13
Wireguard Client: Verwendung nur von Benutzer der Gruppe Administratoren
Hallo Administratoren,
ich möchte zu einer Fritzbox 6660 FW 7.39 mit dem offiziellen Wireguard-Client v0.5.3 eine Verbindung herstellen, was prinzipiell funktioniert. Jedoch gibt es Probleme, wenn das Benutzerkonto beim Client unter Win11 keine Administratorrechte hat.
Zur Installation Rechtsklick auf das Setup und dann mit einem lokalen Administratorkonto oder auch einem Domänen-Administratorkonto ging nicht. Wenn man sich jedoch in Windows mit dem Administratorkonto einloggt, konnte man installieren. Das habe ich getan, die wp_config.conf importiert und die Verbindung erfolgreich getestet.
Das gleiche nun beim Ausführen. Wenn ich Wireguard eingeloggt in Win11 im lokalen - oder auch einem Domänen-Administratorkonto starte, funktioniert es. Wenn ich jedoch im eingeschränkten Benutzerkonto starte klappt es nicht:
Wenn ich danach versuche mit Rechtsklick - Als Administrator ausführen und den lokalen Administrator in der UAC eingeben, kann die Oberfläche aber trotzdem nicht geöffnet werden, jedoch sieht die Meldung anders aus:
Es klappt erst, wenn man sich richtig als Administrator einloggt und nicht "Ausführen als" im Nicht-Admin-Konto versucht.
Selbstverständlich habe ich die folgenden 2 Dinge beachtet:
Und einmal unter Mitglied von "Netzwerkkonfigurations-Operatoren" eingetragen:
Mit der Eingabe sehe ich ganz unten
Gibt es noch eine Möglichkeit das zu überprüfen?
Woran liegt es, dass Wireguard nicht starten will und immer die Meldung mit den Administratorrechten bringt?
ich möchte zu einer Fritzbox 6660 FW 7.39 mit dem offiziellen Wireguard-Client v0.5.3 eine Verbindung herstellen, was prinzipiell funktioniert. Jedoch gibt es Probleme, wenn das Benutzerkonto beim Client unter Win11 keine Administratorrechte hat.
Zur Installation Rechtsklick auf das Setup und dann mit einem lokalen Administratorkonto oder auch einem Domänen-Administratorkonto ging nicht. Wenn man sich jedoch in Windows mit dem Administratorkonto einloggt, konnte man installieren. Das habe ich getan, die wp_config.conf importiert und die Verbindung erfolgreich getestet.
Das gleiche nun beim Ausführen. Wenn ich Wireguard eingeloggt in Win11 im lokalen - oder auch einem Domänen-Administratorkonto starte, funktioniert es. Wenn ich jedoch im eingeschränkten Benutzerkonto starte klappt es nicht:
Wenn ich danach versuche mit Rechtsklick - Als Administrator ausführen und den lokalen Administrator in der UAC eingeben, kann die Oberfläche aber trotzdem nicht geöffnet werden, jedoch sieht die Meldung anders aus:
Selbstverständlich habe ich die folgenden 2 Dinge beachtet:
- Der Benutzer muss in der lokalen Computergruppe "Netzwerkkonfigurations-Operatoren" sein:
Mit der Eingabe
net user /domain [username]Lokale Gruppenmitgliedschaften *NetzwerkkonfigurationGibt es noch eine Möglichkeit das zu überprüfen?
- Es muss ein neuer Schlüssel angelegt werden:
Woran liegt es, dass Wireguard nicht starten will und immer die Meldung mit den Administratorrechten bringt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5227679264
Url: https://administrator.de/contentid/5227679264
Printed on: May 22, 2024 at 09:05 o'clock
13 Comments
Latest comment
Moin.
Du begehst da vermutlich Fehler.
Du gibst der AD-Gruppe Netzwerkkonfigurationsoperatoren gerade volle Rechte auf die Nutzerobjekte und packst in diese Gruppe Nutzer rein, die vermutlich nicht vollen Zugriff auf die Nutzerobjekte bekommen sollen (sie können zum Beispiel den Nutzer löschen oder sein Kennwort resetten).
