Zeitlich begrenzte Admin-Rechte im AD
Ich benötige einen Vorschlag für folgendes Problem:
Ich bin Praktikant und habe die A....karte gezogen auf der stand, dass ich ein Programm finden soll womit man im AD dem einzelnen User zeitlich begrenztes Admin-Recht vergeben kann, damit der User ohne große Admin-Hilfe z.B. sein Java-Updaten kann oder irgendein Programm installieren soll etc.
Vorstellung handelt von einem System welches dem User im Firmennetzwerk sowie ausserhalb der Firma Admin-Rechte vergeben kann.
Offline-Szenario:
Der User möchte auf seinem Notebook seine erste Powerpoint-Präsentation vorbereiten. Da er aber zu Haus in seinem Garten sitzt und der Admin auch nicht mehr im Betrieb ist und der User seine Office-CD nicht einfach so zum installieren des Features einfach so einlegen kann, muss er sich irgendwie Admin-Rechte besorgen. Der User ruft eine speziell dafür eingerichtete Hotline an die direkt zum Diensthandy des Admins umleitet, anschließend bekommt der User eine Mail mit einem temporären Kennwort welches X Minuten/Stunden nach der Eingabe abläuft in das Programm eingibt und weiterarbeiten kann.
Im Firmennetzwerk oder über das Internet könnte das gleiche oder ähnliche Szenario ohne Telefonat über eine spezielle e-Mail Adresse laufen.
Kennt jemand eine zumindest annähernde Lösung??
Bin für jede Antwort dankbar
Ich bin Praktikant und habe die A....karte gezogen auf der stand, dass ich ein Programm finden soll womit man im AD dem einzelnen User zeitlich begrenztes Admin-Recht vergeben kann, damit der User ohne große Admin-Hilfe z.B. sein Java-Updaten kann oder irgendein Programm installieren soll etc.
Vorstellung handelt von einem System welches dem User im Firmennetzwerk sowie ausserhalb der Firma Admin-Rechte vergeben kann.
Offline-Szenario:
Der User möchte auf seinem Notebook seine erste Powerpoint-Präsentation vorbereiten. Da er aber zu Haus in seinem Garten sitzt und der Admin auch nicht mehr im Betrieb ist und der User seine Office-CD nicht einfach so zum installieren des Features einfach so einlegen kann, muss er sich irgendwie Admin-Rechte besorgen. Der User ruft eine speziell dafür eingerichtete Hotline an die direkt zum Diensthandy des Admins umleitet, anschließend bekommt der User eine Mail mit einem temporären Kennwort welches X Minuten/Stunden nach der Eingabe abläuft in das Programm eingibt und weiterarbeiten kann.
Im Firmennetzwerk oder über das Internet könnte das gleiche oder ähnliche Szenario ohne Telefonat über eine spezielle e-Mail Adresse laufen.
Kennt jemand eine zumindest annähernde Lösung??
Bin für jede Antwort dankbar
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 143879
Url: https://administrator.de/contentid/143879
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
21 Kommentare
Neuester Kommentar
Auch dir eine nette erste Zeile ...
Wenn der A Karten vergeber etwas mehr nachdenkt, dann findet er ganz schnell folgendes heraus...
hört sich das für einen nicht Bäcker nach einem schlecht durchdachten IT Support der mit einer noch weniger durchdachten Frickelbunti Lösung optimiert werden soll.
Gruß
Wenn der A Karten vergeber etwas mehr nachdenkt, dann findet er ganz schnell folgendes heraus...
- ohne AD Anbindung, weil der User im Garten nicht im AD klemmt und sein unvorbereitetes Notenbuch das erste mal startet....
- ohne einen Admin, der ein Diensthandy hat und den der User eigentlich ohne speziell eingerichtete Hotline erreichbar ist...
hört sich das für einen nicht Bäcker nach einem schlecht durchdachten IT Support der mit einer noch weniger durchdachten Frickelbunti Lösung optimiert werden soll.
Gruß
Hm, wenn er offline die Rechte nur durch ein Kennwort bekommen soll, fällt mir nur ne Batch ein.
Nach ner Kennwortabfrage könntest du per net user das Benutzerkonto in die Gruppe administratoren nehmen und gleichzeitig eine weitere Batch in den Autostart kopieren, welche bei der nächsten Anmeldung das Konto wieder rausnimmt.
Nach Ausführen der Batch hat der User nach erneutem Logon Adminrechte und nach noch einem Logon nicht mehr.
