[AD 2k3] User tijdelijk installeer rechten - Serversoftware en clouddiensten

donderdag 10 april 2008 10:30

Acties:

Topicstarter

Wij hebben hier een nogal dynamische werkomgeving waar vaak software geinstalleerd moeten worden. Vaak gebeurt het dat één van mijn collega's of ik richting de gebruiker moet en daar het 'run as' command moeten uitvoeren omdat ze zelf geen installatie rechten hebben.

Nu heb ik wel is mee gekregen dat er misschien een manier is om via een script/policy/programma iemand tijdelijk admin rechten te geven.
Dit mag voor 1 inlog sessie zijn maar moet na een paar uur dus ook wel weer verwijderd worden. Niet dat ze ingelogd kunnen blijven en altijd nog als administrator werkend kunnen blijven.

Hopelijk is de situatie een beetje duidelijk.

Hebben mensen hier suggesties voor ?

Omgeving:
200 werplekken,
Windows 2003 Server Ent./Stan.,
Fabrieksomgeving (users weinig rechten)

donderdag 10 april 2008 10:53

Acties:

Piebas

Wat ik zou proberen is een gebruiker aanmaken waarmee allen software geinstallerrd kan worden in de AD en deze user gebruiken om door de gebruiker run as te starten.
De install gebruiker kun je dan een beperte login tijd geven en deze resetten bij een nieuw verzoek.
Of de gebruiker laten inloggen met de install-user dan de stoftware laten installeren en weer uitloggen.

donderdag 10 april 2008 10:56

Acties:

Zanthr

Stel dat er geen oplossing uitkomt dmv user rechten kun je jezelf wellicht met remote desktop een tocht heen en weer besparen

donderdag 10 april 2008 10:56

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Wat jij bedoelt is misschien het gebruik van Restricted Groups. Zoek anders even met Google of hier op het forum.

Exchange en Office 365 specialist. Mijn blog.

donderdag 10 april 2008 11:00

Acties:

Memozz

Topicstarter

Piebas schreef op donderdag 10 april 2008 @ 10:53:
Wat ik zou proberen is een gebruiker aanmaken waarmee allen software geinstallerrd kan worden in de AD en deze user gebruiken om door de gebruiker run as te starten.
De install gebruiker kun je dan een beperte login tijd geven en deze resetten bij een nieuw verzoek.

Het is een optie.. Maar toch zit daar nog teveel werk aan.
En niet op alle gedeelten van installatie zit een 'run as' optie.
Misschien heb ik dat zelf misschien een beetje verkeerd uitgelegd..

Het gaat bijvoorbeeld ook om het installeren van nieuwe hardware. Dit kan ook alleen een administator.

Wat het mooiste zou zijn in een vbs/bat waarin je een username invult, aantal uur.. Zodat de gebruiker die bepaalde tijd install rechten heeft.

Zanthr schreef op donderdag 10 april 2008 @ 10:56:
Stel dat er geen oplossing uitkomt dmv user rechten kun je jezelf wellicht met remote desktop een tocht heen en weer besparen

Is een optie.. Maar we moeten we een beetje actief blijven hier..

Jazzy schreef op donderdag 10 april 2008 @ 10:56:
Wat jij bedoelt is misschien het gebruik van Restricted Groups. Zoek anders even met Google of hier op het forum.

Ik gaat even zoeken

[ Voor 51% gewijzigd door Memozz op 10-04-2008 11:03 ]

donderdag 10 april 2008 12:16

Acties:

Memozz

Topicstarter

Ik heb even gezocht op de Restricted Groups..
Maar wat volgens mij dan nog steeds het probleem is dat het om groepen gaat en niet over losse gebruikers als ik het allemaal een beetje goed door heb genomen.

En is het nog geen geautomatiseerd process wat. Er moeten toch nog wat handelingen gedaan worden.

Het is niet dat ik een specifieke tijd mensen iets moeten kunnen installeren, maar het kan gewoon random een keer zijn dat die aanvragen binnen komen.

donderdag 10 april 2008 20:46

Acties:

alt-92

ye olde farte

Over wat voor software hebben we het eigenlijk?
Zolang het MSI installers zijn kun je er misschien nog wel omheen werken met Windows Installer specifieke Group Policies.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 10 april 2008 21:10

Acties:

Japie Gijs

*Meld

Heb eigenlijk dit 'probleem' ook bij een klant, maar niet echt een mooie passende oplossing voor gevonden. Dus ik houd dit topic in de gaten.

vrijdag 11 april 2008 10:14

Acties:

Memozz

Topicstarter

Het zijn MSI installers, maar ook nieuwe hardware toevoegen, updates van software, rechten op internet explorer, activeX, installeren via andere 'install files'.

