10
User benötigt Admin Rechte im Gerätemanger für RS232 Adapter
Hallo zusammen,
Ich benötige mal eurer Schwarmwissen.
Ich habe in unserem Firmennetzwerk diverse User die ständig administrative Rechte benötigen um die Wartezeit eines USB2Serial Adapters von den Standard 16ms auf 1ms umzustellen. Wir benutzen sehr häufig diese Adapter an unterschiedlichen Rechnern und jedes mal wird ein neuer COM Port angelegt und die Wartezeit ist wieder auf 16ms. Hat jemand von euch eine Idee wie ich das hinbiegen kann das entweder der User ein beschränktes Admin Recht bekommt für den Gerätemanager, von mir aus auch zeittlich begrenzt, oder der COM-Port immer der gleiche bleibt egal welchen Adapter man ansteckt. Oder eine Gruppenrichtline, ein ausführbares Skript? Ich will halt so wenig wie möglich und so viel wie nötig Rechte vergeben das die User selber diese Wartezeit ändern können.
Grüße und danke,
Paul
Ich benötige mal eurer Schwarmwissen.
Ich habe in unserem Firmennetzwerk diverse User die ständig administrative Rechte benötigen um die Wartezeit eines USB2Serial Adapters von den Standard 16ms auf 1ms umzustellen. Wir benutzen sehr häufig diese Adapter an unterschiedlichen Rechnern und jedes mal wird ein neuer COM Port angelegt und die Wartezeit ist wieder auf 16ms. Hat jemand von euch eine Idee wie ich das hinbiegen kann das entweder der User ein beschränktes Admin Recht bekommt für den Gerätemanager, von mir aus auch zeittlich begrenzt, oder der COM-Port immer der gleiche bleibt egal welchen Adapter man ansteckt. Oder eine Gruppenrichtline, ein ausführbares Skript? Ich will halt so wenig wie möglich und so viel wie nötig Rechte vergeben das die User selber diese Wartezeit ändern können.
Grüße und danke,
Paul
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1529604396
Url: https://administrator.de/contentid/1529604396
Printed on: April 24, 2024 at 12:04 o'clock
10 Comments
Latest comment
Hi
Die einfachste Variante ist wohl das Anschaffen so vieler der Adapter wie Arbeitsplätze diese benötigen.
Die Kosten für Wartezeiten und Konfigurationszeiten sind sicherlich deutlich größer...
.
Zitat von @PingeAnge:
Wir benutzen sehr häufig diese Adapter an unterschiedlichen Rechnern und jedes mal wird ein neuer COM Port angelegt und die Wartezeit ist wieder auf 16ms.
Wir benutzen sehr häufig diese Adapter an unterschiedlichen Rechnern und jedes mal wird ein neuer COM Port angelegt und die Wartezeit ist wieder auf 16ms.
Die einfachste Variante ist wohl das Anschaffen so vieler der Adapter wie Arbeitsplätze diese benötigen.
Die Kosten für Wartezeiten und Konfigurationszeiten sind sicherlich deutlich größer...
.
Finde ein Kommando, um das zu tun, und ich zeige Dir, wie Du das durch einen schwachen Nutzer aber mit Adminrechten laufen lässt (siehe https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ... )
Hey MirkoKR,
danke für deine Antwort. Leider ist die Option so nicht umsetzbar. Diese Adapter werden in Kundengeräten verbaut, sind intern im Umlauf und es kommen immer wieder neue vom selben Typ hinzu. Somit herrscht eine hohe Fluktuation vor. Ich kann auch damit Leben wenn es aufgrund der Sicherheit so nicht nicht möglich ist dem User diese Rechte zu geben. Da hab ich natürlich nervigen Mehraufwand ständig meine Daten eingeben zu müssen, aber dafür werde ich auch schließlich bezahlt. Mein bestreben ist es mein daily business so reibungslos wie möglich zu gestalten und meine Kollegen liegen mir ständig in den Ohren ob es da nicht eine Lösung gibt. Da muss ich sie wohl weiterhin vertrösten ;)
@DerWoWusste:
Ich werd mir deinen Link mal anschauen und auf ner Testumgebung dann erstmal ausprobieren.
Danke euch erstmal.
Gruß
Paul
danke für deine Antwort. Leider ist die Option so nicht umsetzbar. Diese Adapter werden in Kundengeräten verbaut, sind intern im Umlauf und es kommen immer wieder neue vom selben Typ hinzu. Somit herrscht eine hohe Fluktuation vor. Ich kann auch damit Leben wenn es aufgrund der Sicherheit so nicht nicht möglich ist dem User diese Rechte zu geben. Da hab ich natürlich nervigen Mehraufwand ständig meine Daten eingeben zu müssen, aber dafür werde ich auch schließlich bezahlt. Mein bestreben ist es mein daily business so reibungslos wie möglich zu gestalten und meine Kollegen liegen mir ständig in den Ohren ob es da nicht eine Lösung gibt. Da muss ich sie wohl weiterhin vertrösten ;)
@DerWoWusste:
Ich werd mir deinen Link mal anschauen und auf ner Testumgebung dann erstmal ausprobieren.
