Ruhiges IT-Forum

Hallo, ich erstelle ein Paket für unsere Leih-PC-Flotte, um dem aktuellen Benutzer Administratorrechte zu geben.
Beim Ausführen von session-setup erhalte ich eine Zugriffsverweigerungsfehlermeldung. Wird session-setup nicht mit dem Systemkonto ausgeführt?
julianisch

Während einer Einrichtungssitzung ist es nicht verwunderlich, dass sich ein Benutzer nicht selbst zum Administratorkonto hinzufügen kann

Während der Installation möchten Sie Folgendes verwenden:
Aber in Ihrem Fall bedeutet das vermutlich, die Gruppe „Jeder“ zur Administratorengruppe hinzuzufügen….

Hallo, ja, tatsächlich war mir nicht bewusst, dass die Sitzungseinrichtung nicht das Systemkonto verwendet; das war in der Dokumentation nicht explizit erwähnt.
Gibt es eine Möglichkeit, einen Befehl mit dem Systemkonto über die Sitzungseinrichtung auszuführen? (Für welchen Zweck auch immer.)
Julien

Hallo jdziadek,

könnten Sie bitte Ihren Anwendungsfall genauer erläutern? Es scheint, als möchten Sie mit WAPT eine Art PAM-System (Privileged Access Management) implementieren.

Sind Ihre Leih-PCs bestimmten Benutzern zugeordnet?

Welche Aktionen sollen Ihre Benutzer mit einem Administratorkonto auf ihren Leih-PCs durchführen können?

Vielen Dank.

Hallo,
kurz gesagt: Wir haben 20 bis 30 Leih-PCs, die für maximal zwei Monate an Studierende oder Mitarbeitende verliehen werden. Wir möchten, dass die Nutzer die gewünschte Software selbst installieren können. Unsere WAPT-Infrastruktur befindet sich noch im Aufbau, daher ist die Softwareliste noch nicht umfangreich genug für alle Nutzer.
Sobald der PC vom Leihverwaltungsdienst zurückgerufen wird, installieren wir ihn über WADS neu.
Das Hinzufügen aller Benutzer zur Administratorgruppe funktioniert zwar, aber wir würden eine weniger drastische Lösung bevorzugen.
– Julien

jdziadek schrieb: ↑26. Mai 2023 - 18:32 Uhr Gibt es eine Möglichkeit, einen Befehl als Systemkonto über eine Sitzungseinrichtung auszuführen? (Für jeden beliebigen Zweck)

Dies ist besonders gefährlich; es würde bedeuten, dass ein nicht autorisierter Benutzer Wapt auffordern könnte, Code für ihn auszuführen.

Ein nützlicher Tipp ist jedoch, dass ein Benutzer während der Einrichtungssitzung eine Überprüfung anfordern kann:
Aber wie gesagt, es läuft im Endeffekt auf dasselbe hinaus, als würde man alle in die Administratorengruppe aufnehmen... das ändert nichts am Endergebnis.

Welche Software benötigen Sie, um Ihren Benutzern eingeschränkten Zugriff zu ermöglichen und ihnen die Installation ihrer Software im Self-Service-Modus zu gestatten?

Können wir zusammenarbeiten, um dieses Ziel zu erreichen?

vcardon schrieb: ↑30. Mai 2023 - 23:02 Uhr Welche Software benötigen Sie, um den Zugriff Ihrer Benutzer einzuschränken und ihnen die Möglichkeit zur Selbstinstallation von Software zu bieten?

Können wir bei der Erreichung dieses Ziels zusammenarbeiten?

Das Problem ist, dass wir es überhaupt nicht wissen; wir haben viele Lehrerforscher, die Software testen, um zu sehen, ob sie einem Bedarf gerecht wird, sodass sie die Software möglicherweise zum Testen benötigen und danach nie wieder darauf zurückkommen.

Hallo,
wir haben ein ähnliches Problem an unserer Berufsschule. Unternehmen bitten Praktikanten, einen PC mitzubringen, entweder um unsere Autodesk/Solidworks Education-Lizenzen usw. zu nutzen oder um ihre eigene Firmensoftware zu installieren. Manchmal werden diese PCs sogar in die Domäne des Unternehmens eingebunden, in dem der Praktikant arbeitet. Daher benötigen sie Administratorrechte.
Die schnellste Lösung, die ich gefunden habe, ist die Erstellung eines Master-Images dieser Rechner mit unserer installierten Software über WAPT. Dieses Image speichere ich außerhalb der Domäne. Ich erstelle lediglich einen einzigen Benutzer namens „Schüler“ mit Windows-Administratorrechten. Bei Rückgabe des PCs erstelle ich das Image neu.

Hallo Julien,

jdziadek schrieb: ↑31. Mai 2023 - 10:12 Uhr

vcardon schrieb: ↑30. Mai 2023 - 23:02 Uhr Welche Software benötigen Sie, um den Zugriff Ihrer Benutzer einzuschränken und ihnen die Möglichkeit zur Selbstinstallation von Software zu bieten?

Können wir bei der Erreichung dieses Ziels zusammenarbeiten?

Das Problem ist, dass wir es überhaupt nicht wissen; wir haben viele Lehrerforscher, die Software testen, um zu sehen, ob sie einem Bedarf gerecht wird, sodass sie die Software möglicherweise zum Testen benötigen und danach nie wieder darauf zurückkommen.

Es ist möglicherweise nicht möglich, allen Lehrkräften die lokalen Administratorrechte zu entziehen, aber wir haben andere Schulen gesehen, die dies erfolgreich für die überwiegende Mehrheit der Nutzer in einem gut ausgelasteten Selbstbedienungssystem umgesetzt haben. Indem man die mit diesem Konto verbundenen Risiken (insbesondere das erhöhte Risiko von Ransomware-Angriffen) und die begrenzten Vorteile bei einem vollen Selbstbedienungssystem erläutert, kann man viele dazu bewegen, die Änderung zu akzeptieren.

Neben der einfachen Umstellung auf lokale Administratorrechte ist es aus Sicherheitsgründen ratsam, das Hauptbenutzerkonto nicht als lokalen Administrator zu verwenden. Erstellen Sie stattdessen ein separates lokales Konto auf demselben Rechner, das gelegentlich für Installationen, aber nicht für den täglichen Gebrauch genutzt werden kann. Wenn dieses Konto lokal ist und keinen Zugriff auf Netzwerkressourcen usw. hat, wird die tägliche Nutzung durch die Benutzer verhindert, wodurch diese dazu angehalten werden, ihre Konten mit eingeschränkten Rechten zu priorisieren.

Aufrichtig,

Denis