riegeler
Goto Top

Wireguard Client: Verwendung nur von Benutzer der Gruppe Administratoren

Hallo Administratoren,

ich möchte zu einer Fritzbox 6660 FW 7.39 mit dem offiziellen Wireguard-Client v0.5.3 eine Verbindung herstellen, was prinzipiell funktioniert. Jedoch gibt es Probleme, wenn das Benutzerkonto beim Client unter Win11 keine Administratorrechte hat.

Zur Installation Rechtsklick auf das Setup und dann mit einem lokalen Administratorkonto oder auch einem Domänen-Administratorkonto ging nicht. Wenn man sich jedoch in Windows mit dem Administratorkonto einloggt, konnte man installieren. Das habe ich getan, die wp_config.conf importiert und die Verbindung erfolgreich getestet.

Das gleiche nun beim Ausführen. Wenn ich Wireguard eingeloggt in Win11 im lokalen - oder auch einem Domänen-Administratorkonto starte, funktioniert es. Wenn ich jedoch im eingeschränkten Benutzerkonto starte klappt es nicht:
2a

Wenn ich danach versuche mit Rechtsklick - Als Administrator ausführen und den lokalen Administrator in der UAC eingeben, kann die Oberfläche aber trotzdem nicht geöffnet werden, jedoch sieht die Meldung anders aus:
2
Es klappt erst, wenn man sich richtig als Administrator einloggt und nicht "Ausführen als" im Nicht-Admin-Konto versucht.


Selbstverständlich habe ich die folgenden 2 Dinge beachtet:

  • Der Benutzer muss in der lokalen Computergruppe "Netzwerkkonfigurations-Operatoren" sein:
Einmal im AD unter Sicherheit:
4
Und einmal unter Mitglied von "Netzwerkkonfigurations-Operatoren" eingetragen:
5

Mit der Eingabe
net user /domain [username]
sehe ich ganz unten
Lokale Gruppenmitgliedschaften      *Netzwerkkonfiguration

Gibt es noch eine Möglichkeit das zu überprüfen?


  • Es muss ein neuer Schlüssel angelegt werden:
3

Woran liegt es, dass Wireguard nicht starten will und immer die Meldung mit den Administratorrechten bringt?

Content-ID: 5227679264

Url: https://administrator.de/contentid/5227679264

Ausgedruckt am: 19.12.2024 um 15:12 Uhr

DerWoWusste
DerWoWusste 06.01.2023 um 09:44:05 Uhr
Goto Top
Moin.

Du begehst da vermutlich Fehler.
Du gibst der AD-Gruppe Netzwerkkonfigurationsoperatoren gerade volle Rechte auf die Nutzerobjekte und packst in diese Gruppe Nutzer rein, die vermutlich nicht vollen Zugriff auf die Nutzerobjekte bekommen sollen (sie können zum Beispiel den Nutzer löschen oder sein Kennwort resetten).
riegeler
riegeler 06.01.2023 um 10:09:27 Uhr
Goto Top
Das war ehrlich gesagt nur ein Test, hab die Netzwerkkonfigurationsoperatoren nochmal entfernt und neu reingesetzt, jetzt besser?
7

Wie kann man denn prüfen, ob das 100% im AD-User gesetzt ist? Oder was könnte es sonst noch sein, dass der Wireguard-Client nicht starten will?
aqui
aqui 06.01.2023 um 10:39:57 Uhr
Goto Top
Vermutlich das gleiche Drama wie mit dem OpenVPN Client unter Winblows:
OpenVPN für Standarduser
DerWoWusste
DerWoWusste 06.01.2023 um 11:12:25 Uhr
Goto Top
Am AD nichts verändern.
Am Client den Nutzer in die Gruppe Netzwerkkonfigurationsoperatoren aufnehmen, Nutzer neu anmelden, wireguard über Rechtsklick "als Administrator ausführen" starten und dabei erneut die Nutzercredentials eintippen.
Visucius
Visucius 06.01.2023 um 12:01:00 Uhr
Goto Top
riegeler
riegeler 06.01.2023 um 13:24:50 Uhr
Goto Top
@aqui:
Dort wird aber nichts von "Netzwerkkonfigurations-Operatoren" erwähnt sondern nur mit Credentials und run-as. Wahrscheinilch nicht genau gleich wie bei OpenVPN?

@DerWoWusste:
Den Nutzer am Client gibt es aber nicht lokal, sondern ist ein Domänenbenutzer. Muss ich das nicht im AD machen?
"Als Administrator ausführen" klappt wie erwähnt nicht mal wenn ich die Credentials von einem lokalen Administrator-Konto eingeben. Alle anderen Setup-Programme etc. die Admin-Rechte benötigen laufen aber mit letzterer Vorgehensweise. Wireguard-Gui ist da irgendwie ganz speziell.
Was schlägst Du vor?

