21
Windows 10 Client Benutzerkontensteuerung (UAC) für VPN-Verbindung deaktivieren
Hallo zusammen,
in der Firma wurden einst alle mobile Clients mit einer VPN-Verbindung (per CMAK vom Windows Server) ausgestattet. Unter den Adaptereinstellungen ist die VPN-Verbindung (SSTP) zu finden. Die Verbindung wird entsprechend aktiviert, sobald der Adapter via VPN-Verbindungen aktiviert wird.
Jetzt habe ich das Problem, dass ich bei einigen Clients zwar die VPN-Verbindung als Admin einrichten kann, allerdings können die User die Verbindung nicht aktivieren, da sofort der UAC-Prompt kommt wo sie sich mit einem Admin Account einloggen müssten.
Kann ich diese UAC-Abfrage gezielt für die Verbindung deaktivieren, oder gibt es noch eine elegantere Lösung um nicht in dieses Problem zu rennen?
Danke schonmal im Voraus!
Schöne Grüße!
in der Firma wurden einst alle mobile Clients mit einer VPN-Verbindung (per CMAK vom Windows Server) ausgestattet. Unter den Adaptereinstellungen ist die VPN-Verbindung (SSTP) zu finden. Die Verbindung wird entsprechend aktiviert, sobald der Adapter via VPN-Verbindungen aktiviert wird.
Jetzt habe ich das Problem, dass ich bei einigen Clients zwar die VPN-Verbindung als Admin einrichten kann, allerdings können die User die Verbindung nicht aktivieren, da sofort der UAC-Prompt kommt wo sie sich mit einem Admin Account einloggen müssten.
Kann ich diese UAC-Abfrage gezielt für die Verbindung deaktivieren, oder gibt es noch eine elegantere Lösung um nicht in dieses Problem zu rennen?
Danke schonmal im Voraus!
Schöne Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 581606
Url: https://administrator.de/contentid/581606
Printed on: May 3, 2024 at 17:05 o'clock
21 Comments
Latest comment
Hallo,
Gruß,
Peter
Zitat von @FlyingSix:
Jetzt habe ich das Problem, dass ich bei einigen Clients zwar die VPN-Verbindung als Admin einrichten kann, allerdings können die User die Verbindung nicht aktivieren, da sofort der UAC-Prompt kommt wo sie sich mit einem Admin Account einloggen müssten.
Du sagtst nur bei einigen Clients. Was habe n diese Gemein oder anders (GPOs, Einstellungen, andere VPN Software/Version usw.)als die die nicht dieses Verhalten zeigen?Jetzt habe ich das Problem, dass ich bei einigen Clients zwar die VPN-Verbindung als Admin einrichten kann, allerdings können die User die Verbindung nicht aktivieren, da sofort der UAC-Prompt kommt wo sie sich mit einem Admin Account einloggen müssten.
Gruß,
Peter
Teste bitte:
->Nutzer abmelden->als Admin anmelden->Nutzerkonto in die lokale Gruppe "Netzwerkkonfigurationsoperatoren" aufnehmen->Nutzer wieder anmelden, testen-> Achtung: auch hier kommt noch ein UAC-Prompt, aber der Nutzer kann seinen eigenen Namen und eigenes Kennwort eingeben!
Wenn das nicht geht, schau, ob es nicht per Kommandozeile geht. Wenn du ein Kommando dazu gefunden hast, um diese Verbindung zu aktivieren, dann lies meinen Artikel, der dir zeigt, wie schwache Nutzer Kommandos mit Adminrechten ausführen können: https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
->Nutzer abmelden->als Admin anmelden->Nutzerkonto in die lokale Gruppe "Netzwerkkonfigurationsoperatoren" aufnehmen->Nutzer wieder anmelden, testen-> Achtung: auch hier kommt noch ein UAC-Prompt, aber der Nutzer kann seinen eigenen Namen und eigenes Kennwort eingeben!
Wenn das nicht geht, schau, ob es nicht per Kommandozeile geht. Wenn du ein Kommando dazu gefunden hast, um diese Verbindung zu aktivieren, dann lies meinen Artikel, der dir zeigt, wie schwache Nutzer Kommandos mit Adminrechten ausführen können: https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
2
N'Abend.
Cheers,
jsysde
Zitat von @DerWoWusste:
[...]Nutzerkonto in die lokale Gruppe "Netzwerkkonfigurationsoperatoren" aufnehmen[...]
Das wäre auch mein Ansatz - klappt für das Aktivieren/Deaktivieren und Änderungen an den Einstellungen prima. UAC kommt dann zwar immer noch, lässt sich aber einfach mit "JA" bestätigen, ohne Username/Passwort.[...]Nutzerkonto in die lokale Gruppe "Netzwerkkonfigurationsoperatoren" aufnehmen[...]
Cheers,
jsysde
Ich werde das heute ausprobieren. Danke schonmal für die schnelle Antwort! Feedback folgt.
