Lokale Admin-Rechte per Batch vergeben?

Cheesy · 24. Oktober 2006

Hi,

ich habe hier folgendes Problem:
ich würde gerne einem User unter Windows XP lokale Admin-Rechte vergeben. Dazu muss ich mich immer als Lokaler Admin anmelden und diesen User in die Gruppe der Admins aufnehmen. Danach kann er sich wieder anmelden. Da diese Einstellung durch eine Gruppenrichtlinie immer wieder zurückgesetzt wird, muss ich das alle paar Tage erneut machen. Das ist äußerst lästig. Gibt es eine Methode, wie ich die Gruppenzuordnung per Batch hinbekomme, die der User direkt ausführen kann?

CU, Cheesy

AdministratorDr · 25. Oktober 2006

Wieso nicht die Gruppenrichtlinie entsprechend anpassen? Oder bist du garnicht der Admin und möchtest etwas, was dir eigentlich nicht erlaubt ist? :eek:

Teddie_Neubert · 25. Oktober 2006

Re: Lokale Admin-Rechte per Batch vergeben?

Zitat

Original geschrieben von Cheesy
...Gibt es eine Methode, wie ich die Gruppenzuordnung per Batch hinbekomme, die der User direkt ausführen kann?

Die Anforderung ist in sich nicht logisch ( oder ich habe was falsch verstanden ) , weil:
wenn der User das direkt ausführen könnte, dann hätte er die dafür benötigten lokalen Adminrechte bereits und bräuchte sie mithin nicht mehr
bzw. umgekehrt
ein User, welcher keine Admin-Rechte hat, kann sich selbst diese auch nicht geben.

Was geht:
Ein mindestens Gruppenrichtlinien- und Client-berechtigter Administrator könnte sich remote auf dem PC des betreffenden Users MIT SEINEN Rechten einloggen und dem User spezielle ( temporären ) Rechte geben, welche dann später von einer Gruppenrichtlinie wieder aufgehoben werden könnten.
Dazu müssen Elemente des Ressource-Kits verwendet werden, diese sollten in Administratoren-Kreisen bekannt sein.

Das ginge dann auch per ( evtl. zeitgesteuertem ) Batch-Job, da es sich um WIN32DOS-Tools handelt.

Cheesy · 25. Oktober 2006

Na gut, dann halt die Langfassung:

Ich habe auf meinem Rechner erweiterte Benutzerrechte. Diese entsprechen nicht ganz den Admin-Rechten, aber ich darf so gut wie alles auf dem Rechner machen.
Außerdem gibt es ein Benutzerkonto, welches lokaler Admin ist. Mit dem kann ich meinen User ebenfalls zum lokalen Admin machen (die Rechte werden für die Installation und die Benutzung bestimmter Programme benötigt). Leider wird diese Einstellung alle Nase lang von einer Gruppenrichtlinie zurückgesetzt. Nicht einmal der Support-Kollege hier vor Ort kann dies ändern, da diese Gruppenrichtlinie irgendwo in den USA ausgeheckt wurde, ohne zu bedenken, dass es Arbeitsplätze geben könnte, dass es User gibt, die lokale Adminrechte haben (diese hatte ich auch, bis ich letzte Woche einen neuen Rechner mit einem neuen Betriebssystem bekommen habe).
Jetzt kann ich mich zwar andauernd mit dem lokalen Admin anmelden und meinen User wieder in die Gruppe der Administratoren aufnehmen, aber das ist ziemlich lästig auf Dauer.
Ich weiß, dass man mit dem Befehl "net localgroup" User in bestimmte Benutzergruppen zuordnen kann, aber dafür muss ich auch als lokaler Admin angemeldet sein. Mit meinem normalen Benutzerkonto kann ich das ja nicht.

Und deswegen wäre es praktisch, wenn ich einen Batch hätte, der mit den Rechten des lokalen Admins ausgeführt wird und der meinen User ebenfalls zu der Gruppe hinzufügt.

Alles in allem ziemlich nervig...

CU, Cheesy

Teddie_Neubert · 26. Oktober 2006

Nun denn, wenn es nur darum geht
und die restlichen Voraussetzungen erfüllt sind:

Code

Syntax von RUNAS:


RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
        /user:<Benutzername> Programm


RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
        /smartcard [/user:<Benutzername>] Programm


   /noprofile        Legt fest, dass das Benutzerprofil nicht geladen werden
                     soll. Führt dazu, dass die Anwendung schneller geladen,
                     wird. Dies kann bei einigen Anwendungen zu Fehlern führen.
   /profile          Legt fest, dass das Benutzerprofil geladen werden soll.
                     Dies ist die Standardeinstellung.
   /env              Verwendet die aktuelle Umgebung anstatt der des Benutzers.
   /netonly          Falls Anmeldeinformationen nur für den Remotezugriff
                     gültig sind.
   /savecred         Verwendet Anmeldeinformationen, die von einem anderen
                     Benutzer gespeichert wurden. Die Option steht auf Windows
                     XP Home Edition nicht zur Verfügung und wird ignoriert.
   /smartcard        Falls Anmeldeinformationen von einer Smartcard zur
                     Verfügung gestellt werden.
   /user             <Benutzername> muss in der Form Benutzer@Domäne oder
                     Domäne\Benutzer angegeben werden.
   Programm          Befehlzeile einer ausführbaren Datei. Siehe unten
                     aufgeführte Beispiele.
Beispiele:
> runas /profile /user:Computer\Administrator cmd
> runas /profile /env /user: Domäne\Admin "mmc %windir%\system32\dsa.msc"
> runas /env /user:Benutzer@Domäne.Microsoft.com "notepad \"Meine Datei.txt\""


HINWEIS: Geben Sie das Benutzerkennwort nur ein, wenn Sie dazu aufgefordert
werden.
Hinweis: BENUTZER@DOMÄNE ist nicht mit /netonly kompatibel.
Hinweis:  /profile ist nicht mit /netonly kompatibel.

Alles anzeigen

Übrigens:
die Rückstellung der Rechte ist so falsch nicht, weil ein User in der Funktion als User idealstenfalls niemals mit Admin-Rechten arbeiten,
sondern die Admin-Rechte nur erhalten sollte, wenn dies unabdingbar ist.
Dass das meistens ( aus Faulheit ? ) so nicht getan wird ändert nichts an der Richtigkeit des Konzepts

ThomasK · 3. November 2006

Der Zeitplandienst ist für solche Fälle nützlich. Einfach den Batch (net localgroup ...) auf die Platte kopieren und einen Job im Zeitplandienst anlegen, meinetwegen einmal pro Tag starten. Dann wird das regelmässig im Hintergrund gemacht und fertig. Dieser Dienst hat normalerweise lokale Admin-Rechte und damit geht es gut.

Viele Grüße
Thomas

Cheesy · 3. November 2006

Cool! Das hat mir weiterhelfen können. Jetzt kann ich das Script über den Taskplaner einfach beim Systemstart laufen lassen. Da kann ich auch den Benutzernamen und das Kennwort desjenigen eingeben, der das Script ausführen soll.
Danke!

CU, Cheesy

ThomasK · 7. November 2006

Schön dass es läuft. Auf dieses Problem stösst man eigentlich immer wenn man User verwalten muss.

Lokale Admin-Rechte per Batch vergeben?

Jetzt mitmachen!

Teilen