Damit er das Kennwort nicht immer wiederverwenden kann um sich die Rechte zu verschaffen musst du dir noch was überlegen, was sich aus Datum und Zeit errechnet.
Oder wenn der Admin eh an einen PC geht um ne Mail zu schreiben mit dem PW, dann könnte er auch eben per Teamviewer oder Ähnliches die Installation via Ausführen als" starten
Nach ner Kennwortabfrage könntest du per net user das Benutzerkonto in die Gruppe administratoren nehmen und gleichzeitig eine weitere Batch in den Autostart kopieren, welche bei der nächsten Anmeldung das Konto wieder rausnimmt.
Nach Ausführen der Batch hat der User nach erneutem Logon Adminrechte und nach noch einem Logon nicht mehr.
Damit er das Kennwort nicht immer wiederverwenden kann um sich die Rechte zu verschaffen musst du dir noch was überlegen, was sich aus Datum und Zeit errechnet.
Oder wenn der Admin eh an einen PC geht um ne Mail zu schreiben mit dem PW, dann könnte er auch eben per Teamviewer oder Ähnliches die Installation via Ausführen als" starten
Zitat von @schuhmann:
Nach ner Kennwortabfrage könntest du per net user das Benutzerkonto in die Gruppe administratoren nehmen und gleichzeitig....
Nach ner Kennwortabfrage könntest du per net user das Benutzerkonto in die Gruppe administratoren nehmen und gleichzeitig....
überleg mal...
- welche User dürfen User in die Gruppe der Administratoren bringen?
Also auch ein Griff ins Klo - oder darf ich wegen deinem Avatar schreiben- in den eigenen Schritt?
Gruß
Direkt mal vorne weg: Ich kenn kein Programm welches sowas kann.
So ganz kann ich aber auch den Sinn daran erkennen. Der Mitarbeiter sitzt zuhause und hat ein Firmennotebook. Damit will er nun arbeiten und seine Powerpoint Präsentation vorbereiteten und muss etwas Nachinstallieren. Nun möchte man dem Benutzer übers AD kurzzeitig die Adminrechte geben. Hab ich soweit alles richtig verstanden?
Problem:
- Der Benutzer braucht dann eine direkte VPN Verbindung zu sich nach Hause (also per Router nicht per Hardware), da sich sonst die Richtlinien nicht aktualisieren. Ich gehe stark davon aus, das er nicht solch einen Router hat, da die schon ein bisschen was kosten.
- Warum braucht man sowas??
Selbst wenn er solch einen Router hat und sich alle aktuelle Richtlinien zieht bevor er sich anmeldet, kann ich dem doch Adminrechte geben und dem per Mail schreiben: Neustarten -> Anmelden -> installieren -> Mail schreiben das man fertig ist -> Neustarten.
So könnte der Admin noch kürzer halten indem er die entsprechende Rechte Besitzt.
Persönlich würde ich aber einem User der ein Notebook hat, immer lokale Adminrechte geben. Weil die oftmals schlecht zu erreichen sind und sich so erst mal über Wasser halten können.
So ganz kann ich aber auch den Sinn daran erkennen. Der Mitarbeiter sitzt zuhause und hat ein Firmennotebook. Damit will er nun arbeiten und seine Powerpoint Präsentation vorbereiteten und muss etwas Nachinstallieren. Nun möchte man dem Benutzer übers AD kurzzeitig die Adminrechte geben. Hab ich soweit alles richtig verstanden?
Problem:
- Der Benutzer braucht dann eine direkte VPN Verbindung zu sich nach Hause (also per Router nicht per Hardware), da sich sonst die Richtlinien nicht aktualisieren. Ich gehe stark davon aus, das er nicht solch einen Router hat, da die schon ein bisschen was kosten.
- Warum braucht man sowas??
Selbst wenn er solch einen Router hat und sich alle aktuelle Richtlinien zieht bevor er sich anmeldet, kann ich dem doch Adminrechte geben und dem per Mail schreiben: Neustarten -> Anmelden -> installieren -> Mail schreiben das man fertig ist -> Neustarten.
So könnte der Admin noch kürzer halten indem er die entsprechende Rechte Besitzt.
Persönlich würde ich aber einem User der ein Notebook hat, immer lokale Adminrechte geben. Weil die oftmals schlecht zu erreichen sind und sich so erst mal über Wasser halten können.
Zitat von @skibby:
Persönlich würde ich aber einem User der ein Notebook hat, immer lokale Adminrechte geben.
