SuRun und Windows 7 in Domäne

simooz

Ja, du hast das richtig verstanden. Ich sehe gerade, mein Post ist sehr unübersichtlich. Ich mache kurz einen illustrierten Ablauf für die User. Den Output von DbgView kann ich dir dann nachliefern.

Ausgangslage: Die Benutzer sind identisch konfiguriert.

In der Registry unter "HKLM\Security" ist der einzige Unterschied zwischen den Benutzern unter "Times" nur einen Eintrag für den funktionierenden Benutzer gibt.

Generelle Konfiguration

[line]
Benutzer1: Funktioniert nicht.
Benutzer2: Funktioniert

surun C:\Windows\System32\mmc.exe C:\Windows\System32\devmgmt.msc

Benutzer1

nach Eingabe des Passworts

Benutzer2

und der Device Manager startet wie erwünscht mit Admin-Rechten

[line]

surun /runas C:\Windows\System32\mmc.exe C:\Windows\System32\devmgmt.msc

Benutzer1

Kein "run elevated"-Kästchen und dann der Fehler

Benutzer2

Kein "run elevated"-Kästchen und der Device Manager meldet folgerichtig

[line]
Und dann noch ohne SuRun

C:\Windows\System32\mmc.exe C:\Windows\System32\devmgmt.msc

Benutzer1

Im CMD kommt die Meldung "Access is denied.", wenn ich auf "Cancel" drücke.

Benutzer2
Kommt keine SuRun-Abfrage!

Kay

Zu "Benutzer 2":
* surun devmgmt.msc funktioniert
* surun /runas /user benutzer2 devmgmt.msc funktioniert
[indent]Die Option "mit gehobenen Rechten starten" ist nicht vorhanden, weil Benutzer2 kein UAC-Admin ist und als Beschränkter SuRunner konfiguriert ist.
Windumms meldet den Schreibschutz von devmgmt.msc
...ich merke mir auf meiner ToDo-Liste, dass die /RunAs Option "Kennwort speichern" ausgeblendet wird, wenn das Benutzerkennwort immer sofort abgefragt werden soll.
[/indent]
* devmgmt.msc funktioniert
[indent]Das das von cmd aus nicht automagisch mit gehobenen Rechten von SuRun gestartet wird, kann daran liegen, dass Windows die Hooks von SuRun nicht immer und nie sofort in cmd.exe einhängt.[/indent]

Ich würde die Thematik "Benutzer 2" als geklärt betrachten wollen.

Zu "Benutzer 1":
Mich wundert, dass der MMC.EXE nicht starten kann und dass MMC.EXE, selbst wenn administrativ von SuRun gestartet, meckert, dass es schreibgeschützt ist.
* Ist Benutzer1 im Domänen-Controller anders deklariert, als Benutzer2?
* Hat Benutzer1 Software-Einschränkungen?
...ich kann nur raten.

simooz

Beide haben exakt dieselbe Policy (sind am selben Ort im Baum), Software-Einschränkungen wären mir nicht bekannt. Zu Beginn hatte ich die Tatsache im Verdacht, dass pro Policy-Update die Admin-Gruppe geleert und mit vorgegebenen Benutzern gefüllt wird. Aber SuRun schiebt ja den Benutzer nur eine ganz kurze Zeit da rein und entfernt ihn gleich wieder.

Vielleicht finde ich im Zusammenhang mit der schreibgeschützten MMC noch was.

Ich bleibe dran.

EDIT: Vergiss die Outputs von vorher. Ich hatte da noch ein paar Fehler drin. WinDbg sieht zumindest für die surun-Kommandos (ohne runas) bei beiden Benutzern gleich aus.

simooz

Ich glaube, ich bin auf etwas gestossen!

Ich habe beide Benutzer aus der SuRun-Liste gelöscht und dann beide der Administratorengruppe hinzugefügt. Bei demjenigen, bei dem es nicht funktioniert hatte, kommt die UAC. Beim anderen das hier

hmmm...

Kay

Das ist genau das, was ich meine...warum ist der kein Admin?

simooz

Ach, scheisse... Ich seh's nicht mehr. Ich muss das Ganze wohl ein wenig ruhen lassen. Vergiss das vordere Posting.

Der letzte Stand der Dinge ist der, dass der einzige Unterschied, zwischen den beiden Benutzern ist, wie sich das UAC-Fenster präsentiert.

Beim Benutzer, bei dem es nicht funktioniert, ist der Benutzername im UAC-Fenster bereits fest eingetragen. Um das gewünschte Programm als einen anderen Benutzer auszuführen, muss man auf "Use another account" auswählen. Zusätzlich ist "Insert a smart card" eingeblendet.

Beim Benutzer bei dem es funktioniert hingegen, erscheint das UAC-Fenster ohne "Use another account". Der Benutzername ist nicht "vorgedruckt" und muss eingegeben werden.

simooz

Hallo Kay

Ich glaube, ich habe das Problem gefunden. Ich hatte einmal eine Domänengruppe definiert, die über die Policy der "Network Configuration Operators"-Gruppe hinzugefügt wird. Einer der Benutzer war in dieser Gruppe. Nehme ich den raus, funktioniert SuRun wieder. Könnte man das abfangen? Ich kann mir vorstellen, dass noch andere auf die Idee kommen könnten :)

Schönes Wochenende!