Onze werknemers werken in een fabrieksomgeving waar zoveel mogelijk is dicht gezet omdat er erg belangrijke data in hun bezit is.
Het grootste gedeelte van de werkzaamheden is het flashen/repareren van mobiele telefoons, hierin komen vaak nieuwe releases van flash software uit, nieuwe dongels, nieuwe flash kabels.
Dit moet bijna allemaal geinstalleerd worden, sommige uitzonderingen op nagelaten.

Hopelijk is het wat duidelijker zo.

vrijdag 11 april 2008 11:09

Acties:

CAP-Team

XBL: CAPTeam

Ik zou op de lokale PC een AD securtity groep in de lokale administrators groep zetten, zo kun je users tijdelijk in die groep plaatsen zodat ze hun software kunnen installeren en daarna de gebruiker weer uit die groep halen.

Microsoft Surface Pro 6 | Samsung Galaxy S21FE | XBOX Series X

vrijdag 11 april 2008 11:21

Acties:

Memozz

Topicstarter

CAP-Team schreef op vrijdag 11 april 2008 @ 11:09:
Ik zou op de lokale PC een AD securtity groep in de lokale administrators groep zetten, zo kun je users tijdelijk in die groep plaatsen zodat ze hun software kunnen installeren en daarna de gebruiker weer uit die groep halen.

Maar dan moet ik als nog of zelf naar die computer toe of moet ik het via RDP doen.

Het liefste moet het webased of via een applicatie kunnen met bijvoorbeeld een ingebouwd watchdog.. Waarbij je een aantal uur kan instellen dat de gebruiker admin mag spelen op ze werkplek en zodra die tijd verlopen is, dat hij dan netjes weer word uitgelogd.

Of iets met scipts die hem via het invullen van de username, admin rechten geven en dat na een tijd een script gaat lopen die ze weer van het admin niveau af haalt.

Maar volgens mij is het allemaal teveel gevraagd.. Misschien leuk project voor mezelf

vrijdag 11 april 2008 11:26

Acties:

CAP-Team

XBL: CAPTeam

via MMC en computerbeheer kun je dit zo aanpassen op de betreffende computer (op afstand dus die AD user groep in de Administrators groep zetten van die PC).
Daarna via AD die user in die groep zetten. User laten afmelden en opnieuw inloggen en de user heeft tijdelijk alle rechten op de lokale PC.

Microsoft Surface Pro 6 | Samsung Galaxy S21FE | XBOX Series X

vrijdag 11 april 2008 11:43

Acties:

Memozz

Topicstarter

Niet lullig bedoeld.. Maar ik snap hoe je iemand installeer rechten geeft.
Maar het gaat meer om dit process te automatiseren.

Bijv. via een .vbs script krijg je een scherm waarin een username word gevraagd. Je vult de username in van de persoon die je install rechten wil geven. "Klik OK".
Volgende scherm vul je in hoelang degene de tijd krijgt om zijn spul te installeren of als die tot het eind van sessie moet duren.

Daarna krijgt de gebruiker een bericht op zijn scherm "Op dit moment zijn uw admin rechten actief" (bijv.) De user logt uit, user logt in.. Admin rechten.

Dan of verloopt de tijd, word bij gehouden door middel van een watchdog of iets anders. Of loopt het tot het einde van zijn sessie. Als de tijd om is krijgt hij netjes een melding "Binnen 60 seconden wordt u uitgelogd". Hij word (geforceerd) uitgelogd, logt weer in en alle policy's zijn weer draaiend.

Zoiets moet toch bestaan lijkt mij ?

vrijdag 11 april 2008 12:39

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Memozz schreef op vrijdag 11 april 2008 @ 10:14:Onze werknemers werken in een fabrieksomgeving waar zoveel mogelijk is dicht gezet omdat er erg belangrijke data in hun bezit is.

