17
User auf Server Install-Rechte geben
Hi,
ich möchte auf mehreren W2016 Servern einem bestimmten User das Recht zum Installieren von Programmen geben. Er soll jedoch nicht auf andere Bereiche des Servers zugreifen.
Ich habe den User als Hauptbenutzer bei den entsprechenden Systemen eingestellt, jedoch hilft das nicht.
Vollen Admin möchte ich dem User auf den Systemen ungern geben, da dort teilweise noch zusätzliche Daten liegen.
Gibt es eine weitere Möglichkeit das einzustellen?
Danke
Gruß
ich möchte auf mehreren W2016 Servern einem bestimmten User das Recht zum Installieren von Programmen geben. Er soll jedoch nicht auf andere Bereiche des Servers zugreifen.
Ich habe den User als Hauptbenutzer bei den entsprechenden Systemen eingestellt, jedoch hilft das nicht.
Vollen Admin möchte ich dem User auf den Systemen ungern geben, da dort teilweise noch zusätzliche Daten liegen.
Gibt es eine weitere Möglichkeit das einzustellen?
Danke
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 419762
Url: https://administrator.de/contentid/419762
Printed on: April 25, 2024 at 08:04 o'clock
17 Comments
Latest comment
Nein.
Ein Admin ist ein Admin ist ein Admin.
Gruss Penny
Ein Admin ist ein Admin ist ein Admin.
Gruss Penny
Grundsätzlich bietet microsoft für Szenarien bei denen der User eingeschränke Adminrechte benötigt das JEA Modell
https://docs.microsoft.com/de-de/powershell/jea/overview
Aber das wird hautpsächlich dazu benutzt dem User skripte zur verfügung zu stellen, die zwar mit adminrechten laufen, aber eben nur das machen können was im skript vorgesehen ist (also, sofern der user es nicht exploitet
)
Aber Software installieren heißt ja eigentlich "beliebige .exe Dateien mit vollen adminrechten ausführen" - man könnte das zwar oberflächlich irgendwie restriktieren - aber schlussendlich bleibt die logik ja "führe etwas aus was dannach alles mögliche machen kann" - bin da pessimistisch ob man das sinnvoll konfigurieren könnte
https://docs.microsoft.com/de-de/powershell/jea/overview
Aber das wird hautpsächlich dazu benutzt dem User skripte zur verfügung zu stellen, die zwar mit adminrechten laufen, aber eben nur das machen können was im skript vorgesehen ist (also, sofern der user es nicht exploitet
)Aber Software installieren heißt ja eigentlich "beliebige .exe Dateien mit vollen adminrechten ausführen" - man könnte das zwar oberflächlich irgendwie restriktieren - aber schlussendlich bleibt die logik ja "führe etwas aus was dannach alles mögliche machen kann" - bin da pessimistisch ob man das sinnvoll konfigurieren könnte
Ich meine die Gruppe Hauptbenutzer ist nur noch zwecks Abwärtskompatibilität vorhanden.
Gruss Penny
Gruss Penny
1
Moin,
Nein, das möchtest Du nicht, weil
Du das dann nicht sicher verhindern kannst.
Warum soll denn ein User auf dem Server was installieren dürfen?
hth
Erik
Zitat von @killtec:
ich möchte auf mehreren W2016 Servern einem bestimmten User das Recht zum Installieren von Programmen geben.
ich möchte auf mehreren W2016 Servern einem bestimmten User das Recht zum Installieren von Programmen geben.
Nein, das möchtest Du nicht, weil
Er soll jedoch nicht auf andere Bereiche des Servers zugreifen.
Du das dann nicht sicher verhindern kannst.
Warum soll denn ein User auf dem Server was installieren dürfen?
hth
Erik
Geht auf keinen Fall ohne Drittanbieter-Software.
Zu nennen ist da https://www.beyondtrust.com/endpoint-privilege-management/desktops
Zu nennen ist da https://www.beyondtrust.com/endpoint-privilege-management/desktops
Hallo
Bei mir war die Anforderung mal, das gewisse Benutzer auf den Workstations Installationen durchführen können.
Ich hatte das seinerzeit mal folgendermassen gelöst:
- Auf der Workstation den lokalen Administrator aktiviert
Edit: Stimmt nicht, den Domänenadmin auf der Workstation zu der Gruppe Administratoren hinzugefügt
- Den Benutzer im AD temporär zu den Administratoren hinzugefügt
- Nach der Installation den User wieder aus der AD-Gruppe Administratoren entfernt
Gruss
Bei mir war die Anforderung mal, das gewisse Benutzer auf den Workstations Installationen durchführen können.
