11
Wie normalen Benutzern Vollzugriff auf USB sticks inkl. Format etc. ermöglichen
Hallo,
wir haben die Notwendigkeit daß wir unseren Technikern die Möglichkeit geben müssen bootbare USB sticks zu erstellen.
Sei es mit Rufus, USB Image Tool oder speziellen Tools.
alle Laptops: W10_1909
-
Bis jetzt habe ich es folgendermaßen gelöst:
Die Techniker haben spezielle "Technik Laptops", sie sind nicht in in dem internen AD, haben also keinerlei Zugriff auf das normale interne Netz.
Die Laptops haben einen lokalen Benutzeraccount und einen lokalen Administratoraccount. Die Techniker kennen beide Passwörter.
Sie melden sich mit ihrem Benutzeraccount an und wenn sie einen USB stick erstellen müssen, müssen sie das entsprechende Programm halt mit " Run as administrator" durchführen.
-
Ich will / muß jetzt aber auch den Betriebsleitern bzw. Haupttechnikern die Möglichkeit geben auf ihren normalen (im internen Netz stehenden) Laptops die Möglichkeit geben diese USB sticks zu erstellen.
Da ist die Option diesen Mitarbeitern das Arbeiten mit " Run as administrator" zu ermöglichen nicht gewollt.
Kennt ihr andere Lösungen oder Best Practice ?
CH
wir haben die Notwendigkeit daß wir unseren Technikern die Möglichkeit geben müssen bootbare USB sticks zu erstellen.
Sei es mit Rufus, USB Image Tool oder speziellen Tools.
alle Laptops: W10_1909
-
Bis jetzt habe ich es folgendermaßen gelöst:
Die Techniker haben spezielle "Technik Laptops", sie sind nicht in in dem internen AD, haben also keinerlei Zugriff auf das normale interne Netz.
Die Laptops haben einen lokalen Benutzeraccount und einen lokalen Administratoraccount. Die Techniker kennen beide Passwörter.
Sie melden sich mit ihrem Benutzeraccount an und wenn sie einen USB stick erstellen müssen, müssen sie das entsprechende Programm halt mit " Run as administrator" durchführen.
-
Ich will / muß jetzt aber auch den Betriebsleitern bzw. Haupttechnikern die Möglichkeit geben auf ihren normalen (im internen Netz stehenden) Laptops die Möglichkeit geben diese USB sticks zu erstellen.
Da ist die Option diesen Mitarbeitern das Arbeiten mit " Run as administrator" zu ermöglichen nicht gewollt.
Kennt ihr andere Lösungen oder Best Practice ?
CH
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 566650
Url: https://administrator.de/contentid/566650
Printed on: April 18, 2024 at 19:04 o'clock
11 Comments
Latest comment
Hallo ChriBo,
das wird leider so nicht möglich sein, ohne anderweitig ein Riesentor zu öffnen.
Grüße
das wird leider so nicht möglich sein, ohne anderweitig ein Riesentor zu öffnen.
Grüße
Moin,
meine fünf Cent:
Usern, denen Du erlaubst, bootfähige Sticks zu erzeugen und zu benutzen, denen kannst Du auch das lokale Admin-PW geben. Die haben nämlich einerseits die Mittel und andererseits wahrscheinlich auch die Kenntnisse, wie sie auch ohne das PW in den Rechner einbrechen können.
Einfachen Usern zu erlauben, solche Sticks zu erstellen, reißt m. E. ein größeres Sicherheitsloch auf als die Kenntnis des PWs, das man beim Start von Rufus & Co. eingeben muss. Und Usern, denen ich nicht zutraue, dass sie damit umgehen können, denen würde ich auch nicht erlauben, solche Sticks zu erstellen.
Liebe Grüße
Erik
meine fünf Cent:
Usern, denen Du erlaubst, bootfähige Sticks zu erzeugen und zu benutzen, denen kannst Du auch das lokale Admin-PW geben. Die haben nämlich einerseits die Mittel und andererseits wahrscheinlich auch die Kenntnisse, wie sie auch ohne das PW in den Rechner einbrechen können.
Einfachen Usern zu erlauben, solche Sticks zu erstellen, reißt m. E. ein größeres Sicherheitsloch auf als die Kenntnis des PWs, das man beim Start von Rufus & Co. eingeben muss. Und Usern, denen ich nicht zutraue, dass sie damit umgehen können, denen würde ich auch nicht erlauben, solche Sticks zu erstellen. Liebe Grüße
Erik
Hi ChriBo,
so eine (schwachsinnige) Anfrage habe ich auch schon mal von "IT-Fremden" Vorgesetzten bekommen. Es geht nicht.