Persönlich würde ich aber einem User der ein Notebook hat, immer lokale Adminrechte geben.
aua
Ich dachte, hier schreiben gestandene Admins und keine gestrandeten Bäcker...
Zwischen dem was ich dem Persönlich geben würde und was ich auf der Arbeit mache, sind eben zwei Seiten. Deswegen steht da ja auch "persönlich". Natürlich gebe ich keinen Kunden Lokale Adminrechte nur weil er ein Notebook hat. Versuch das nur mal der Geschäftsführung zu erzählen. Immerhin zahlt diese ja meine Rechnungen :o)
Mal davon abgesehen kann ich es nicht verstehen warum man sich noch nicht die Frage gestellt hat: Wieso ist das Teil nicht fertig konfiguriert?
Hätte da mal jemand seine Arbeit fertig/richtig gemacht, würde dieses Problem nicht existieren.
Mal davon abgesehen kann ich es nicht verstehen warum man sich noch nicht die Frage gestellt hat: Wieso ist das Teil nicht fertig konfiguriert?
Hätte da mal jemand seine Arbeit fertig/richtig gemacht, würde dieses Problem nicht existieren.
Zitat von @schuhmann:
Da hast du nicht ganz unrecht.
Dann müsstest du dir ne exe basteln mir hard codiertem Adminkennwort dass per Runas dein Prog aufruft und direkt das Adminpw
mitgibt.
Da hast du nicht ganz unrecht.
Dann müsstest du dir ne exe basteln mir hard codiertem Adminkennwort dass per Runas dein Prog aufruft und direkt das Adminpw
mitgibt.
Nein -
- ein simples starten aller Anwendungen vor der Ausgabe des Notebooks
- regelmäßiges erscheinen der ausgegebenen Noteboosk im Firmenlan / sei es echt oder über VPN
- oder andersherum patchmanagement
sind die Punkte, an denen jeder nicht Bäcker zuerst ansetzen wird und am schnellsten am ziel ankommt.
Gruß
Moin, also bei uns ist das mit den Lehrernotebooks so ähnlich. Aber wir haben die Sicherheitssoftware HDGuard --> Der Notebookaccount hat lokale Adminrechte, sodass die Lehrer alles installieren können. Eigentlich ist alles nötige drauf, aber manchmal braucht man was bestimmtes. Solange befinden sich die Rechner im sog. Seminarmodus, alle Daten bleiben erhalten. Wenn der Lehrer den Notebook wieder in der Schule abgibt, also ins Fach legt, wird er nochmal hochgefahren und einfach neugestartet, sodass er wieder sauber ist für den nächsten. Soll eine Software für immer drauf, dann muss ich das machen.
Grüße
Grüße
Hallöchen.
Das Szenario ist schon abwegig: Wird Office tatsächlich nicht komplett installiert bei Euch auf Rechnern ohne Adminrechten? Egal.
Basteln kann man eine ganze Menge. Ich würde an Deiner Stelle aber vorher klarstellen, wie es mit dem Schutzbedürfnis Eurer Rechner aussieht - bei strengen und ernst gemeinten Vorgaben kann man da nicht viel machen ohne zu riskieren, dass sich der Nutzer die Adminrechte dauerhaft aneignet.
Eine Möglichkeit des Installierens von Anwendungen ohne Adminrechte, welche tatsächlich sicher ist und auch von MS vorgesehen, ist das Veröffentlichen von Anwendungen über GPOs. Veröffentlichte Anwendugen findet der Anwender bereit zur Installation unter appwiz.cpl - Anwendungen vom Netzwerk installieren. Dies läuft nur mit Verbindung zur Domäne.
Ohne Verbindung kann man nur Lösungen basteln, die allesamt umgangen werden können.
Das Szenario ist schon abwegig: Wird Office tatsächlich nicht komplett installiert bei Euch auf Rechnern ohne Adminrechten? Egal.
Basteln kann man eine ganze Menge. Ich würde an Deiner Stelle aber vorher klarstellen, wie es mit dem Schutzbedürfnis Eurer Rechner aussieht - bei strengen und ernst gemeinten Vorgaben kann man da nicht viel machen ohne zu riskieren, dass sich der Nutzer die Adminrechte dauerhaft aneignet.
Eine Möglichkeit des Installierens von Anwendungen ohne Adminrechte, welche tatsächlich sicher ist und auch von MS vorgesehen, ist das Veröffentlichen von Anwendungen über GPOs. Veröffentlichte Anwendugen findet der Anwender bereit zur Installation unter appwiz.cpl - Anwendungen vom Netzwerk installieren. Dies läuft nur mit Verbindung zur Domäne.
