Remote administrative Rechte erteilen

[Invers]

Hallo zusammen,

man kennt das Problem: Man hat vergessen dem jeweiligen User vor Übergabe des Laptops lokale administrative Rechte zu geben, um Programme installieren zu können. Wenn man sich nun Remote (MS Teams/Team Viewer) verbindet, kann man selbst als Admin das Programm nicht installieren, weil einem nicht der Screen angezeigt wird, in denen man die Admin Logindaten eingibt.

Daher meine Frage..
Ist es möglich via Remote einen User zu der lokalen Administratorgruppe (auf dem Laptop/dem PC) hinzuzufügen ?
Achtung: Es besteht keine Verbindung zum AD oder einer VPN. D.h. es kann nicht mit GPOs gearbeitet werden.

Vielen Dank

 

[Tamron]

man kennt das Problem: Man hat vergessen dem jeweiligen User vor Übergabe des Laptops lokale administrative Rechte zu geben, um Programme installieren zu können.

kenne ich nicht, User dürfen niemals lokale administrative Rechte haben. Ausnahmen gibt es.

Wenn man sich nun Remote (MS Teams/Team Viewer) verbindet, kann man selbst als Admin das Programm nicht installieren, weil einem nicht der Screen angezeigt wird, in denen man die Admin Logindaten eingibt.

Dafür gibt es eine Einstellung im Teamviewer, dass man sich per Admin Credentials am Client anmelden kann. Der Teamviewer wird dann als Admin durch deine Credentials neugestartet und du verbindest dich dann auch nur mit ID + deine Credentials.

Achtung: Es besteht keine Verbindung zum AD oder einer VPN.

Ich hinterfrage das einfach nicht. Der Rechner gehört ins AD oder AAD oder sonstwo rein.

Ist es möglich via Remote einen User zu der lokalen Administratorgruppe (auf dem Laptop/dem PC) hinzuzufügen ?

Du hast ja irgendeinen Admin auf dem Gerät oder? Dann benutze den Weg wie oben beschrieben.
Im Teamviewer muss der User das noch erlauben.

 

[Invers]

@Tamron Dankeschön!
Natürlich ist der Rechner, als auch der User im AD.

 

[Smartbomb]

User dürfen niemals lokale administrative Rechte haben. Ausnahmen gibt es.

Die Ausnahme ist die Regel!
Weil: ohne lokale(!) Adminrechte, kannst du NICHTS tun auf dem Windows PC. Jedes Pimperlupdate etc braucht dann Adminrechte, da würde bei den IT Betreuern den ganzen tag das Telefon läuten!
Sicher, die Idee dahinter ist gut, aber in der Praxis bist du ohne lokale Adminrechte hin.

 

[Tamron]

Und so holt man sich alles mögliche in die Firma. Dann hast du 3 Virenscanner und 17 Toolbars auf manchen PCs und co.
Es gibt Software Deployment in irgendeiner Form und das macht Updates.
Ich habe auf meinem Dienstrechner keine lokalen Adminrechte und komme damit seit fast 2 Jahren wunderbar klar. Ich musste zweimal ein Modul für die Powershell seitdem installieren und 1 Software abseits des Software Deployments. Für nichts weiteres brauchte ich Admin Rechte.
Ich glaube da liegt einfach ein Irrglaube vor oder zu wenig Erfahrung in dem Bereich.
Normale User haben keine Admin Rechte und fertig. Da gibt es auch keine Diskussion für, da es einfach die gesamte Firma lahmlegt, wenn ein DAU kompromittiert wird.
Ich betreue keine Firma, die jedem User lokale administrative Rechte gestattet und irgendwie funktionieren die.
Irgendwie gibt es auch nicht 800 Tickets am Tag.
Rahmen 30-12K Mitarbeiter.

Die Ausnahme sind irgendwelche Devs die auf gezielten Testmaschinen entwickeln und es ohne lokale Adminrechte nicht funktioniert. Die Maschinen sind dann, aber anders abgeschottet - andere Domain, VLANs etc.

 

[Smartbomb]

@Tamron
Schon klar, das sind andere Größenordnungen als unsere kleinen "Pimperlnetzwerke".
In der Domäne haben die eh keine Rechte, nur lokal an ihrer Maschine.
Wenn sie die vermuksten --> selbst Schuld, spielen wir halt ein Backup zurück.
Selbst Clients sichert unsere Software mindestens 2x die Woche und bei Wartungskunden kontrolliere ich jeden Morgen die Sicherungsmails ob eh alles funktioniert hat.
Server sowieso täglich, Datenbanken ebenso. Und 1x intern und 1x auf RDX.

 

[cumulonimbus8]

Ich habe auf meinem Dienstrechner keine lokalen Adminrechte

Simple Frage: was tut ich denn auf besagtem Dienstrechner?

Mein Dienst wäre sicherlich nicht nur mit Word, Excel oder PhotoShop, R zu hantieren. Da käme ich ohne Adminrechte nicht hin. Würde ich nur Anwendungen bedienen müssen - kein Problem. Leider aber muss ich installieren, testen, konfigurieren. Also bräuchte ich zweifelsfrei Rechte Volle Pulle.

→ Beim reinen Benutzen ohne Verwalten kann auch die UAC bis nach ganz oben gejubelt sein, es würde nicht stören. Bei mir ist sie eine Arbeitsverhinderungsvorrichtung.
Also alles nicht so einfach…

CN8