Wenn keine lokale Benutzer gewünscht sind kann man den Leuten jeweils ein zweites AD-Konto einrichten und dieses in die lokale Admingruppe der Notebooks eintragen, so haben wir das gelöst.
Viele Grüße
FM
so eine (schwachsinnige) Anfrage habe ich auch schon mal von "IT-Fremden" Vorgesetzten bekommen. Es geht nicht.
Wenn keine lokale Benutzer gewünscht sind kann man den Leuten jeweils ein zweites AD-Konto einrichten und dieses in die lokale Admingruppe der Notebooks eintragen, so haben wir das gelöst.
Viele Grüße
FM
Die Kiste mit knoppix ode rmti WindowsToGo von Stick booten und dann den Bootstick estellen.
lks
PS: Waschen ohne Naßmachen geht nciht. Wenn zum Erstellen des Sticks Adminrechte benöigt werden, muß man das den Leuten geben oder eine Extra-Kiste dafür hinstellen. Oder Du baust Dir einen Automaten, der die Aufträge per Netzwerk bekommt und auf den Stick per Knopfdruck schreibt.
Oder Zentral im Büro eine USB-würdige Kiste hinstellen, die User dürfen ruhig mal aufstehen und müssen nicht alles von ihren Notebooks machen.
Selbstverständlich geht das. Die Frage ist nur, ob Ihr in der Lage seid, Euch das zurechtzubauen.
Man kann alles per Skript machen. Und das Skript kann von Tasks gestartet werden, in denen das Systemkonto handelt Und die Tasks widerrum können von normalen Usern startbar gemacht werden, sogar auf sichere Weise.
Du musst nun rausfinden, wie die Syntax der Kommandos ist und diese dann nur gegen das jeweilige ISO laufen lassen.
Wenn Du das geschafft hast, kann ich Dir das mit den Tasks zeigen. Ich habe dazu einen Artikel geschrieben, in dem auch auf alle Wenn und Abers eingegangen wird: https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
Man kann alles per Skript machen. Und das Skript kann von Tasks gestartet werden, in denen das Systemkonto handelt Und die Tasks widerrum können von normalen Usern startbar gemacht werden, sogar auf sichere Weise.
Du musst nun rausfinden, wie die Syntax der Kommandos ist und diese dann nur gegen das jeweilige ISO laufen lassen.
Wenn Du das geschafft hast, kann ich Dir das mit den Tasks zeigen. Ich habe dazu einen Artikel geschrieben, in dem auch auf alle Wenn und Abers eingegangen wird: https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
Das widerspricht sich aber mit dem impliziten Hintergrund, dass es wohl nicht immer dieselben ISO sind...
Nein. Du kannst ein Skript doch einstellen, mit c:\test\some.iso zu arbeiten. Und dann wird eben das jeweilige ISO immer dort als some.iso hingespeichert.
Danke,
das sieht vielversprechend aus.
da werde ich mich mal einarbeiten.
Könnte ggf. eine Lösung für zukünftige Arbeitsstationen werden.
CH
das sieht vielversprechend aus.
da werde ich mich mal einarbeiten.
Könnte ggf. eine Lösung für zukünftige Arbeitsstationen werden.
CH
Danke für das Feedback von Euch.
Ich hatte gehofft daß es eine einfache und wartungsarme Lösung für meine Anforderung gibt und einer von Euch sie kennt.
Wahrscheinlich wird es auf eigenständige Arbeitsstationen in den einzelnen Betrieben herauslaufen.
Gruß
CH
Ich hatte gehofft daß es eine einfache und wartungsarme Lösung für meine Anforderung gibt und einer von Euch sie kennt.
Wahrscheinlich wird es auf eigenständige Arbeitsstationen in den einzelnen Betrieben herauslaufen.
Gruß
CH
Wenn Du meinst...
Ein Skript ist schnell ergoogelt. Ich denke da z.B an das Skript zum Selbstbau eines bootfähigen USB-Windows, Google mal windows2go Eigenbau.
Ein Skript ist schnell ergoogelt. Ich denke da z.B an das Skript zum Selbstbau eines bootfähigen USB-Windows, Google mal windows2go Eigenbau.
