständen lassen sollte.

Liebe Grüße

Erik
Member: erikro
erikro Feb 20, 2019 at 13:01:39 (UTC)
Goto Top
Moin,

Zitat von @killtec:
danke für eure Antworten. Ich werde es erstmal so machen, dass der User das nicht kann.

Unser Verfahren in einem ähnlich gelagerten Fall:

Der User hat die Hoheit über die Updates der Spezialsoftware, weil er am Besten beurteilen kann, wann das passieren soll und welche Funkstionsupdates notwendig sind. Wenn der User ein Update machen möchte, dann schreibt er uns eine kurze Mail und bittet höflich um das, wie er sich immer ausdrückt, Zauberwort. Dann geht einer von uns rüber, klickt im UAC auf OK und gibt das Adminpasswort ein. Ein Moment warten, ob alles klappt, Terminalserver neu starten und gut ist. Das ist m. E. der einzig vernünftige Weg, auch wenn das ein wenig nervig ist.

hth

Erik