Du begehst da vermutlich Fehler.
Du gibst der AD-Gruppe Netzwerkkonfigurationsoperatoren gerade volle Rechte auf die Nutzerobjekte und packst in diese Gruppe Nutzer rein, die vermutlich nicht vollen Zugriff auf die Nutzerobjekte bekommen sollen (sie können zum Beispiel den Nutzer löschen oder sein Kennwort resetten).
Das war ehrlich gesagt nur ein Test, hab die Netzwerkkonfigurationsoperatoren nochmal entfernt und neu reingesetzt, jetzt besser?
Wie kann man denn prüfen, ob das 100% im AD-User gesetzt ist? Oder was könnte es sonst noch sein, dass der Wireguard-Client nicht starten will?
Wie kann man denn prüfen, ob das 100% im AD-User gesetzt ist? Oder was könnte es sonst noch sein, dass der Wireguard-Client nicht starten will?
Vermutlich das gleiche Drama wie mit dem OpenVPN Client unter Winblows:
OpenVPN für Standarduser
OpenVPN für Standarduser
Am AD nichts verändern.
Am Client den Nutzer in die Gruppe Netzwerkkonfigurationsoperatoren aufnehmen, Nutzer neu anmelden, wireguard über Rechtsklick "als Administrator ausführen" starten und dabei erneut die Nutzercredentials eintippen.
Am Client den Nutzer in die Gruppe Netzwerkkonfigurationsoperatoren aufnehmen, Nutzer neu anmelden, wireguard über Rechtsklick "als Administrator ausführen" starten und dabei erneut die Nutzercredentials eintippen.
@aqui:
Dort wird aber nichts von "Netzwerkkonfigurations-Operatoren" erwähnt sondern nur mit Credentials und run-as. Wahrscheinilch nicht genau gleich wie bei OpenVPN?
@DerWoWusste:
Den Nutzer am Client gibt es aber nicht lokal, sondern ist ein Domänenbenutzer. Muss ich das nicht im AD machen?
"Als Administrator ausführen" klappt wie erwähnt nicht mal wenn ich die Credentials von einem lokalen Administrator-Konto eingeben. Alle anderen Setup-Programme etc. die Admin-Rechte benötigen laufen aber mit letzterer Vorgehensweise. Wireguard-Gui ist da irgendwie ganz speziell.
Was schlägst Du vor?
@Visucius:
Das habe ich selbstverständlich schon gelesen, aber dort wird ja davon ausgegangen, dass es ein lokales Benutzerkonto ist. Bei mir ist es ein Domänen-Benutzer, daher kann ich es nicht so machen wie auf der 2. Seite beschrieben. Dennoch sind oben von mir die Screenshots für das AD-Konto. Siehst Du hier einen Fehler?
Das Fazit auf der 3. Seite hört sich leider auch nicht toll an.
Dort wird aber nichts von "Netzwerkkonfigurations-Operatoren" erwähnt sondern nur mit Credentials und run-as. Wahrscheinilch nicht genau gleich wie bei OpenVPN?
@DerWoWusste:
Den Nutzer am Client gibt es aber nicht lokal, sondern ist ein Domänenbenutzer. Muss ich das nicht im AD machen?
"Als Administrator ausführen" klappt wie erwähnt nicht mal wenn ich die Credentials von einem lokalen Administrator-Konto eingeben. Alle anderen Setup-Programme etc. die Admin-Rechte benötigen laufen aber mit letzterer Vorgehensweise. Wireguard-Gui ist da irgendwie ganz speziell.
Was schlägst Du vor?
@Visucius:
Das habe ich selbstverständlich schon gelesen, aber dort wird ja davon ausgegangen, dass es ein lokales Benutzerkonto ist. Bei mir ist es ein Domänen-Benutzer, daher kann ich es nicht so machen wie auf der 2. Seite beschrieben. Dennoch sind oben von mir die Screenshots für das AD-Konto. Siehst Du hier einen Fehler?