Zitat von @Pjordorf:
Hallo,
Gruß,
Peter
Hallo,
Zitat von @FlyingSix:
Jetzt habe ich das Problem, dass ich bei einigen Clients zwar die VPN-Verbindung als Admin einrichten kann, allerdings können die User die Verbindung nicht aktivieren, da sofort der UAC-Prompt kommt wo sie sich mit einem Admin Account einloggen müssten.
Du sagtst nur bei einigen Clients. Was habe n diese Gemein oder anders (GPOs, Einstellungen, andere VPN Software/Version usw.)als die die nicht dieses Verhalten zeigen?Jetzt habe ich das Problem, dass ich bei einigen Clients zwar die VPN-Verbindung als Admin einrichten kann, allerdings können die User die Verbindung nicht aktivieren, da sofort der UAC-Prompt kommt wo sie sich mit einem Admin Account einloggen müssten.
Gruß,
Peter
Hi Peter,
das liegt daran, dass ich hier mobile Clients habe die einerseits mit lokalen User (teils auch lokale Admins) und mobile Clients ohne lokale User habe. Beide Sparten sollen eine Verbindung per VPN ins Firmennetz aufbauen können und Zugriff auf ihren Domain-User haben. Bei den Clients, die keine lokalen User angelegt bekommen haben, besteht das Problem. Das heißt ich muss die Clients nach der Ersteinrichtung eh erstmal in der Domäne vor Ort anmelden um ein lokales User-Profil (Offline Domänen-Profil) zu bekommen. Und das Profil wird ab Verbindungsaufbau immer vom UAC geprompted.
Zitat von @DerWoWusste:
Teste bitte:
->Nutzer abmelden->als Admin anmelden->Nutzerkonto in die lokale Gruppe "Netzwerkkonfigurationsoperatoren" aufnehmen->Nutzer wieder anmelden, testen-> Achtung: auch hier kommt noch ein UAC-Prompt, aber der Nutzer kann seinen eigenen Namen und eigenes Kennwort eingeben!
Teste bitte:
->Nutzer abmelden->als Admin anmelden->Nutzerkonto in die lokale Gruppe "Netzwerkkonfigurationsoperatoren" aufnehmen->Nutzer wieder anmelden, testen-> Achtung: auch hier kommt noch ein UAC-Prompt, aber der Nutzer kann seinen eigenen Namen und eigenes Kennwort eingeben!
So, ich habe es mal nach deiner Beschreibung versucht. Ich bin da direkt auf das erste Problem gestoßen, dass ich den User gar nicht lokal finden kann. Es ist eigentlich ein Domänen-Userprofil per Ordnerumleitung (nicht server-gespeichert). Unter c:\Benutzer kann ich den User zwar finden, allerdings nicht unter Verwaltung > Lokale Benutzer.
Du musst ihn in der Domäne suchen, nicht lokal, schau:
Oder schneller: Rechtsklick auf cmd, "als Admin ausführen" und dort
net localgroup "Network Configuration Operators" /add deinedom.de\Nutzername Zitat von @DerWoWusste:
Du musst ihn in der Domäne suchen, nicht lokal, schau:
Oder schneller: Rechtsklick auf cmd, "als Admin ausführen" und dort
Du musst ihn in der Domäne suchen, nicht lokal, schau:
net localgroup "Network Configuration Operators" /add deinedom.de\Nutzername Hi, also ich habe das auf beiden Wegen versucht. Der User (lokaler User + Domänenuser) ist in der Gruppe "Network Configuration Operator / Netzwerkkonfigurations-Operatoren" Mitglied - leider kommt der Prompt immernoch mit Admin-Passwortabfrage.
Ich werde es nun mal per Batch+Task (analog zu deiner obigen Anleitung) versuchen. Feedback folgt...
leider kommt der Prompt immernoch mit Admin-Passwortabfrage
Wie gesagt: das ist erwartet. Dort kann der Nutzer nun seinen eigenen Kontennamen und eigenes Kennwort eingeben, NICHT ein Adminkennwort.
So, sorry für die verspätete RüMe. Leider war der User länger nicht mit dem Gerät im Hause.
Also ich habe das nun mit mehreren Varianten versucht und das klappt mit dem User-Kennwort nicht. Er ist, sowohl mit dem lokalen, als auch mit dem Remote-Domänenkonto in der Gruppe Netzwerkkonfigurations-Operatoren und kann sich schlicht nicht verifizieren.
Wie lösen das denn andere in ihren Unternehmen? Ich gebe zu, dass ich kein Admin-Pro bin und erst seit ein paar wenigen Jahren in dem Bereich tätig bin, aber ich finde auch nichts zu dem Thema, wie man das korrekt einrichtet. Ist das der normale weg über die Netzwerkkonfigurations-Operatoren, oder löst man das "normalerweise" eleganter?