Ohne Verbindung kann man nur Lösungen basteln, die allesamt umgangen werden können.
Hallo,
vorweg: Hab selten sowas abwegiges gelesen, und hier liest man ja so einiges.
Aber: Du solltest mal folgende Fragen stellen:
Warum haben die Benutzer nicht standardmässig lokale Adminrechte? Wenn Du dafür einen Grund bekommst, dann frag ob diese Gründe in der zu vergebenden Zeit nicht möglich sind.
Sollte diese Frage mit "nein" beantwortet werden lügt dich jemand an (Begründung: wenn jemand administrative Rechte auf einem Windowssystem hat ist es nahezu unmöglich diese Zeit zu begrenzen).
Sollte die Frage mit "ja" beantwortet werden so frage wie den sichergestellt werden soll das der Benutzer im Garten tatsächlich Powerpoint installiert und nicht einen der Ursprungsgründe ausführt.
Sollte für die letzte Frage tatsächlich eine sinnvolle Antwort möglich sein (was ich bezweifel) finde ich auch eine Lösung für Dein Problem.
vorweg: Hab selten sowas abwegiges gelesen, und hier liest man ja so einiges.
Aber: Du solltest mal folgende Fragen stellen:
Warum haben die Benutzer nicht standardmässig lokale Adminrechte? Wenn Du dafür einen Grund bekommst, dann frag ob diese Gründe in der zu vergebenden Zeit nicht möglich sind.
Sollte diese Frage mit "nein" beantwortet werden lügt dich jemand an (Begründung: wenn jemand administrative Rechte auf einem Windowssystem hat ist es nahezu unmöglich diese Zeit zu begrenzen).
Sollte die Frage mit "ja" beantwortet werden so frage wie den sichergestellt werden soll das der Benutzer im Garten tatsächlich Powerpoint installiert und nicht einen der Ursprungsgründe ausführt.
Sollte für die letzte Frage tatsächlich eine sinnvolle Antwort möglich sein (was ich bezweifel) finde ich auch eine Lösung für Dein Problem.
damit ich auch meinen Senf dazugeben kann:
ich war mal Mitarbeiter einer IT-Hotline für einen großen Baudienstleister.
Dort konnte man für Notebooks "lokale Adminrchte" beantragen, aber: wenn ein Fehler entstanden ist, welcher nachweislich nicht durch normales benutzen entstanden ist, wird die Bereinigung des Systemes komplett der Person > Abteilung > Leitung in Rechnung gestellt ...
Wenn die mal nach Konbuckto gereist sind und kein UMTS bekommen oder das gestört ist, schon ###e!
Dann noch @DerWoWusste nachgesagt: Dort gibt es eine sog. Softwareverteilung nicht, zwar nicht über GPO gelöst [nähere Details egal], aber sowas wie jetzt Office etc. Standardprogramme sind vom Start aus komplett installiert.
Und aus datenschutztechnischen Gründen haben die Leute, die keine lok AdminR haben am Notebook, egal wo sie sind, das P halt.
die Lösung von @42687 kenn ich jetzt nur, dass nach jedem Neustart der Rechner in einem vorher definiertem Zustand ist (...) Gibt es als Steckkarte für Desktops!
Um einen Abschluss zufinden:
es geht nur eins ... und ordentliche Admins ... machen es ordentlich, und Bäcker machen es nach @60730 sowieso immer anders ;)
ich war mal Mitarbeiter einer IT-Hotline für einen großen Baudienstleister.
Dort konnte man für Notebooks "lokale Adminrchte" beantragen, aber: wenn ein Fehler entstanden ist, welcher nachweislich nicht durch normales benutzen entstanden ist, wird die Bereinigung des Systemes komplett der Person > Abteilung > Leitung in Rechnung gestellt ...
Wenn die mal nach Konbuckto gereist sind und kein UMTS bekommen oder das gestört ist, schon ###e!
Dann noch @DerWoWusste nachgesagt: Dort gibt es eine sog. Softwareverteilung nicht, zwar nicht über GPO gelöst [nähere Details egal], aber sowas wie jetzt Office etc. Standardprogramme sind vom Start aus komplett installiert.
Und aus datenschutztechnischen Gründen haben die Leute, die keine lok AdminR haben am Notebook, egal wo sie sind, das P halt.
die Lösung von @42687 kenn ich jetzt nur, dass nach jedem Neustart der Rechner in einem vorher definiertem Zustand ist (...) Gibt es als Steckkarte für Desktops!
