Temporäre Administratorberechtigung unter XP

Ich möchte in einer WindowsXP-Umgebung auf mehreren Rechnern Softwareinstallationen automatisch ablaufen lassen.

Mein Problem: Die User haben auf ihren PCs nur User-Berechtigung,
die Installation läuft aber nur mit Administratorberechtigung.

Meine Frage: Gibt es ein Tool, das dem aktuell angemeldeten Benutzer temporär Administratorrechte verleiht, dann einen Prozess ausführt (also z.B. eine Installation oder das Kopieren einer Datei ins System32-Verzeichnis, etc.) und am Schluss den Benutzer wieder auf seine ‚normale‘ Berechtigungsebene zurückstuft?

Dank im voraus für jeden Hinweis,
murshman

Ich möchte in einer WindowsXP-Umgebung auf mehreren Rechnern
Softwareinstallationen automatisch ablaufen lassen.

Mein Problem: Die User haben auf ihren PCs nur
User-Berechtigung,
die Installation läuft aber nur mit Administratorberechtigung.

Meine Frage: Gibt es ein Tool, das dem aktuell angemeldeten
Benutzer temporär Administratorrechte verleiht, dann einen
Prozess ausführt (also z.B. eine Installation oder das
Kopieren einer Datei ins System32-Verzeichnis, etc.) und am
Schluss den Benutzer wieder auf seine ‚normale‘
Berechtigungsebene zurückstuft?

Dank im voraus für jeden Hinweis,

murshman

hi,

probier mal runas aus.

mfg

mars

Nein, runas ist keine Lösung. Runas bewirkt ja nicht, dass der angemeldete User Admin-Rechte erhält, sondern dass ein anderer User
(etwa Localadmin) etwas machen würde. Localadmin soll aber keine Rechte auf den Server haben (wo die Source-Dateien der Installation liegen).

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Mahlzeit,

Nein, runas ist keine Lösung. Runas bewirkt ja nicht, dass der
angemeldete User Admin-Rechte erhält, sondern dass ein anderer
User (etwa Localadmin) etwas machen würde. Localadmin soll aber
keine Rechte auf den Server haben (wo die Source-Dateien der
Installation liegen).

ja gut. Aber was spricht dagegen, einen Benutzer sagenwirmal SoftwareInstaller einzurichten, der lokale Adminrechte UND Leseberechtigung auf die Serverdateien hat? Damit und mit runas wäre dein Problem gelöst!

Gruß

Drunvalo

Nein, aus Security-Gründen soll es eben keinen User ‚Installer‘ geben, der auch in der Domain bzw. ADS definiert wäre.

Außerdem wäre es auch für die Installation der einzelnen Softwarepakete sauberer, wenn der User selbst sie durchführen könnte (viele setup-Programme schreiben in den user-spezifischen Teil der Registry).

Also noch einmal die Frage: Gibt es ein Tool, das dem angemeldeten Benutzer temporär Admin-Rechte verleiht (und sie ihm später wieder entzieht)?

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Wieder Mahlzeit,

Nein, aus Security-Gründen soll es eben keinen User
‚Installer‘ geben, der auch in der Domain bzw. ADS definiert
wäre.

Das kann ich gerade noch nachvollziehen…

Außerdem wäre es auch für die Installation der einzelnen
Softwarepakete sauberer, wenn der User selbst sie durchführen
könnte (viele setup-Programme schreiben in den
user-spezifischen Teil der Registry).

…aber das nicht. Heißt das, du installierst dann sagenwirmal Office 34 Mal, wenn du 34 Benutzer hast?

Also noch einmal die Frage: Gibt es ein Tool, das dem
angemeldeten Benutzer temporär Admin-Rechte verleiht (und sie
ihm später wieder entzieht)?

Gib „net group help“ auf dem Domänencontroller ein. Du kannst den Benutzer kurzzeitig in eine Gruppe aufnehmen. Allerdings: das geht nur auf dem Domänencontroller, d.h. nicht lokal auf einer Arbeitsstation.

Gruß

Drunvalo

hi

ja gut. Aber was spricht dagegen, einen Benutzer sagenwirmal
SoftwareInstaller einzurichten, der lokale Adminrechte UND
Leseberechtigung auf die Serverdateien hat? Damit und mit
runas wäre dein Problem gelöst!

manchmal muss eine Software im Userkontext und trotzdem mit adminrechten installiert werden um in localuser eingetragen zu werden … bei runas…läuft die inst ja wieder unter dem kontext eines anderen users (admin z.B.)

Gruß Hexerl

hi

Mein Problem: Die User haben auf ihren PCs nur
User-Berechtigung,
die Installation läuft aber nur mit Administratorberechtigung.

wir haben das so gelöst dass eine lokale Benutzergruppe mit adminrechten angelegt wird - in dieser lokalen admingruppe ist eine domänengruppe Mitglied

will ich dass bestimmte benutzer kurz adminrechte für installationen haben schiebe ich sie zentral in diese domänenbenutzergruppe hinein (damit haben sie automatisch lokale adminrechte) - die installationsroutine startet beim loginscript … läuft durch und wirft den Anwender dann per „net group /domain /delete“ wieder aus der Domänenbenutzergruppe mit den lokalen Adminrechten raus - dann folgt noch ein reboot (nur der vollständigkeit halber) und mit der nächsten Anmeldung ist der Benutzer wieder mit userrechten unterwegs …

Gruß Hexerl