Ich hatte das seinerzeit mal folgendermassen gelöst:
- Auf der Workstation den lokalen Administrator aktiviert
Edit: Stimmt nicht, den Domänenadmin auf der Workstation zu der Gruppe Administratoren hinzugefügt
- Den Benutzer im AD temporär zu den Administratoren hinzugefügt
- Nach der Installation den User wieder aus der AD-Gruppe Administratoren entfernt
Gruss
Zitat von @Meierjo:
Hallo
Bei mir war die Anforderung mal, das gewisse Benutzer auf den Workstations Installationen durchführen können.
Ich hatte das seinerzeit mal folgendermassen gelöst:
- Auf der Workstation den lokalen Administrator aktiviert
Edit: Stimmt nicht, den Domänenadmin auf der Workstation zu der Gruppe Administratoren hinzugefügt
- Den Benutzer im AD temporär zu den Administratoren hinzugefügt
- Nach der Installation den User wieder aus der AD-Gruppe Administratoren entfernt
Gruss
Hallo
Bei mir war die Anforderung mal, das gewisse Benutzer auf den Workstations Installationen durchführen können.
Ich hatte das seinerzeit mal folgendermassen gelöst:
- Auf der Workstation den lokalen Administrator aktiviert
Edit: Stimmt nicht, den Domänenadmin auf der Workstation zu der Gruppe Administratoren hinzugefügt
- Den Benutzer im AD temporär zu den Administratoren hinzugefügt
- Nach der Installation den User wieder aus der AD-Gruppe Administratoren entfernt
Gruss
Hallo
Auf nem Client Adminrechte gewähren, indem du den AD-User zum Domainadmin hochstufst temporär? Heißes Eisen. Warum nicht den Domainuser in die Gruppe der lokalen Admins heben?
Gruß Mikro
Hi,
es geht im Grunde darum, dass er genau ein Programm aktualisieren muss, mehr soll er da nicht machen.
Möchte aber ungern dem User kompletten Admin auf dem System geben. Genauer geht es um 4 Systeme wo teils User-Daten zusätzlich drauf liegen.
Gruß
es geht im Grunde darum, dass er genau ein Programm aktualisieren muss, mehr soll er da nicht machen.
Möchte aber ungern dem User kompletten Admin auf dem System geben. Genauer geht es um 4 Systeme wo teils User-Daten zusätzlich drauf liegen.
Gruß
Zitat von @killtec:
Hi,
es geht im Grunde darum, dass er genau ein Programm aktualisieren muss, mehr soll er da nicht machen.
Möchte aber ungern dem User kompletten Admin auf dem System geben. Genauer geht es um 4 Systeme wo teils User-Daten zusätzlich drauf liegen.
Ja und wo ist das Problem? - Wenn es ein externer Dienstleister ist, muss er ohnehin die Verschwiegenheitserklärung / Datenschutzerklärung unterschreiben.Hi,
es geht im Grunde darum, dass er genau ein Programm aktualisieren muss, mehr soll er da nicht machen.
Möchte aber ungern dem User kompletten Admin auf dem System geben. Genauer geht es um 4 Systeme wo teils User-Daten zusätzlich drauf liegen.
Und wenn es so kritisch ist, dann macht der Dienstleister es halt in Begleitung eine internen MAs.
Nixx für ungut, wenn jeder so handeln / denken würde, dürfte kein externer Dienstleister an die Systeme ran.
Entweder vertraue ich dem Dienstleister, oder es steht ein interner MA zur Kontrolle an der Seite.
Gruß
Gruss Penny
Hi,
nein, es ist ein interener MA, jedoch kein IT'ler, daher will ich das so dicht wie möglich machen.
Gruß
nein, es ist ein interener MA, jedoch kein IT'ler, daher will ich das so dicht wie möglich machen.
Gruß
Gib ihm eine VM, da kann er schalten und walten wie er lustig ist.
Ein Admin bleibt ein Admin, .....
Ein Admin bleibt ein Admin, .....
In aller Deutlichkeit: es gibt unter Windows KEINE separaten Installationsrechte.
Wer installieren will, muss Admin sein.
Das Einzige, was Windows-Domänen hier für Nicht-Admins anbieten, sind Installationen bei Bedarf. Dazu müsste jedoch der Domänenadmin im Vorfeld die Anwendungen als MSI-Pakete bereitstellen ("MSI publishing"), was vermutlich für deine Zwecke nicht passt.
Wer installieren will, muss Admin sein.
Das Einzige, was Windows-Domänen hier für Nicht-Admins anbieten, sind Installationen bei Bedarf. Dazu müsste jedoch der Domänenadmin im Vorfeld die Anwendungen als MSI-Pakete bereitstellen ("MSI publishing"), was vermutlich für deine Zwecke nicht passt.
Moin,
um es mal ganz klar zu sagen:
Das geht nicht, weil
das notwendig wäre und Du es aus dem Grund nicht darfst, denn
das wäre ein schwerer Verstoß gegen den Datenschutz, wenn einfache User Zugriff auf schützenswerte Daten bekämen.
