Eratum Geschrieben 5. Februar 2014 Teilen Geschrieben 5. Februar 2014 Tach allerseits, ich habe Nutzer die auf einem Windows 7 ein Programm verwenden wollen/müssen, welches Datenträger im Format HFS+ formatiert. Dieses Programm benötigt administrative Ausführungsberechtigungen. Da ich meinen Nutzern nicht einfach administrative Rechte geben kann, suche ich nach einem Weg/Trick/einer Lösung wie diese das Programm trotzdem verwenden können. Ich dachte ja, ich kann dem Programm als Administrator irgendwie sagen "Starte mal egal wer sich anmeldet" ... Was ich bereits probiert habe: Versuch über GPO die Berechtigung zum Wechseldatenträger formatieren für die Benutzer zu setzen. Ausführung des Programms über die Aufgabenplanung ("mit erhöhten Rechten"). Sehr viel mehr hab' ich irgendwie grad nicht im petto...Entweder stehe ich komplett auf dem Schlauch oder die Lösung ist doch komplizierter als ich dachte. Also, wenn einer 'ne Idee hat wie ich ein Programm welches Administrative Rechte erfordert als Benutzer und ohne Eingabe von Administratorkennungen auszuführen => immer raus damit Danke Schonmal... Gruß Eratum P.s.: RUNAS mit hinterlegen von Adminpassworten oder ähnlichen Späße sind natürlich ausgeschlossen... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Tiro Geschrieben 5. Februar 2014 Teilen Geschrieben 5. Februar 2014 Es gäbe RunAs Professional oder die Königslösung "BeyondTrust mit PowerBroker für Windows". Beides kostenpflichtig. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SilentDemise Geschrieben 5. Februar 2014 Teilen Geschrieben 5. Februar 2014 kurze Antwort: Das entspricht nicht dem security Modell von Windows 7 geht nicht. Bei solchen Tools, wie von Tiro vorgeschlagen wäre ich sehr vorsichtig und skeptisch. Lange Antwort: Die meisten Tools erfordern gar nicht wirklich Admin Rechte. Hier reicht es oftmals diese außerhalb von Program Files zu installieren und den Usern full access auf den Pfad, den Registry Pfad und den Ressourcen zu geben, die das Tool bearbeiten soll. Es wäre also eine Option zu testen, auf welche geschützten Ressourcen das Tool zugreift. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Eratum Geschrieben 5. Februar 2014 Autor Teilen Geschrieben 5. Februar 2014 Hrm...danke erstmal soweit...Ich werd' mir bei Gelegenheit mal anschauen worauf das Tool so zugreifen will... Ähnliches wie Silents kurze Antwort geisterte mir bei mir auch schon im Kopf rum @Tiru: Verwendung von Drittanbietertools ist ausgeschlossen ^^ Sollte ich's dennoch irgendwie "von hinten durch die Brust" hinbekommen, werd' ich's mitteilen. Gruß Eratum Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 5. Februar 2014 Teilen Geschrieben 5. Februar 2014 Hmmm... man kann einem administrativen User die interaktive Anmeldung verbieten. Wirkt sich das dann auch auf runas aus? Habe es noch nie getestet... Gedankenspiel: User im AD anlegen, der lokale Adminrechte auf dem Rechner XYZ hat. Interaktive Anmeldung des Users verbieten, eventuell die NTFS-Rechte auch noch so verbiegen, dass der User nur noch auf den Ordner mit dem gewünschten Programm zugreifen kann. Tja, und dann versuchen, sich mit dem Useraccount via runas zu authentifizieren. Ist ein Gedankenspiel, das ich gerade beim Abendbierchen durchdenke. Keine Garantie, ob das funktioniert, denn ich mag jetzt nicht mehr eine Testmaschine vergurken. Problem: ein entsprechender Adminaccount kann sich hintenrum auch wieder Rechte beschaffen... Aus Kosten-Nutzen-Sicht: Erratum, jetzt mal ehrlich, wie oft müssen bei euch Datenträger auf HFS+ formatiert werden? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Eratum Geschrieben 6. Februar 2014 Autor Teilen Geschrieben 6. Februar 2014 Hrm...werd mich dann auch damt mal befassen. Danke Chief! In dem entsprechenden Fachbereich machen die das wohl öfter, frag' mich nicht warum... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Crash2001 Geschrieben 6. Februar 2014 Teilen Geschrieben 6. Februar 2014 Alternative Überlegung: Einfach einen Rechner da hinstellen, der weder an der Domäne, noch am Netzwerk angeschlossen ist, sondern standalone da rumsteht und das darauf machen. Alternativ halt nen alten Mac. Einen Mac kann man ja auch in eine Windows-Domäne reinbringen. Eventuell hätte dieser dann die Berechtigung, Datenträger mit HFS+ zu formatieren. Sollte doch eigentlich auch ausreichen, wenn ein dedizierter Rechner dafür vorhanden ist, oder? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SilentDemise Geschrieben 6. Februar 2014 Teilen Geschrieben 6. Februar 2014 Hmmm... man kann einem administrativen User die interaktive Anmeldung verbieten. Wirkt sich das dann auch auf runas aus? Habe es noch nie getestet... Gedankenspiel: User im AD anlegen, der lokale Adminrechte auf dem Rechner XYZ hat. Interaktive Anmeldung des Users verbieten, eventuell die NTFS-Rechte auch noch so verbiegen, dass der User nur noch auf den Ordner mit dem gewünschten Programm zugreifen kann. Tja, und dann versuchen, sich mit dem Useraccount via runas zu authentifizieren. Ist ein Gedankenspiel, das ich gerade beim Abendbierchen durchdenke. Keine Garantie, ob das funktioniert, denn ich mag jetzt nicht mehr eine Testmaschine vergurken. Problem: ein entsprechender Adminaccount kann sich hintenrum auch wieder Rechte beschaffen... Aus Kosten-Nutzen-Sicht: Erratum, jetzt mal ehrlich, wie oft müssen bei euch Datenträger auf HFS+ formatiert werden? wenn, dann lokaler admin account und dann über secpol.msc deny log on locally, deny log on as server und dann nur log on als batch freigeben, du kannst da recht fein einstellen, was der account alles darf und was nicht. letztendlich bleibt es aber ein Admin account und ist kein sonderlich schöner weg, da würde ich wie oben beschrieben lieber rausfinden, was das tool genau braucht. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
DaniH1991 Geschrieben 7. Februar 2014 Teilen Geschrieben 7. Februar 2014 Schreib dir doch ne Batch, die das Programm als Admin öffnet, beim ersten mal ausführen musst Du dann halt selbst das Adminkennwort eingeben, aber zukünftig merkt es sich das PW. Bsp: runas /env /savecred /user:domäne\Administrator "C:\Program Files\Internet Explorer\iexplore.exe" Grüße Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SilentDemise Geschrieben 7. Februar 2014 Teilen Geschrieben 7. Februar 2014 cool. Dann kannst den Leuten auch direkt die credentials geben. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
paperdoll Geschrieben 12. Februar 2014 Teilen Geschrieben 12. Februar 2014 Leider gibt es von dieser Art Admins zu viele auf dieser Welt. Ich erlebe das im Moment ständig... vor allem wenn es in Richtung Industrieanlagen Steuerung geht. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.