Memozz schreef op vrijdag 11 april 2008 @ 11:43:Daarna krijgt de gebruiker een bericht op zijn scherm "Op dit moment zijn uw admin rechten actief" (bijv.) De user logt uit, user logt in.. Admin rechten.

Het beleid schrijft dus voor dat de user beperkte rechten heeft vanwege belangrijke data, en jij stelt voor om de user een paar uur admin rechten te geven (en de user hier ook nog van op de hoogte te stellen).

Kan aan mij liggen, maar volgens mij is dat niet de bedoeling van het IT-beleid. De user kan tijdens die paar uur admin rechten toch alles doen wat niet mag?

Of je doet het zelf als beheerder middels "run-as", of je maakt van alle software, patches en andere meuk nette MSI's die je deployed middels group policy's of 3-party oplossingen. (of een combinatie van beiden).

Just my 2 cents...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 11 april 2008 12:59

Acties:

the_stickie

met ^^^: jouw idee haalt het hele security concept onderuit. In principe zijn admin rechten voor... de admin

Wat in bedrijfsomgevingen soms wel gebruikt wordt is een (compiled) script dat de installers met de juiste rechten start (in de sessie van de gebruiker). maar dat is eigenlijk alleen haalbaar voor applictaties die "regelmatig" geîsntalleerd moeten worden: je hebt immers sowieso wat dev-werk.

wat jij wil bereiken kan afaik trouwens perfect met vbs. Alleen zal de vbs gestart moeten worden met local admin rechten (om de gebruiker admin te maken).
Een bijkomend probleem lijkt me voorkomen dat gebruikers die "tijdelijk" admin rechten krijgen, die ook houden. Zolang de gebruiker aangemeld blijft, heeft ie rechten, en weerhoudt niks hem ervan het geforceerd uitloggen te vookomen/onderbreken, of zelf een nieuwe lokale gebruiker te maken met volledige rechten.

vrijdag 11 april 2008 13:43

Acties:

Memozz

Topicstarter

[quote]the_stickie schreef op vrijdag 11 april 2008 @ 12:59:
met ^^^: jouw idee haalt het hele security concept onderuit. In principe zijn admin rechten voor... de admin

Ik had het door dat ik mezelf ligtelijk aan het tegen spreken was. Maar er is geen installatie recht. Alleen maar admin recht, of heb ik dat mis ?

the_stickie schreef op vrijdag 11 april 2008 @ 12:59:
wat jij wil bereiken kan afaik trouwens perfect met vbs. Alleen zal de vbs gestart moeten worden met local admin rechten (om de gebruiker admin te maken).
Een bijkomend probleem lijkt me voorkomen dat gebruikers die "tijdelijk" admin rechten krijgen, die ook houden. Zolang de gebruiker aangemeld blijft, heeft ie rechten, en weerhoudt niks hem ervan het geforceerd uitloggen te vookomen/onderbreken, of zelf een nieuwe lokale gebruiker te maken met volledige rechten.

Misschien zou je via een gpupdate /force de rechten opnieuw kunnen door zetten. Maar ik ben ook bang dat dit niet werkt.. Zo maar even een test omgeving in elkaar zetten.

Bedankt voor de feedback!

vrijdag 11 april 2008 13:50

Acties:

alt-92

ye olde farte

Memozz schreef op vrijdag 11 april 2008 @ 13:43:
Ik had het door dat ik mezelf ligtelijk aan het tegen spreken was. Maar er is geen installatie recht. Alleen maar admin recht, of heb ik dat mis ?

Dat heb je inderdaad mis

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 11 april 2008 13:51

Acties:

Krypt

Je kan het wel maken, maar de vraag is inderdaad of je het wilt.
Nadeel is dat als je als admin aanlogt, je ook admin blijft totdat je aflogt. Je zou dus een geforceerde logout moeten genereren.

