masterbaiter
Goto Top

In Remote Assistance Session Administratorabfrage umgehen.

Szenario:

Man nutzt Remote Assistance (MS Lync\SCCM Client Center Tool\TeamViewer) und möchte nun z.B. CMD als Administrator beim User ausführen, was passiert?
...Der Bildschirm wird schwarz!

Folgendes kann einem in dieser Situation aushelfen.
(Vorausgesetzt man ist Administrator und befindet sich in einer Domäne (Firmennetzwerk etc.) )
psexec.exe -s -i \\%Computername%/IP cmd
z.B.
psexec.exe -s -i \\LPC-LPBFD562 cmd
-s : Führt den Remoteprozess im Systemkonto aus.
-i : Führt das Programm so aus, dass es mit dem Desktop für die angegebene Sitzung auf dem Remotesystem interagiert.

Weitere Infos:
http://technet.microsoft.com/de-de/sysinternals/bb897553.aspx

Gruß

Content-ID: 240467

Url: https://administrator.de/knowledge/in-remote-assistance-session-administratorabfrage-umgehen-240467.html

Ausgedruckt am: 24.12.2024 um 13:12 Uhr

DerWoWusste
DerWoWusste 11.06.2014 um 02:23:50 Uhr
Goto Top
Hi.

Das geht auch einfacher, siehe http://technet.microsoft.com/en-us/library/dd851479.aspx
Auch in meiner Anleitung ist ein weiterer Weg, Einrichtung einer Fernwartung mit Bordmitteln unter Vista

Ob man wirklich eine Shell mit Systemrechten starten sollte, die mit der Nutzersitzung interagiert? Würde ich nicht empfehlen, da der Nutzer diese zu leicht ausnutzen könnte... kurz esc drücken, Kommando abfeuern und schon ist er selbst Admin.
MasterBaiter
MasterBaiter 11.06.2014 um 09:46:15 Uhr
Goto Top
Da gebe ich dir Recht.
Doch bei solchen Kandidaten sollte man dann lieber das -i weg lassen ;)
...
Deine Anleitung schau ich mir gerne an.

Danke
&
Gruß
jsysde
jsysde 11.06.2014 um 10:04:33 Uhr
Goto Top
Moin.

Ich bevorzuge auch den Weg über die RemoteAssistance, vor allem kann man diese Einstellungen prima per GPO erzwingen und hat dann zumindest intern keinen Stress mehr mit der UAC in der Remote-Session. Bei Kollegen, die "abroad" sind, scheitert die RA meist an fehlenden Port-Weiterleitungen; das einzig mir bekannte Tool, das zuverlässig mit der UAC umgehen kann, ist TeamViewer.

Die "einfachste" Methode ist natürlich die Verwendung von TeamViewer Host, der startet mit System-Rechten und gewährt dem Supporter vollen Zugriff auf alles - blöderweise läuft der Host immer mit und kann so auch "gekapert" werden (hier macht eine angepasste Installation mit längerem/sicherem Passwort durchaus Sinn). Aber auch mit dem QuickSupport-Tool von TeamViewer kann man UAC-Dialoge steuern:

User ruft an, braucht Hilfe. Du lässt ihn das (natürlich im Company-Design vorliegende *g*) QuickSupport-Tool herunterladen und starten. Er nennt dir seine ID, du baust eine Verbindung auf - und gibst dort _nicht!_ das vorgegebene Kennwort ein, sondern wählst "Windows" als Anmeldedaten. Hier gibst du nun die Anmeldedaten eines lokalen Admins auf der Maschine an und klickst ok, daraufhin startet der QuickSupport auf der Maschine neu. Nach ein paar Sekunden kannst du dich erneut verbinden und hast Admin-Rechte auf der Maschine, heisst: Du kannst UAC-Dialoge steuern und Anwendungen "Als Administrator ausführen".

Setzt eben ein wenig Vorarbeit vorraus, also das Anlegen eines lokalen User mit Admin-Rechten z.B. oder du musst mit einem Domänen-Account schon mal angemeldet gewesen sein etc.

Cheers,
jsysde
DerWoWusste
DerWoWusste 11.06.2014 um 10:15:01 Uhr
Goto Top
Hi jsysde.

Portweiterleitung kann doch RA-Easyconnect längst (seit Win7) auch.
MasterBaiter
MasterBaiter 11.06.2014 aktualisiert um 10:31:01 Uhr
Goto Top
Hai.

Im Großen und Ganzen kann man davon ausgehen das die Voraussetzungen in der IT-Struktur des Unternehmens gegeben sind und weitere Eingriffe in die GPO´s etc. nicht nötig/erwünscht sind.
Was auch die Installation von Software mit einschließt da dies vom SCCM/USMT erledigt wird.

TeamViewer ist eine feine Sache, doch ich kleiner IT´ler werde das Unternehmen wohl nicht dazu bewegen können die Lizenz dafür zu erwerben.
(Für die Nutzung vom TeamViewer in einem Firmennetzwerk ist eine Lizenz nötig).

In meinem Fall deckt SCCM Client Center alles ab, meist erfolgt der Support Onsite, Remote oder über vPro.

Und ich finde wenn mal Remote Assistance zum Einsatz kommt, kann PsExec äußerst nützlich sein.

Gruß
jsysde
jsysde 11.06.2014 um 10:32:52 Uhr
Goto Top
Moin.
Zitat von @DerWoWusste:

Hi jsysde.

Portweiterleitung kann doch RA-Easyconnect längst (seit Win7) auch.

Ist mir bewusst, funktioniert aber leider trotzdem nicht (immer) zuverlässig.

Cheers,
jsysde
jsysde
jsysde 11.06.2014 um 10:34:50 Uhr
Goto Top
Moin.
Zitat von @MasterBaiter:
[...]TeamViewer ist eine feine Sache, doch ich kleiner IT´ler werde das Unternehmen wohl nicht dazu bewegen können die
Lizenz dafür zu erwerben.
(Für die Nutzung vom TeamViewer in einem Firmennetzwerk ist eine Lizenz nötig).

In meinem Fall deckt SCCM Client Center alles ab, meist erfolgt der Support Onsite, Remote oder über vPro.[...]

Naja, diese Rechnung geht wohl nach hinten los, oder?
Die Lizensierung von TeamViewer ist um Längen günstiger als SystemCenter....

Davon abgesehen war mein Beitrag auch nicht als Kritik an deinem zu verstehen, mehr als Ergänzung - psexec hat mir schon mehr als einmal das Admin-Leben gerettet. face-wink

Cheers,
jsysde
MasterBaiter
MasterBaiter 11.06.2014 um 10:47:52 Uhr
Goto Top
Hatte ich auch nicht abwertend gemeint face-smile

...In der Tat würde das nach hinten losgehen und man müsste mal mit dem Finanzmanager ein ernstes Wörtchen reden.
Was ein Glück das SCCM zu mehr taugt als nur für´n popeligen Remote-Support ;)

Gruß