Kay

...hat ein wenig gedauert.
Ich habe meinen eingeschränkten Benutzer in "Netzwerkkonfigurations-Operatoren" eingefügt, die VM neu gestartet und SuRun läuft problemlos.

Habe ich da was falsch verstanden?
Ist die Gruppe nicht mehr vorhanden?
Muss ich eine Gruppe anlegen und die Gruppe in "Netzwerkkonfigurations-Operatoren" packen?
Wie kann ich das nachstellen?

simooz

Hello

Sorry, ich hatte auch grad ein wenig viel um die Ohren.

Also, ich habe eine globale Sicherheitsgruppe in der Domäne angelegt. Ich habe mein System auf Englisch, von dem her es wird die Gruppe "Netzwerkkonfigurations-Operatoren" sein. Ich füge dann dieser Gruppe die Sicherheitsgruppe hinzu, wo der Domänenbenutzer Mitglied ist. SuRun hört dann mit den vorher beschriebenen Symptomen spätestens nach ca. 20min (ich nehme an Group Policy Update) auf zu funktionieren.

Die Sicherheitsgruppe füge ich über Computer Configuration > Preferences > Control Panel Settings > Local Users and Groups hinzu.

Kay

Ok, jetzt habe ich (hoffentlich) erstmal kapiert, warum ich das nicht nachvollziehen kann.
Ich vermute, Du benutzt WS2008, denn ich kann die Verwaltung der lokalen Benutzer und Gruppen in WS2003 nicht finden.

Ich habe leider nur WS2003 und keinen Zugriff auf eine WS2008/2012 Domäne.
In WS2003 kann ich den Benutzer in die globale Sicherheitsgruppe eintragen, die dann zu "Netzwerkkonfigurations-Operatoren" hinzufügen und alles geht ohne Probleme, auch nach >20min noch.

Ich sehe mal, ob ich mir einen Server 2008 herunter laden und in einer VM testen kann.

Kay

Soooo...hab jetzt eine VM mit WS2008R2 englisch und habe die update "local Group" Policy gesetzt.

Wenn ich mich am Client als Domänenbenutzer anmelde, der Mitglied der Gruppe, "TestSuRun" die in den "Network Configuration Operators" ist, bekomme ich die lokalen Gruppe "TestSuRun" vom PDC übergeholfen, aber die Gruppe wird nicht (wie auf dem Server eingetragen) Mitglied der "Network Configuration Operators" und SuRun läuft klaglos.

Ich habe das mit und ohne Domain\Gruppe probiert und bekomme es nicht hin, den Fehler zu reproduzieren. :huh:

...ich würde vorschlagen, hier abzubrechen.

simooz

Hallo Kay

Konntest du das so nachvollziehen?

Gruss

Kay

Hatte noch keine Zeit, es zu probieren. (Neuer Job)
Ich hoffe, morgen Vormittag dazu zu kommen.

Kay

Moin.

Wenn ich in WS2K3 eine Gruppe "TestGr" mit Standard-Einstellungen anlege, einen Benutzer darin eintrage und diese Gruppe als Mitglied von "Netzwerkkonfigurations-Operatoren" mache bekomme ich das Problem nicht zu sehen.

Bin selten in Domänen unterwegs, deshalb:

SimooZ:1357193048 wrote: 1. Eine Domänengruppe angelegt

Lokal, Global oder Universal?
Sicherheitsgruppe oder Verteilergruppe?

SimooZ:1357193048 wrote: 3. Via Policy diese Gruppe den lokalen Netzwerkoperatoren hinzugefügt

Mit gpedit.msc? Wo da?
Ich finde keine Gruppe "lokale Netzwerkoperatoren" nur "Netzwerkkonfigurations-Operatoren", aber die sind "builtin".
Meinst Du das?

Gruß

Kay

simooz

Sorry, Kai, ich habe deine Antwort erst jetzt gesehen. Ich habe das wie folgt realisiert:

1. Eine Domänengruppe angelegt
2. Den Benutzer dieser Gruppe hinzugefügt
3. Via Policy diese Gruppe den lokalen Netzwerkoperatoren hinzugefügt

Dazu ist zu sagen, dass es (vermutlich) bis zum ersten Policy-Refresh auch mit diesem Benutzer lief. Zusätzlich wird bei jedem Policy-Refresh die Administratorengruppe neu geschrieben (um zu verhindern, dass sich einer permanent Administratorenrechte geben kann).

simooz

Hallo Kay

Irgendwie habe ich wohl die Benachrichtigung zu diesem Thema ausgeschaltet. Ich habe deine Einträge erst jetzt gesehen. Ich habe hier auch eine Windows 2003 Domäne. Die lokalen User und Gruppen kann man unter "Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups" einstellen. Ich kann dir auch mal noch ein paar Debug-Informationen zukommen lassen, wenn du mir sagst, was du benötigst.

Gruss

« vorherige Seite