Je zou een programma kunnen schrijven welke je om input vraagt zoals account, machinenaam en tijdsduur.
Vervolgens met PSEXEC een net localgroup /add opdracht versturen naar de machine om de user in de administrators group te zetten.
Vervolgens met PSEXEC een vb script aftrappen in interactive mode zodat de user een schermpje krijgt dat ie moet afloggen en aanloggen om admin rechten te krigjen,
Dit vbscript zoekt de SID op van de user, en plaats in de \Software\Microsoft\Windows\CurrentVersion\Run een entry is die een vb script aftrapt met een forced logoff na zoveel tijd (shutdown -l) (je zou het wat mooier kunnen maken zodat ie een minuut voor forced logoff een melding laat zien)

Nadeel is wel dat de user die run key kan verwijderen en het proces kan killen. Dan zou je de timer in je tooltje kunnen zetten en met een wat hardere maatregel een shutdown -r -f -t 60 kunnen afvuren. (en wederom wat mooier om via een psexec een schermpje laten zien dat ie nog een minuut de tijd heeft)

Als je toch al met restricted groups werkt, hoef je niet bang te zijn als ie zijn machine direct na de eerste melding een 10 tal minuten uit laat staan. De GPO update van 90min zorgt er toch voor dat ie uit de admin group gezet wordt.

Pvouput live

vrijdag 11 april 2008 13:54

Acties:

alt-92

ye olde farte

[GPO] Restricted Groups, users ook domain admin?

Daar is een collega van je met hetzelfde probleem toevallig.

Software installeren is relatief eenvoudig om te regelen, maar waar je meer moeite in zal moeten steken is het firmware flashen en dergelijke van removable devices.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 11 april 2008 14:07

Acties:

Memozz

Topicstarter

Krypt schreef op vrijdag 11 april 2008 @ 13:51:
Je zou een programma kunnen schrijven welke je om input vraagt zoals account, machinenaam en tijdsduur.
Vervolgens met PSEXEC een net localgroup /add opdracht versturen naar de machine om de user in de administrators group te zetten.
Vervolgens met PSEXEC een vb script aftrappen in interactive mode zodat de user een schermpje krijgt dat ie moet afloggen en aanloggen om admin rechten te krigjen,
Dit vbscript zoekt de SID op van de user, en plaats in de \Software\Microsoft\Windows\CurrentVersion\Run een entry is die een vb script aftrapt met een forced logoff na zoveel tijd (shutdown -l) (je zou het wat mooier kunnen maken zodat ie een minuut voor forced logoff een melding laat zien)

Kijk.. Erg nuttig!
Alleen moet ik dus mezelf nog even de vraag gaan stellen hoe ik het compleet moet gaan inrichten met toch mijn security template vast te houden.

En alt-92; Ik denk dat ik ook zeker wat aan dat topic heb. Wat ben je toch ook een goed oplettende Mod

vrijdag 11 april 2008 14:56

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Krypt schreef op vrijdag 11 april 2008 @ 13:51:
Nadeel is wel dat de user die run key kan verwijderen en het proces kan killen. Dan zou je de timer in je tooltje kunnen zetten en met een wat hardere maatregel een shutdown -r -f -t 60 kunnen afvuren.

En vervolgens geeft de user een "shutdown -a", waardoor er helemaal niets herstart en/of afgelogd wordt.

En wie garandeert dat vijf minuten nadat de user local admin gemaakt is, niet de rechten weer ontnomen worden omdat de group policy weer applied wordt (en aangezien er restricted groups ingesteld staan is de user weer local admin af). Group Policy's worden standaard om de 90 minuten toegepast, er is echter niet zeker dat dit exact 90 minuten na het draaien van je scripts plaatsvind....

Persoonlijk zou ik gewoon software installeren middels de Windows Installer (die werkt onderhuids met elevated rights, waardoor de user geen extra rechten hoeft te hebben). De overige zaken zul je denk ik zelf moeten blijven doen (evt. met RDP).

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 11 april 2008 15:37

Acties:

BP_LOZ

alt-92 schreef op vrijdag 11 april 2008 @ 13:54:
[GPO] Restricted Groups, users ook domain admin?

Daar is een collega van je met hetzelfde probleem toevallig.

Software installeren is relatief eenvoudig om te regelen, maar waar je meer moeite in zal moeten steken is het firmware flashen en dergelijke van removable devices.

Hier is die collega

Hier repareren wij TomTom, Mio, HP Ipaq en Navman producten. Alle units moeten geformateerd en geflashed kunnen. Iets waar je echt admin rechten voor nodig hebt. Jij zit dus met hetzelfde..

Ik heb mijn probleem denk ik nu netjes, veilig en werkbaar op kunnen verhelpen. Ik maak momenteel gebruik van restricted groups waarmee is de users toch local admin maak. Een andere oplossing zag ik niet... Een heel strak GPO blokkeerd eigenlijk alles wat een user niet mag.