Das Fazit auf der 3. Seite hört sich leider auch nicht toll an.
Habe nachgelesen, ob die Netzwerkkonf-Operatoren hier überhaupt was reißen können. Nein, auch mit Mitgliedschaft in dieser Gruppe geht nicht alles, was in dem Programm als Admin geht. Ist Dir das bewusst? Siehe: https://superuser.com/a/1661034/1710019
Zu deinem
Was Du da im AD machst, hat auf den Clients keine Auswirkungen.
GUI functionality severely limited
Zu deinem
Den Nutzer am Client gibt es aber nicht lokal, sondern ist ein Domänenbenutzer...
Du kannst in die lokale Gruppe Netzkonf...ops auch Domänennutzer einfügen.Was Du da im AD machst, hat auf den Clients keine Auswirkungen.
@DerWoWusste:
Dort steht aber auch
Und was genau meinst Du, was in dem Programm als Nicht-Admin nicht gehen sollte? Mir reicht es doch, wenn die GUI sich öffnet und der Benutzer auf "Aktivieren" klicken kann. Alles andere wird einmalig davor als Administrator bei der Installation gemacht.
Dort steht aber auch
Pro: WG GUI accessible
was bei mir bislang nicht geht.Und was genau meinst Du, was in dem Programm als Nicht-Admin nicht gehen sollte? Mir reicht es doch, wenn die GUI sich öffnet und der Benutzer auf "Aktivieren" klicken kann. Alles andere wird einmalig davor als Administrator bei der Installation gemacht.
Du kannst in die lokale Gruppe Netzkonf...ops auch Domänennutzer einfügen.
Was Du da im AD machst, hat auf den Clients keine Auswirkungen.
Heißt das, dass man Netzkonf...ops nicht übers AD verwalten kann? Es sind hier etwa 10 PCs in der Firma und ich fange doch nicht an, bei jedem lokal irgendwelche Benutzer- oder Gruppenzuordnungen anzulegen. Das muss in einem AD doch alles zentral verwaltet werden können?Was Du da im AD machst, hat auf den Clients keine Auswirkungen.
In dem superuser-Link ist https://git.zx2c4.com/wireguard-windows/about/docs/adminregistry.md verlinkt, wo steht, wie man es lauffähig bekommt für die Netzwerkkonfops - läuft so auch, habe ich mir angesehen.
Was mich überhaupt zur Beteiligung hier brachte, war der Umstand, dass Du Rechte auf AD-Gruppen vergeben hast ohne dass die mit dem Zweck, den Du verfolgst, überhaupt in Verbindung steht. Der Reiter "Sicherheit" hat ja die Bewandnis, dass du dort festlegen kannst, wer diese Gruppe bearbeiten kann und nicht etwa, wer Teil dieser Gruppe ist. Auch war es alarmierend, dass Du schon mit dem Domänenadmin am Client testest. Benutze den Domadmin nur auf den DCs, nirgendwo sonst - es lauern auf den Clients zuviele Risiken für dessen Einsatz dort.
Mir reicht es doch, wenn die GUI sich öffnet und der Benutzer auf "Aktivieren" klicken kann
Dann passt das doch, gut.Heißt das, dass man Netzkonf...ops nicht übers AD verwalten kann?
Die AD-Gruppe hat mit der lokalen Gruppe auf den Clients nichts zu tun. Natürlich kannst Du die Gruppe mit den 10 Nutzern befüllen und die dann per GPO in die lokale Gruppe einfügen mittels "restricted groups" oder Group Policy Preferences, das geht.Was mich überhaupt zur Beteiligung hier brachte, war der Umstand, dass Du Rechte auf AD-Gruppen vergeben hast ohne dass die mit dem Zweck, den Du verfolgst, überhaupt in Verbindung steht. Der Reiter "Sicherheit" hat ja die Bewandnis, dass du dort festlegen kannst, wer diese Gruppe bearbeiten kann und nicht etwa, wer Teil dieser Gruppe ist. Auch war es alarmierend, dass Du schon mit dem Domänenadmin am Client testest. Benutze den Domadmin nur auf den DCs, nirgendwo sonst - es lauern auf den Clients zuviele Risiken für dessen Einsatz dort.