Liebe Grüße
Erik
um es mal ganz klar zu sagen:
Zitat von @killtec:
es geht im Grunde darum, dass er genau ein Programm aktualisieren muss, mehr soll er da nicht machen.
es geht im Grunde darum, dass er genau ein Programm aktualisieren muss, mehr soll er da nicht machen.
Das geht nicht, weil
Möchte aber ungern dem User kompletten Admin auf dem System geben.
das notwendig wäre und Du es aus dem Grund nicht darfst, denn
Genauer geht es um 4 Systeme wo teils User-Daten zusätzlich drauf liegen.
das wäre ein schwerer Verstoß gegen den Datenschutz, wenn einfache User Zugriff auf schützenswerte Daten bekämen.
Liebe Grüße
Erik
Hllo Mikro
Ja, klar, ist ein heisses Eisen.
Aber da der User nur temporär Admin-Rechte hat, finde ich es überschaubar. Kommt halt auf die Betriebsgrösse (Anzahl User) an, aber eine andere Möglichkeit sehe ich nicht
Gruss
Ja, klar, ist ein heisses Eisen.
Aber da der User nur temporär Admin-Rechte hat, finde ich es überschaubar. Kommt halt auf die Betriebsgrösse (Anzahl User) an, aber eine andere Möglichkeit sehe ich nicht
Gruss
HI,
danke für eure Antworten. Ich werde es erstmal so machen, dass der User das nicht kann.
Gruß
danke für eure Antworten. Ich werde es erstmal so machen, dass der User das nicht kann.
Gruß
Moin,
Die einzig vernünftige Möglichkeit ist, dass der Admin seine Arbeit macht bzw. machen darf. Usern Domainadminrechte zu geben ist wie einem zehnjährigen den Schlüssel zum Ferrari zu geben und ihn auf die Autobahn zu schicken. Echt jetzt. Das geht dann so schnell, dass der Server voll gegen die Wand gefahren ist und nichts mehr funktioniert, dass man das auf jeden Fall und unter allen Umständen lassen sollte.
Liebe Grüße
Erik
Zitat von @Meierjo:
Aber da der User nur temporär Admin-Rechte hat, finde ich es überschaubar. Kommt halt auf die Betriebsgrösse (Anzahl User) an, aber eine andere Möglichkeit sehe ich nicht
Aber da der User nur temporär Admin-Rechte hat, finde ich es überschaubar. Kommt halt auf die Betriebsgrösse (Anzahl User) an, aber eine andere Möglichkeit sehe ich nicht
Die einzig vernünftige Möglichkeit ist, dass der Admin seine Arbeit macht bzw. machen darf. Usern Domainadminrechte zu geben ist wie einem zehnjährigen den Schlüssel zum Ferrari zu geben und ihn auf die Autobahn zu schicken. Echt jetzt. Das geht dann so schnell, dass der Server voll gegen die Wand gefahren ist und nichts mehr funktioniert, dass man das auf jeden Fall und unter allen Umständen lassen sollte.
Liebe Grüße
Erik
Moin,
Unser Verfahren in einem ähnlich gelagerten Fall:
Der User hat die Hoheit über die Updates der Spezialsoftware, weil er am Besten beurteilen kann, wann das passieren soll und welche Funkstionsupdates notwendig sind. Wenn der User ein Update machen möchte, dann schreibt er uns eine kurze Mail und bittet höflich um das, wie er sich immer ausdrückt, Zauberwort. Dann geht einer von uns rüber, klickt im UAC auf OK und gibt das Adminpasswort ein. Ein Moment warten, ob alles klappt, Terminalserver neu starten und gut ist. Das ist m. E. der einzig vernünftige Weg, auch wenn das ein wenig nervig ist.
hth
Erik
Zitat von @killtec:
danke für eure Antworten. Ich werde es erstmal so machen, dass der User das nicht kann.
danke für eure Antworten. Ich werde es erstmal so machen, dass der User das nicht kann.
Unser Verfahren in einem ähnlich gelagerten Fall:
Der User hat die Hoheit über die Updates der Spezialsoftware, weil er am Besten beurteilen kann, wann das passieren soll und welche Funkstionsupdates notwendig sind. Wenn der User ein Update machen möchte, dann schreibt er uns eine kurze Mail und bittet höflich um das, wie er sich immer ausdrückt, Zauberwort. Dann geht einer von uns rüber, klickt im UAC auf OK und gibt das Adminpasswort ein. Ein Moment warten, ob alles klappt, Terminalserver neu starten und gut ist. Das ist m. E. der einzig vernünftige Weg, auch wenn das ein wenig nervig ist.
hth
Erik