Danke euch erstmal.
Gruß
Paul
OK, das ist natürlich nachvollziehbar.
Daraus ergeben sich natürlich auch die immer frischen Einstellungen und "zufällige" Wahl des COMx
Nun, eine Idee hätte ich, kann das aber gerade nicht selber vorgestern, weil unterwegs:
Suche in der Registry unter HKLM den Pfad, wo die aktuelle Einrichtung eingetragen wurde.
Auf dem zum COMx übergeordneten Ordner setzt du die Sicherheits-Berechtigungen
- für alle Benutzer
- für einen ausgewählten Benutzer zusätzlich
auf die nötigen Rechte zum Ändern und setze die Vererbung für untergeordnete Ordner ( also die COMx)
Nach einem Neustart sollte der entsprechende Benutzer die Rechte haben, den (und die anderen) Adapter in dem Ordner anzupassen.
Viel Glück, das das wirkt.
Ansonsten kann man sicher auf der Basis weiter entwickeln...
.
Moin
so ähnlich war auch meine Idee, aber ich würd noch nen Schritt weiter gehen. Wenn du den Registry Eintraggefunden hast, verteil die Eisntellung doch einfach wie GPO
Man müsste dann allerdings prüfen ob der Key auf verschiedenen Rechnern auch identisch ist.
Gruß
Doskias
Zitat von @MirkoKR:
Suche in der Registry unter HKLM den Pfad, wo die aktuelle Einrichtung eingetragen wurde.
Auf dem zum COMx übergeordneten Ordner setzt du die Sicherheits-Berechtigungen
- für alle Benutzer
- für einen ausgewählten Benutzer zusätzlich
auf die nötigen Rechte zum Ändern und setze die Vererbung für untergeordnete Ordner ( also die COMx)
Nach einem Neustart sollte der entsprechende Benutzer die Rechte haben, den (und die anderen) Adapter in dem Ordner anzupassen.
Suche in der Registry unter HKLM den Pfad, wo die aktuelle Einrichtung eingetragen wurde.
Auf dem zum COMx übergeordneten Ordner setzt du die Sicherheits-Berechtigungen
- für alle Benutzer
- für einen ausgewählten Benutzer zusätzlich
auf die nötigen Rechte zum Ändern und setze die Vererbung für untergeordnete Ordner ( also die COMx)
Nach einem Neustart sollte der entsprechende Benutzer die Rechte haben, den (und die anderen) Adapter in dem Ordner anzupassen.
so ähnlich war auch meine Idee, aber ich würd noch nen Schritt weiter gehen. Wenn du den Registry Eintraggefunden hast, verteil die Eisntellung doch einfach wie GPO
Zitat von @PingeAnge:
[...] Oder eine Gruppenrichtline [...]Man müsste dann allerdings prüfen ob der Key auf verschiedenen Rechnern auch identisch ist.
Gruß
Doskias
Zitat von @Doskias:
so ähnlich war auch meine Idee, aber ich würd noch nen Schritt weiter gehen. Wenn du den Registry Eintraggefunden hast, verteil die Eisntellung doch einfach wie GPO
so ähnlich war auch meine Idee, aber ich würd noch nen Schritt weiter gehen. Wenn du den Registry Eintraggefunden hast, verteil die Eisntellung doch einfach wie GPO
Da hier durch die wechselnden Adapter immer auch neue Profile - mit meist unterschiedlichen COMx angelegt. werden, fürchte ich das mit einer GPO nicht aufzufangen ist - da der finale Pfad zum COMx-Ordner in der Registry sich wahrscheinlich ständig ändert... ?
.
Zitat von @MirkoKR:
Da hier durch die wechselnden Adapter immer auch neue Profile - mit meist unterschiedlichen COMx angelegt. werden, fürchte ich das mit einer GPO nicht aufzufangen ist - da der finale Pfad zum COMx-Ordner in der Registry sich wahrscheinlich ständig ändert... ?
Da stimme ich dir bedingt zu. Du wirst bei jedem Adapter einen anderen Pfad haben, aber wenn ein Adapter mehrfach am gleichen Rechner angeschlossen wird, sollte er auch den gleichen Pfad bekommen. Sprich:Zitat von @Doskias:
so ähnlich war auch meine Idee, aber ich würd noch nen Schritt weiter gehen. Wenn du den Registry Eintrag gefunden hast, verteil die Einstellung doch einfach wie GPO
so ähnlich war auch meine Idee, aber ich würd noch nen Schritt weiter gehen. Wenn du den Registry Eintrag gefunden hast, verteil die Einstellung doch einfach wie GPO
Da hier durch die wechselnden Adapter immer auch neue Profile - mit meist unterschiedlichen COMx angelegt. werden, fürchte ich das mit einer GPO nicht aufzufangen ist - da der finale Pfad zum COMx-Ordner in der Registry sich wahrscheinlich ständig ändert... ?
Adapter A Pfad A
Adapter B Pfad B
Adapter C Pfad C
...