We hebben heel veel gebruik gemaakt van "Software Restriction Policies" en "Local Policies" in de computer configuration. Hiermee is alles zo ongeveer af te vangen.

[ Voor 4% gewijzigd door BP_LOZ op 11-04-2008 15:39 ]

vrijdag 11 april 2008 16:11

Acties:

Krypt

Ik geef je gelijk Question Mark; ik geef ook aan dat het nog steeds de vraag is of je het wilt. Ik zou het zeker niet doen. Ik wil alleen maar aangeven dat je er wel een manier voor zou kunnen bouwen.

(Shutdown -a zou je weer kunnen afvangen door een shutdown -r -t 00 uit te voeren 1.05min nadat je de psexec hebt uitgevoerd).

Als je aangelogd bent, maakt een verandering aan de groepen niets uit. Je hebt je security token al; en je zal gedurende de huidige sessie admin blijven. Een GPO refresh maakt dus niets uit. Je bent niet ineens admin af, pas na opnieuw inloggen.

Maar gelijk heb je; waarom afschermen als je daarnaast weer een mooie deur open zet.
Ik ben zelf absoluut tegen het open zetten.. hell, ik ben zelfs tegen het opzetten van een enkele directory, file of registry entry.

Pvouput live

vrijdag 11 april 2008 17:14

Acties:

Memozz

Topicstarter

bvandepol schreef op vrijdag 11 april 2008 @ 15:37:
[...]

Hier is die collega

Hier repareren wij TomTom, Mio, HP Ipaq en Navman producten. Alle units moeten geformateerd en geflashed kunnen. Iets waar je echt admin rechten voor nodig hebt. Jij zit dus met hetzelfde..

Ik heb mijn probleem denk ik nu netjes, veilig en werkbaar op kunnen verhelpen. Ik maak momenteel gebruik van restricted groups waarmee is de users toch local admin maak. Een andere oplossing zag ik niet... Een heel strak GPO blokkeerd eigenlijk alles wat een user niet mag.

We hebben heel veel gebruik gemaakt van "Software Restriction Policies" en "Local Policies" in de computer configuration. Hiermee is alles zo ongeveer af te vangen.

Opzich hebben we nu hetzelfde in de testfase staan.
Nu zijn we een beetje aan het knutselen om het zo werkend te krijgen dat dit eingelijk allemaal automatisch gedaan kan worden.

Waar ik zelf aan zitten te denken is de users via een script te laten toevoegen aan de Restricted groups. Dit zal niet zo moeilijk zijn. Maar het moeilijke gedeelte is om het mee te geven van de tijd die de gebruiker in deze groep mag zitten. En een Force logout mee tegeven.

Misschien is zoiets voor jouw ook best interessant. Zoiets..

vrijdag 11 april 2008 17:43

Acties:

alt-92

ye olde farte

Dit misschien te gebruiken als basis?

http://blogs.msdn.com/aar...ve/2004/07/24/193721.aspx

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 11 april 2008 17:53

Acties:

sjongenelen

waarom geef je de users niet gewoon altijd local admin rechten? ik bedoel, ik snap dat je dan gemakkelijk ongewenste software krijgt, maar je kunt toch:

een goede proxy (webmarshal/mailmarshall bijvoorbeeld)
goede virusscanner.
usb etc. disablen
alleen bepaalde .exe toestaan

zo ongeveer wat vbandenpol zegt..

werkt dus net andersom:
niet:
alles dichtzetten, langzaam openzetten
wel:
alles openzetten, langzaam (goed testen) dichtzetten

als je dat goed doet hoef je het ook niet zoveel te onderhouden

je kan wel merken dat het vrijdag is - ik krijg het bijna niet uitgelegd

you had me at EHLO

vrijdag 11 april 2008 18:02

Acties:

alt-92

ye olde farte

TheNymf schreef op vrijdag 11 april 2008 @ 17:53:
waarom geef je de users niet gewoon altijd local admin rechten?

Laat dan ook maar passwords weg

Oh, en we zetten ook gelijk de Servers maar in de receptie of in de lobby.

Nee, nu even serieus. Users Local Admin maken is echt een last resort, dat wil je echt niet over je hele org doorvoeren *

* tenzij je ze ook zelf de rommel laat opruimen

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1

Reageer