Wireguard Client: Verwendung nur von Benutzer der Gruppe Administratoren
Hallo Administratoren,
ich möchte zu einer Fritzbox 6660 FW 7.39 mit dem offiziellen Wireguard-Client v0.5.3 eine Verbindung herstellen, was prinzipiell funktioniert. Jedoch gibt es Probleme, wenn das Benutzerkonto beim Client unter Win11 keine Administratorrechte hat.
Zur Installation Rechtsklick auf das Setup und dann mit einem lokalen Administratorkonto oder auch einem Domänen-Administratorkonto ging nicht. Wenn man sich jedoch in Windows mit dem Administratorkonto einloggt, konnte man installieren. Das habe ich getan, die wp_config.conf importiert und die Verbindung erfolgreich getestet.
Das gleiche nun beim Ausführen. Wenn ich Wireguard eingeloggt in Win11 im lokalen - oder auch einem Domänen-Administratorkonto starte, funktioniert es. Wenn ich jedoch im eingeschränkten Benutzerkonto starte klappt es nicht:
Wenn ich danach versuche mit Rechtsklick - Als Administrator ausführen und den lokalen Administrator in der UAC eingeben, kann die Oberfläche aber trotzdem nicht geöffnet werden, jedoch sieht die Meldung anders aus:
Es klappt erst, wenn man sich richtig als Administrator einloggt und nicht "Ausführen als" im Nicht-Admin-Konto versucht.
Selbstverständlich habe ich die folgenden 2 Dinge beachtet:
Und einmal unter Mitglied von "Netzwerkkonfigurations-Operatoren" eingetragen:
Mit der Eingabe sehe ich ganz unten
Gibt es noch eine Möglichkeit das zu überprüfen?
Woran liegt es, dass Wireguard nicht starten will und immer die Meldung mit den Administratorrechten bringt?
ich möchte zu einer Fritzbox 6660 FW 7.39 mit dem offiziellen Wireguard-Client v0.5.3 eine Verbindung herstellen, was prinzipiell funktioniert. Jedoch gibt es Probleme, wenn das Benutzerkonto beim Client unter Win11 keine Administratorrechte hat.
Zur Installation Rechtsklick auf das Setup und dann mit einem lokalen Administratorkonto oder auch einem Domänen-Administratorkonto ging nicht. Wenn man sich jedoch in Windows mit dem Administratorkonto einloggt, konnte man installieren. Das habe ich getan, die wp_config.conf importiert und die Verbindung erfolgreich getestet.
Das gleiche nun beim Ausführen. Wenn ich Wireguard eingeloggt in Win11 im lokalen - oder auch einem Domänen-Administratorkonto starte, funktioniert es. Wenn ich jedoch im eingeschränkten Benutzerkonto starte klappt es nicht:
Wenn ich danach versuche mit Rechtsklick - Als Administrator ausführen und den lokalen Administrator in der UAC eingeben, kann die Oberfläche aber trotzdem nicht geöffnet werden, jedoch sieht die Meldung anders aus:
Es klappt erst, wenn man sich richtig als Administrator einloggt und nicht "Ausführen als" im Nicht-Admin-Konto versucht.
Selbstverständlich habe ich die folgenden 2 Dinge beachtet:
- Der Benutzer muss in der lokalen Computergruppe "Netzwerkkonfigurations-Operatoren" sein:
Und einmal unter Mitglied von "Netzwerkkonfigurations-Operatoren" eingetragen:
Mit der Eingabe
net user /domain [username]
Lokale Gruppenmitgliedschaften *Netzwerkkonfiguration
Gibt es noch eine Möglichkeit das zu überprüfen?
- Es muss ein neuer Schlüssel angelegt werden:
Woran liegt es, dass Wireguard nicht starten will und immer die Meldung mit den Administratorrechten bringt?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5227679264
Url: https://administrator.de/contentid/5227679264
Ausgedruckt am: 19.12.2024 um 15:12 Uhr
13 Kommentare
Neuester Kommentar
Moin.
Du begehst da vermutlich Fehler.
