AD Benutzer Recht für Netzwerkeinstellungen geben

[violentviper]

Hallo,

ich betreibe einen Windows Server 2012, welcher als Domäne Controller dient und möchte manchen AD Benutzern das Recht gewähren, dass sie die Netzwerkeinstellungen ändern können. Hier poppt natürlich sofort die Loginmaske auf, da die Benutzer keine Adminrechte haben - und auch nicht bekommen sollen.
Kann man in der Windowsrechteverwaltung irgendwo einstellen, dass ein Benutzer zusätzlich zu seinen Standardrechten Vollzugriff auf die Netzwerkeinstellungen auf seinem Computer haben darf?

 

[EDV-Leiter]

Schon mal an Tools wie Netsetman gedacht? damit lassen sich die wichtigsten Einstellungen ohne Adminrechte vornehmen.

 

[Homura]

Gruppenrichtlinien Verwaltung (GPO)

 

[t-6]

Zwei wichtige Fragen:
1) Versteh ich richtig dass du normalen Benutzern das Recht geben willst auf einem Domänencontroller Netzwerkeinstellungen zu ändern?
2) Was ist der Zweck dahinter dass Benutzer die Netzwerkeinstellungen ändern können sollen? (XY-Problem)

 

[azereus]

Denke es geht um die clients und nicht um den dc. Geht leider nicht klar hervor

 

[Zero_Official]

wenn du das meinst:

dann ist das erlaubt,
beinhaltet aber nicht eigenschaften vom Netzwerkadapter zu ändern, aber per netsh kann man zb. ip und gateway ändern ohne admin.

 

[BFF]

damit lassen sich die wichtigsten Einstellungen ohne Adminrechte vornehmen.

Das ist so nicht richtig. Es muss ein administrative Konto, was die Rechte hat die Aenderungen zu machen, in NetSetMan eingegeben werden. Steht auch klipperklar in der Beschreibung.

https://www.netsetman.com/de/help?hf=de#hf_nsmservice

@violentviper
Kannst Du mal tippen, was konkret Du da machen willst?

BFF

 

[violentviper]

Es sollen die Netzwerkeinstellungen auf dem Client von den AD Benutzern geändert werden können - nicht auf dem DC. Die Benutzer müssen öfters mal Netzwerkgeräte konfigurieren, und hierzu müssen sie auf ihrem Client die Einstellungen im Netzwerkadapter ändern.

 

[Raijin]

Die Benutzer müssen öfters mal Netzwerkgeräte wie z.B eine Hardwareuhr konfigurieren, und hierzu müssen sie auf ihrem Client die Einstellungen im Netzwerkadapter ändern.

Für solche Zwecke habe ich bei uns in der Firma ein separates Netzwerk eingerichtet, in das ich alle solche Geräte hänge, weil ich nicht möchte, dass die im Firmennetz rumgeistern.

Der Zugriff auf diese Geräte erfolgt einfach über das Standardgateway, das in besagtes Netzwerk routet (und der Einfachheit halber mittels masquerade NATtet). Am PC des Nutzers muss man dazu nichts weiter einstellen. Der einzige Knackpunkt ist dabei der, dass solche Geräte eben eine Standard-IP ab Werk haben, für die man am Gateway auf dem Interface des Testnetzwerks eine passende IP im selben Subnetz konfigurieren muss. Das ist aber halb so wild, weil es in der Regel sowieso nur eine Standard-IP in einem der meist verbreiteten Subnetze auf dieser Erde ist (zB 192.168.0.x, 192.168.1.x)

Auf diese Weise richte ich regelmäßig Panel-PCs, Cisco Firewalls, EdgeRouter und dergleichen ein. Ins Testnetz hängen, Standard-IP im Browser eingeben, einloggen, Änderungen machen, Gerät ins Zielnetz verfrachten.

 

[violentviper]

Das wird leider für mein Szenario so nicht funktionieren. So wie es aussieht, hat Windows dafür da keine wirkliche Lösung parat. Vereinzelte Rechner müssen regelmäßig das Netz ändern, um verschiedenste Geräte konfigurieren zu können. Da wird ein Testnetz nicht reichen, da es eine Vielfalt an verschiedensten Netzen gibt.

 

[Raijin]

Hm.. Ich bin mir aber nicht sicher ob man einem Benutzer tatsächlich nur die Kontrolle über die Netzwerkeinstellungen gewähren kann. Dazu stecke ich aber offen gestanden im Thema Windows Server und AD nicht tief genug drin.



Nur zur allgemeinen Einschätzung: Über wie viele Mitarbeiter und analog dazu wie viele verschiedenen Gerätetypen reden wir denn?



Unter Umständen wäre es auch eine Option, zentral einen (oder mehrere) Rechner in so ein Testnetzwerk zu hängen und diesen dann entweder physisch (Stichwort: Werkstattplatz) oder mittels RDP fernzusteuern. Diesen Rechner kann man dann mit Admin-Rechten ausstatten, das Netzwerk als solches ist aber dennoch durch die Firewall im Gateway isoliert bzw. reglementiert (zB eine feste IP für RDP-Verbindung).


Die Sache ist nämlich die: Es kann problematisch sein, wenn jeder einfach so irgendwelche fremden Geräte ins Netzwerk hängt. Das ist bei uns sogar verboten, wurde von meinen Vorgängern aber trotzdem so praktiziert, weswegen ich eben das Testnetz eingerichtet habe. Als ich hier anfing und meine damalige Kollegin einfach so ein VPN-Gateway mit aktivem DHCP ins Firmennetz hing, kurze Zeit später der 2-Tage-die-Woche-Freelancer-IT-Admin von unterwegs anrief und resignierend meinte "Ach, Anna richtet wieder ein VPN-Gateway ein, is ok, aber sag ihr sie soll schnell machen", habe ich ziemlich doof geguckt. Sowas war einfach nur laienhaft und hat nachweislich regelmäßig zu Problemen geführt...




Wenn alle Stricke reißen und eine Alternativlösung nicht gewünscht oder nicht möglich ist, die Rechte via AD aber dennoch nicht ausreichend zugeschnitten werden können, kann man ggfs über eine VM nachdenken. Selbige wird mit gebrücktem LAN mehr oder weniger direkt ins (Büro-)Netzwerk gehängt und der Benutzer hat volle Admin-Rechte. So kann er beliebig die IPs ändern, kann aber am eigentlichen Host-System trotzdem nix verstellen.

 

[nosti]

Moin,

alternativ kannst du auch schauen, dass du die Nutzer in die Gruppe der lokalen Netzwerkadministratoren auf dem Client aufnimmst. Damit sollten diese die Netzwerkeinstellungen konfigurieren können.

Grüße

 

[andimo3]

was ist denn mit der Rolle „Netzwerkkonfigurations-operator“? Kannst du die nicht zusätzlich deinen Usern zuweisen?

 

[Tom_123]

Hi,

wenn die jew. Benutzeraccounts Mitglied von andimo3 genannten lokalen Benutzergruppe sind, sollte es klappen. Je nachdem wie "scharf" die UAC eingestellt ist, kann es ggf. noch zu einer Sicherheitsabfrage kommen. Diese kann aber auch der jeweilige Benutzer durch Eingabe seines Kennwortes bestätigen.