Adapter X Pfad X
Du musst dann halt für den Rechner alle Pfade verteilen und dann auf MS hoffen
Wenn der erste Adapter immer als a erkannt wird, verteilst du vorab alle Pfad mit der Einstellung. Effekt: Es sind schon alle Pfade da und er legt die Daten nicht neu an.
Wenn der Adapter auf Grund einer internen Nummer immer identisch ist, dann kann der erste Adapter der angeschlossen ist, durchaus Adapter C sein. In dem Fall ist er Pfad dann aber auch schon da.
Ja du verteilst dann vielleicht 40 Pfade und brauchst nur 5, dafür musst du aber nicht immer alles einstellen. Was für die GPO-Lösung noch als Frage offen bleibt ist natürlich wie MS die Pfade vergibt. Das kannst du aber relativ leicht rausfinden. Dafür brauchst du ja nur zwei Adapter und zwei PCs. Wenn die Pfade auf den beiden identisch sind, dann dritten PC nehmen, Pfade per GPO dorthin verteile und schauen ob gleich beide Adapter funktionieren.
Gruß
Doskias
Jeder Adapter hat eine eindeutige USB ID:
Du kannst die Registry Einträge solcher Adapter inkl zugehörigem COM Port aus einem Testrechner auslesen und per GPO an alle Rechner verteilen, bei 20 Adaptern hast du 20 Registry Einträge zu verteilen. Sobald ein Client dann einen dieser Adapter einsteckt, ist alles schon voreingestellt.
Du kannst die Registry Einträge solcher Adapter inkl zugehörigem COM Port aus einem Testrechner auslesen und per GPO an alle Rechner verteilen, bei 20 Adaptern hast du 20 Registry Einträge zu verteilen. Sobald ein Client dann einen dieser Adapter einsteckt, ist alles schon voreingestellt.
So, ich habe das jetzt mal rausgesucht:
Bei mir sieht das dann bei installiertem Adapter so aus.
Ich habe mehrere derselben, allerdings das ESPs mit integriertem Adapter. Wenn ich die tausche,
behalten die das Profil bei.
Erst, wenn ich mehrere davon gleichzeitig anschließe, erstell Windows 10 unterhalb von
> "VID_1A86&PID_7523"
Unterschlüssel für jedes einzelne Device.
Hier würde ich jetzt für den Ordner
> "VID_1A86&PID_7523"
die Berechtigungen auf dem Ordner setzten:
Hier den gewünschten Benutzer hinzufügen und mit den Rechten setzen.
Den Haken für die Übernahme zum ersetzen der Rechte untergeordneter Objekte setzen.
Da die Ordner auch beim entfernen bestehen bleiben, sollte das dauerhaft greifen...
Vorausgesetzt dein Adapter verhält sich ebenso, sonst musst du halt angepasst
Rechte setzen.
Testen kann ich das auf diesem Rechner jetzt leider nicht, hoffe aber
das führt zum gewünschten Erfolg.
Wenn der Device-Ordner bekannt ist, kann man den Registry-Ordner sicherlich mit einem
Powershell-Skript erstellen und die Rechte vergeben, resp. ein Script, das einmalig per
PS-Script als Administrator die Rechte setzt auf dem Zielrechner beim Kunden.
Aber das PS-Script ist nicht meine Kompetenz, daher freuen wir uns, das sicher bald
jemand ein Script beisteuert.
MirkoKR
Bei mir sieht das dann bei installiertem Adapter so aus.
Ich habe mehrere derselben, allerdings das ESPs mit integriertem Adapter. Wenn ich die tausche,
behalten die das Profil bei.
Erst, wenn ich mehrere davon gleichzeitig anschließe, erstell Windows 10 unterhalb von
> "VID_1A86&PID_7523"
Unterschlüssel für jedes einzelne Device.
Hier würde ich jetzt für den Ordner
> "VID_1A86&PID_7523"
die Berechtigungen auf dem Ordner setzten:
Hier den gewünschten Benutzer hinzufügen und mit den Rechten setzen.
Den Haken für die Übernahme zum ersetzen der Rechte untergeordneter Objekte setzen.
Da die Ordner auch beim entfernen bestehen bleiben, sollte das dauerhaft greifen...
Vorausgesetzt dein Adapter verhält sich ebenso, sonst musst du halt angepasst
Rechte setzen.
Testen kann ich das auf diesem Rechner jetzt leider nicht, hoffe aber
das führt zum gewünschten Erfolg.
Wenn der Device-Ordner bekannt ist, kann man den Registry-Ordner sicherlich mit einem
Powershell-Skript erstellen und die Rechte vergeben, resp. ein Script, das einmalig per
PS-Script als Administrator die Rechte setzt auf dem Zielrechner beim Kunden.
Aber das PS-Script ist nicht meine Kompetenz, daher freuen wir uns, das sicher bald
jemand ein Script beisteuert.
MirkoKR
Ich denke die Berechtigungen sind Nebensache. Sobald die Registry Einträge auf dem Client sind, wird dieser die Geräte auch so erkennen. Die Berechtigung zu schärfen würde nur verhindern, dass es sich jemand selbst verstellen könnte.