1
Das was unter git.zx2c4.com/wireguard-windows/about/docs/adminregistry.md steht ist für mich nichts Neues, hab ich ja so umgesetzt.
Entscheidend war aber tatsächlich, dass man am lokalen Client unter Computerverwaltung -> lokale Gruppen -> Netzwer...op den (in meinem Fall) Domänenbenutzer hinzufügt. Einmal neustarten und tatsächlich, jetzt öffnet sich die WG-GUI und ich kann eine Verbindung herstellen.
Bei einer SQL-Verbindung bekomm ich dummerweise einen "Cannot generate SSPI context..." - Fehler, so langsam nervt es. Mit der normalen VPN-Verbindung hab ich das nicht.
Die Installation der Wireguard-GUI ist m.M. ziemlich aufwendig für jeden Client persönlich vorzunehmen. Und es gibt kein zusätzliches Passwort beim Herstellen der Verbindung wie bei VPN üblich, so dass jeder dem die wp_conf.conf in die Hände fällt ins Firmennetzwerk kommen kann.
Wie kann ich dann auf einem Client wo der Benutzer eingeschränkte Rechte hat, etwas als Administrator installieren? Lokaler Admin? Das wäre mir zu aufwendig, wenn die PCs mehr werden, dort alles lokal einzurichten.
Danke soweit für die Hinweise. Ich werde wohl vorerst beim "normalen" VPN der Fritzbox bleiben.
Entscheidend war aber tatsächlich, dass man am lokalen Client unter Computerverwaltung -> lokale Gruppen -> Netzwer...op den (in meinem Fall) Domänenbenutzer hinzufügt. Einmal neustarten und tatsächlich, jetzt öffnet sich die WG-GUI und ich kann eine Verbindung herstellen.
Bei einer SQL-Verbindung bekomm ich dummerweise einen "Cannot generate SSPI context..." - Fehler, so langsam nervt es. Mit der normalen VPN-Verbindung hab ich das nicht.
Die Installation der Wireguard-GUI ist m.M. ziemlich aufwendig für jeden Client persönlich vorzunehmen. Und es gibt kein zusätzliches Passwort beim Herstellen der Verbindung wie bei VPN üblich, so dass jeder dem die wp_conf.conf in die Hände fällt ins Firmennetzwerk kommen kann.
Benutze den Domadmin nur auf den DCs, nirgendwo sonst - es lauern auf den Clients zuviele Risiken für dessen Einsatz dort.
Wie kann ich dann auf einem Client wo der Benutzer eingeschränkte Rechte hat, etwas als Administrator installieren? Lokaler Admin? Das wäre mir zu aufwendig, wenn die PCs mehr werden, dort alles lokal einzurichten.
Danke soweit für die Hinweise. Ich werde wohl vorerst beim "normalen" VPN der Fritzbox bleiben.
Kann Dir bei Wireguard und deinem SQL-Problem leider nicht helfen.
Wie kann ich dann auf einem Client wo der Benutzer eingeschränkte Rechte hat, etwas als Administrator installieren?
Ich verlinke mein eigenes Konzept dafür: Sicherer Umgang mit Supportkonten - das ist komfortabel.1
Danke für den Link mit Deinem Konzept. Ist zwar schon ein paar Jahre her, aber Du scheinst Dir richtig Gedanken gemacht zu haben.
Momentan aber mit "Sicherheit" etwas übertrieben für unsere Firmengröße, vielleicht ändert sich das in Zukunft.
Momentan aber mit "Sicherheit" etwas übertrieben für unsere Firmengröße, vielleicht ändert sich das in Zukunft.
Der Aufwand ist überschaubar, nach dem Durchlesen vielleicht 20 Minuten einmalig. Das sollte einen Versuch wert sein.
1