Du gibst der AD-Gruppe Netzwerkkonfigurationsoperatoren gerade volle Rechte auf die Nutzerobjekte und packst in diese Gruppe Nutzer rein, die vermutlich nicht vollen Zugriff auf die Nutzerobjekte bekommen sollen (sie können zum Beispiel den Nutzer löschen oder sein Kennwort resetten).
Du begehst da vermutlich Fehler.
Du gibst der AD-Gruppe Netzwerkkonfigurationsoperatoren gerade volle Rechte auf die Nutzerobjekte und packst in diese Gruppe Nutzer rein, die vermutlich nicht vollen Zugriff auf die Nutzerobjekte bekommen sollen (sie können zum Beispiel den Nutzer löschen oder sein Kennwort resetten).
Vermutlich das gleiche Drama wie mit dem OpenVPN Client unter Winblows:
OpenVPN für Standarduser
OpenVPN für Standarduser
Habe nachgelesen, ob die Netzwerkkonf-Operatoren hier überhaupt was reißen können. Nein, auch mit Mitgliedschaft in dieser Gruppe geht nicht alles, was in dem Programm als Admin geht. Ist Dir das bewusst? Siehe: https://superuser.com/a/1661034/1710019
Zu deinem
Was Du da im AD machst, hat auf den Clients keine Auswirkungen.
GUI functionality severely limited
Zu deinem
Den Nutzer am Client gibt es aber nicht lokal, sondern ist ein Domänenbenutzer...
Du kannst in die lokale Gruppe Netzkonf...ops auch Domänennutzer einfügen.Was Du da im AD machst, hat auf den Clients keine Auswirkungen.
In dem superuser-Link ist https://git.zx2c4.com/wireguard-windows/about/docs/adminregistry.md verlinkt, wo steht, wie man es lauffähig bekommt für die Netzwerkkonfops - läuft so auch, habe ich mir angesehen.
Was mich überhaupt zur Beteiligung hier brachte, war der Umstand, dass Du Rechte auf AD-Gruppen vergeben hast ohne dass die mit dem Zweck, den Du verfolgst, überhaupt in Verbindung steht. Der Reiter "Sicherheit" hat ja die Bewandnis, dass du dort festlegen kannst, wer diese Gruppe bearbeiten kann und nicht etwa, wer Teil dieser Gruppe ist. Auch war es alarmierend, dass Du schon mit dem Domänenadmin am Client testest. Benutze den Domadmin nur auf den DCs, nirgendwo sonst - es lauern auf den Clients zuviele Risiken für dessen Einsatz dort.
Mir reicht es doch, wenn die GUI sich öffnet und der Benutzer auf "Aktivieren" klicken kann
Dann passt das doch, gut.Heißt das, dass man Netzkonf...ops nicht übers AD verwalten kann?
Die AD-Gruppe hat mit der lokalen Gruppe auf den Clients nichts zu tun. Natürlich kannst Du die Gruppe mit den 10 Nutzern befüllen und die dann per GPO in die lokale Gruppe einfügen mittels "restricted groups" oder Group Policy Preferences, das geht.Was mich überhaupt zur Beteiligung hier brachte, war der Umstand, dass Du Rechte auf AD-Gruppen vergeben hast ohne dass die mit dem Zweck, den Du verfolgst, überhaupt in Verbindung steht. Der Reiter "Sicherheit" hat ja die Bewandnis, dass du dort festlegen kannst, wer diese Gruppe bearbeiten kann und nicht etwa, wer Teil dieser Gruppe ist. Auch war es alarmierend, dass Du schon mit dem Domänenadmin am Client testest. Benutze den Domadmin nur auf den DCs, nirgendwo sonst - es lauern auf den Clients zuviele Risiken für dessen Einsatz dort.
Kann Dir bei Wireguard und deinem SQL-Problem leider nicht helfen.
Wie kann ich dann auf einem Client wo der Benutzer eingeschränkte Rechte hat, etwas als Administrator installieren?
Ich verlinke mein eigenes Konzept dafür: Sicherer Umgang mit Supportkonten - das ist komfortabel.