@Visucius:
Das habe ich selbstverständlich schon gelesen, aber dort wird ja davon ausgegangen, dass es ein lokales Benutzerkonto ist. Bei mir ist es ein Domänen-Benutzer, daher kann ich es nicht so machen wie auf der 2. Seite beschrieben. Dennoch sind oben von mir die Screenshots für das AD-Konto. Siehst Du hier einen Fehler?
Das Fazit auf der 3. Seite hört sich leider auch nicht toll an.
DerWoWusste
DerWoWusste 06.01.2023 um 20:34:02 Uhr
Goto Top
Habe nachgelesen, ob die Netzwerkkonf-Operatoren hier überhaupt was reißen können. Nein, auch mit Mitgliedschaft in dieser Gruppe geht nicht alles, was in dem Programm als Admin geht. Ist Dir das bewusst? Siehe: https://superuser.com/a/1661034/1710019
GUI functionality severely limited

Zu deinem
Den Nutzer am Client gibt es aber nicht lokal, sondern ist ein Domänenbenutzer...
Du kannst in die lokale Gruppe Netzkonf...ops auch Domänennutzer einfügen.
Was Du da im AD machst, hat auf den Clients keine Auswirkungen.
riegeler
riegeler 07.01.2023 um 14:32:40 Uhr
Goto Top
@DerWoWusste:
Dort steht aber auch
Pro: WG GUI accessible
was bei mir bislang nicht geht.
Und was genau meinst Du, was in dem Programm als Nicht-Admin nicht gehen sollte? Mir reicht es doch, wenn die GUI sich öffnet und der Benutzer auf "Aktivieren" klicken kann. Alles andere wird einmalig davor als Administrator bei der Installation gemacht.

Du kannst in die lokale Gruppe Netzkonf...ops auch Domänennutzer einfügen.
Was Du da im AD machst, hat auf den Clients keine Auswirkungen.
Heißt das, dass man Netzkonf...ops nicht übers AD verwalten kann? Es sind hier etwa 10 PCs in der Firma und ich fange doch nicht an, bei jedem lokal irgendwelche Benutzer- oder Gruppenzuordnungen anzulegen. Das muss in einem AD doch alles zentral verwaltet werden können?
DerWoWusste
DerWoWusste 07.01.2023 um 15:53:27 Uhr
Goto Top
In dem superuser-Link ist https://git.zx2c4.com/wireguard-windows/about/docs/adminregistry.md verlinkt, wo steht, wie man es lauffähig bekommt für die Netzwerkkonfops - läuft so auch, habe ich mir angesehen.
Mir reicht es doch, wenn die GUI sich öffnet und der Benutzer auf "Aktivieren" klicken kann
Dann passt das doch, gut.

Heißt das, dass man Netzkonf...ops nicht übers AD verwalten kann?
Die AD-Gruppe hat mit der lokalen Gruppe auf den Clients nichts zu tun. Natürlich kannst Du die Gruppe mit den 10 Nutzern befüllen und die dann per GPO in die lokale Gruppe einfügen mittels "restricted groups" oder Group Policy Preferences, das geht.

Was mich überhaupt zur Beteiligung hier brachte, war der Umstand, dass Du Rechte auf AD-Gruppen vergeben hast ohne dass die mit dem Zweck, den Du verfolgst, überhaupt in Verbindung steht. Der Reiter "Sicherheit" hat ja die Bewandnis, dass du dort festlegen kannst, wer diese Gruppe bearbeiten kann und nicht etwa, wer Teil dieser Gruppe ist. Auch war es alarmierend, dass Du schon mit dem Domänenadmin am Client testest. Benutze den Domadmin nur auf den DCs, nirgendwo sonst - es lauern auf den Clients zuviele Risiken für dessen Einsatz dort.
riegeler
riegeler 08.01.2023 um 09:56:41 Uhr
Goto Top
Das was unter git.zx2c4.com/wireguard-windows/about/docs/adminregistry.md steht ist für mich nichts Neues, hab ich ja so umgesetzt.
Entscheidend war aber tatsächlich, dass man am lokalen Client unter Computerverwaltung -> lokale Gruppen -> Netzwer...op den (in meinem Fall) Domänenbenutzer hinzufügt. Einmal neustarten und tatsächlich, jetzt öffnet sich die WG-GUI und ich kann eine Verbindung herstellen.

Bei einer SQL-Verbindung bekomm ich dummerweise einen "Cannot generate SSPI context..." - Fehler, so langsam nervt es. Mit der normalen VPN-Verbindung hab ich das nicht.

Die Installation der Wireguard-GUI ist m.M. ziemlich aufwendig für jeden Client persönlich vorzunehmen. Und es gibt kein zusätzliches Passwort beim Herstellen der Verbindung wie bei VPN üblich, so dass jeder dem die wp_conf.conf in die Hände fällt ins Firmennetzwerk kommen kann.

Benutze den Domadmin nur auf den DCs, nirgendwo sonst - es lauern auf den Clients zuviele Risiken für dessen Einsatz dort.

Wie kann ich dann auf einem Client wo der Benutzer eingeschränkte Rechte hat, etwas als Administrator installieren? Lokaler Admin? Das wäre mir zu aufwendig, wenn die PCs mehr werden, dort alles lokal einzurichten.

Danke soweit für die Hinweise. Ich werde wohl vorerst beim "normalen" VPN der Fritzbox bleiben.
DerWoWusste
DerWoWusste 08.01.2023 um 10:09:38 Uhr
Goto Top
Kann Dir bei Wireguard und deinem SQL-Problem leider nicht helfen.
Wie kann ich dann auf einem Client wo der Benutzer eingeschränkte Rechte hat, etwas als Administrator installieren?
Ich verlinke mein eigenes Konzept dafür: Sicherer Umgang mit Supportkonten - das ist komfortabel.
riegeler
riegeler 08.01.2023 um 17:40:42 Uhr
Goto Top
Danke für den Link mit Deinem Konzept. Ist zwar schon ein paar Jahre her, aber Du scheinst Dir richtig Gedanken gemacht zu haben.
Momentan aber mit "Sicherheit" etwas übertrieben für unsere Firmengröße, vielleicht ändert sich das in Zukunft.
DerWoWusste
DerWoWusste 08.01.2023 um 19:49:23 Uhr
Goto Top
Der Aufwand ist überschaubar, nach dem Durchlesen vielleicht 20 Minuten einmalig. Das sollte einen Versuch wert sein.