Um einen Abschluss zufinden:
es geht nur eins ... und ordentliche Admins ... machen es ordentlich, und Bäcker machen es nach @60730 sowieso immer anders ;)
die Lösung von @42687 kenn ich jetzt nur, dass nach jedem Neustart der Rechner in einem vorher definiertem Zustand ist
(...) Gibt es als Steckkarte für Desktops!
Stellt euch vor ihr seid im Zug und braucht für
irgendeine Aufgabe Admin-Rechte, gibts da ein Programm welches den User dazu bewegt den Admin zu kontaktieren und ein Passwort zu
verlangen welches in das Programm eingegeben wird???
Auch im Zug kann man per VPN mit dem FirmenLAN verbunden sein - Du hast also immer noch nicht die Frage beantwortet - offline oder online
Du hast einen kompletten Denkfehler - wie soll WIN überprüfen, ob der User (noch) Admin ist? (und das Passwort des Users korrekt ist?)- deshalb geht sowas nur online (ggf. mit VPN).
Gruß
24
Auch wenn der letzte Beitrag schon etwas her ist...gebe ich mal meinen Senf dazu.
Ja, es gibt eine Software mit der man (auch ohne VPN Tunnel/Internetzugang) Admin-Rechte vergeben kann.
Die Software lautet: Avecto Privilege Guard
Lässt sich per GPO administrieren, braucht aber keine ständige Verbindung zum Server!
Es lassen sich lokale Drucker installieren, Netzwerkkarten konfigurieren...ohne Adminrechte. Zudem lässt sich auch Software installieren (Whitelist) ohne Admin-Rechte und ... sehr interessant ... Software blocken (auch Portable Versionen).
Man kann auch zeitlich beschränkte Rechte vergeben und mitprotokollieren was der User damit getan hat...und sich dieses Protokoll per Mail zuschicken lassen.
Man kann aber auch einen anderen Weg gehen. Bei Win7 lassen sich Programme blocken. Also "lokale Admin Rechte" geben und entsprechend "unerwünschte" Software von vornerein blocken.
Ja, es gibt eine Software mit der man (auch ohne VPN Tunnel/Internetzugang) Admin-Rechte vergeben kann.
Die Software lautet: Avecto Privilege Guard
Lässt sich per GPO administrieren, braucht aber keine ständige Verbindung zum Server!
Es lassen sich lokale Drucker installieren, Netzwerkkarten konfigurieren...ohne Adminrechte. Zudem lässt sich auch Software installieren (Whitelist) ohne Admin-Rechte und ... sehr interessant ... Software blocken (auch Portable Versionen).
Man kann auch zeitlich beschränkte Rechte vergeben und mitprotokollieren was der User damit getan hat...und sich dieses Protokoll per Mail zuschicken lassen.
Man kann aber auch einen anderen Weg gehen. Bei Win7 lassen sich Programme blocken. Also "lokale Admin Rechte" geben und entsprechend "unerwünschte" Software von vornerein blocken.
Moin.
Noch etwas Ketchup zum verspäteteten Senf gefällig? ;)
Noch etwas Ketchup zum verspäteteten Senf gefällig? ;)
Es lassen sich lokale Drucker installieren
Geht auch mit GPOsNetzwerkkarten konfigurieren...ohne Adminrechte.
Geht über die Gruppe Netzwerkkonfigurationsoperatoren seit xpZudem lässt sich auch Softwareinstallieren (Whitelist) ohne Admin-Rechte
Geht wie beschrieben mit GPO App-Publishingund ... sehr interessant ... Software blocken (auch Portable Versionen).
Geht seit xp mit SRPsMan kann auch zeitlich beschränkte Rechte vergeben und mitprotokollieren was der User damit getan hat...und sich dieses
Protokoll per Mail zuschicken lassen.
DAS geht natürlich nicht mit BordmittelnProtokoll per Mail zuschicken lassen.
Man kann aber auch einen anderen Weg gehen. Bei Win7 lassen sich Programme blocken. Also "lokale Admin Rechte" geben und
entsprechend "unerwünschte" Software von vornerein blocken.
Das geht wie gesagt schon seit xp. Seit 7 gibt es (nur Edition Ultimate und Enterprse) nicht nur SRPs, sondern auch Applocker, welcher ein verbessertes SRP ist.entsprechend "unerwünschte" Software von vornerein blocken.