Zitat von @DerWoWusste:
leider kommt der Prompt immernoch mit Admin-Passwortabfrage
Wie gesagt: das ist erwartet. Dort kann der Nutzer nun seinen eigenen Kontennamen und eigenes Kennwort eingeben, NICHT ein Adminkennwort.Also ich habe das nun mit mehreren Varianten versucht und das klappt mit dem User-Kennwort nicht. Er ist, sowohl mit dem lokalen, als auch mit dem Remote-Domänenkonto in der Gruppe Netzwerkkonfigurations-Operatoren und kann sich schlicht nicht verifizieren.
Wie lösen das denn andere in ihren Unternehmen? Ich gebe zu, dass ich kein Admin-Pro bin und erst seit ein paar wenigen Jahren in dem Bereich tätig bin, aber ich finde auch nichts zu dem Thema, wie man das korrekt einrichtet. Ist das der normale weg über die Netzwerkkonfigurations-Operatoren, oder löst man das "normalerweise" eleganter?
Vorweg: bitte antworte diesmal schneller.
Teste bitte, ob der User, der in Netzwerkkonfig.operatoren drin ist, seine IP ändern kann. Nur ein Test - das muss gehen.
Teste bitte, ob der User, der in Netzwerkkonfig.operatoren drin ist, seine IP ändern kann. Nur ein Test - das muss gehen.
Ok!
Also IP-Wechsel funktioniert.
Also IP-Wechsel funktioniert.
Gut.
Da ich nicht weiß, was Du mit "Adapter via VPN-Verbindungen aktivieren" meintest, dachte ich, es ginge um das Aktivieren einer (virtuellen) Netzwerkkarte. Es kann natürlich sein, dass das etwas anderes bedeutet.
Da ich nicht weiß, was Du mit "Adapter via VPN-Verbindungen aktivieren" meintest, dachte ich, es ginge um das Aktivieren einer (virtuellen) Netzwerkkarte. Es kann natürlich sein, dass das etwas anderes bedeutet.
Wie ich eben getestet habe, kann man als N.K.operator problemlos Netzwerkkarten aktivieren und deaktivieren. Geht das bei Dir nicht, oder was bedeutet "Adapter via VPN-Verbindungen aktivieren"?
Vielleicht habe ich mich da etwas unglücklich ausgedrückt. Ich meinte damit, die Verbindung über die VPN-Verbindung herzustellen. Nachdem das ganze ja als Adapter bei den Netzwerkverbindungen aufgeführt wird, hatte ich mit "Aktivierung" eigentlich "Verbinden" gemeint.
Wie im Bild zu sehen, kommt der User genau zu der Verbindungs-Maske (rechts) und kann seine Daten eingeben. Sobald er auf Verbinden klickt, kommt der Prompt.
Wie im Bild zu sehen, kommt der User genau zu der Verbindungs-Maske (rechts) und kann seine Daten eingeben. Sobald er auf Verbinden klickt, kommt der Prompt.
Ok.
Kannst Du in dem Zustand auch einen Screenshot von start ->ausführen ->ncpa.cpL machen?
Kannst Du in dem Zustand auch einen Screenshot von start ->ausführen ->ncpa.cpL machen?
voilà
EDIT: neues Bild eingefügt - ist aussagekräftiger
EDIT: neues Bild eingefügt - ist aussagekräftiger
Kann der Nutzer denn unter ncpa.cpl die VPN-Verbindung aktivieren (sie ist derzeit grau = deaktiviert)?
Danach dann erneut probieren.
Danach dann erneut probieren.
Zitat von @DerWoWusste:
Kann der Nutzer denn unter ncpa.cpl die VPN-Verbindung aktivieren (sie ist derzeit grau = deaktiviert)?
Danach dann erneut probieren.
Kann der Nutzer denn unter ncpa.cpl die VPN-Verbindung aktivieren (sie ist derzeit grau = deaktiviert)?
Danach dann erneut probieren.
Eine Aktivierung, wie man sie beispielsweise beim Ethernet-Adapter kennt, gibt es hier nicht. Kontext-Menü sieht man im Bild.
Der Adapter wird per se erst farbig, wenn die Verbindung hergestellt wurde.
Ich habe soeben testweise den User in die Gruppe der Administoren (lokal) gesetzt und schon geht die Verbindung. Es hat also wirklich nur etwas mit den erhöhten Rechten zu tun.
Hat sonst noch jemand eine Idee?
Es ist keine Lösung, wenn man einen Roadwarrior-User zum lokalen Admin macht, oder?
Es ist keine Lösung, wenn man einen Roadwarrior-User zum lokalen Admin macht, oder?
Meine erste Idee war
Schau, ob es nicht per Kommandozeile geht. Wenn du ein Kommando dazu gefunden hast, um diese Verbindung zu aktivieren, dann lies meinen Artikel, der dir zeigt, wie schwache Nutzer Kommandos mit Adminrechten ausführen können: https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
Schau, ob es nicht per Kommandozeile geht. Wenn du ein Kommando dazu gefunden hast, um diese Verbindung zu aktivieren, dann lies meinen Artikel, der dir zeigt, wie schwache Nutzer Kommandos mit Adminrechten ausführen können: https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
