Hinzufügen eines Benutzers zur Gruppe "SYSTEM" oder ähnlich

[Adolar]

Hallo zusammen, es gibt Gruppen, die in der Computerverwaltung / Lokale Benutzer und Gruppen nicht angezeigt werden. SYSTEM ist nur ein Beispiel.
Der Hersteller meiner VPN-Software hat nun mit der Installation derer eine solche Gruppe angelegt und nur deren Mitglieder dürfen die VPN-Einstellungen ändern. Das geschieht über die Registry. Dort, in dem korrespondierenden Zweig, haben nur die Mitglieder dieser Gruppe Schreibrecht. Der handelsübliche lokale Admin genügt hier an dieser Stelle nicht mehr, dem wurde das Recht genommen.
Da ich in diesem Zweig aber etwas ändern möchte, muss ich wohl Mitglied in dieser Gruppe werden.
Wisst ihr was ich meine?

Wie komme ich an solche Gruppen heran, die nicht in der Computerverwaltung zum Frickeln offengelegt sind?
Risiko etc. ist mir bewusst. Ist mein eigener PC und mein eigenes VPN.
Neuinstallation wäre sicher möglich, ich will's aber trotzdem wissen, wie man mit solchen Gruppen umgeht.

VG, Adolar.

 

[Simanova]

Zitat Microsoft

Wichtige Bereiche farblich hevorgehoben.

Das SYSTEM-Konto wird vom Betriebssystem und von Diensten verwendet, die unter Windows ausgeführt werden. Es gibt viele Dienste und Prozesse im Windows-Betriebssystem, die die Möglichkeit benötigen, sich intern anzumelden, z. B. während einer Windows-Installation. Das SYSTEM-Konto wurde zu diesem Zweck entworfen, und Windows verwaltet die Benutzerrechte des SYSTEM-Kontos. Es handelt sich um ein internes Konto, das nicht im Benutzer-Manager angezeigt wird und keinem Gruppen hinzugefügt werden kann.

Unter Windows gibt es keine Möglichkeit, dass ein Benutzer ein Systemkonto wird und umgedreht. Jedoch kannst du Dienste mit einem Systemkonto oder Benutzer starten, das bleibt dir überlassen. Das eine Software XY ein Systemkonto erstellt oder dessen Rechte nutzt, ist seit Windows NT / XP Standard in der IT. Damit wird verhindert, dass Fremde sich mit diesen Systemkonten anmelden können.

 

[Phil_81]

Du installierst dir eine VPN-Software, über die du keine Kontrolle hast?

SYSTEM ist übrigens ein lokaler spezieller Benutzer für Dienste usw., keine Gruppe... Und mir wären jetzt keine Gruppen bekannt, die NICHT in der Computerverwaltung angezeigt werden - ausser, es handelt sich um AD-Gruppen. Aber da es sich ja um deinen Privat-PC handelt, dürfte dir das ja bekannt sein.

 

[Drewkev]

VPN-Software

Welche denn? Vielleicht gibt es andere Wege.

 

[Adolar]

Hallo Leute, das Beispiel SYSTEM sollte nur verdeutlichen, worum es geht. Um eine eingeschränkte Gruppe, die nicht im Gruppenmanager zu sehen ist. Und ja, ich habe die Kontrolle über die VPN-Software, ich kann sie jederzeit deinstallieren und neu installieren. Es herrscht nur ein durchaus sinnvoller Schreibschutz während des Betriebs und ich möchte wissen, wie der funktioniert. Es geht also nicht um genau diese Software per se, sondern um das Fachwissen, wie man Gruppen behandelt, die nicht in der Computerverwaltung zu sehen ist.
Das ich keine Kontrolle habe, habe ich nie geschrieben.
Aber ich sehe, es ist eine Gruppenrichtlinie. Simanova, besten Dank für den Tipp. Problem gelöst.
Allen anderen natürlich auch besten Dank fürs Nachdenken. Hat mir geholfen.

 

[Drewkev]

Es geht also nicht um genau diese Software per se, sondern um das Fachwissen, wie man Gruppen behandelt, die nicht in der Computerverwaltung zu sehen ist.

Das ist für mich aber ein XY-Problem, denn normalerweise hast du mit solchen Gruppe/Accounts (wie SYSTEM) nichts am Hut, höchstens bei Windows Server. Dass eine Software eine eigene Gruppe erstellt, ist mir so auch neu.

Was sein kann ist, dass man gewisse Software als angemeldeter Administrator und nicht mit Administratorrechten installieren muss, da macht Windows anscheinend einen Unterschied, aber sonst.

 

[Phil_81]

Für mich klingt das ein bissel nach einem Verständnisproblem...

Mit lokalen Admin-Rechten kannst du dir die entsprechenden Rechte auf den Registry-Zweig vererben (und auch andere User hinterlegen), dann hat sich das Problem mit dem Zugriff erübrigt.

 

[kartoffelpü]

Nuja, es gibt schon Registryzweige/Dienste, die man selbst als Admin nicht modifizieren kann (und sich dei Berechtigung auch nicht selber zuweisen kann), sondern nur im abgesicherten Modus.
Werden die meisten Securitysuiten nutzen, um eben einen Schutz zu haben, dass Trojaner/Viren die Dienste im Hintergrund nicht einfach ausschalten können.

Aber ich würde ganz einfach den Hersteller fragen, wie denn die normale Vorgehensweise zur Änderung von Einstellungen erfolgen soll, wenn angeblich die Berechtigungen von einem Admin nicht reichen.

 

[Adolar]

...sondern nur im abgesicherten Modus.

Der war auch gut! Super Tipp! Danke. Da hätte ich auch von allein drauf kommen können 😄

Ergänzung (19. September 2024)

Mit lokalen Admin-Rechten kannst du dir die entsprechenden Rechte auf den Registry-Zweig vererben (und auch andere User hinterlegen), dann hat sich das Problem mit dem Zugriff erübrigt.

Man kann aber auch einem dedizierten Benutzer den Vollzugriff geben, und dann allen anderen Benutzern und auch Admins den Schreibzugriff verbieten. Verbieten geht über erlauben. Und schon ist der Admin raus ;-)

Ergänzung (19. September 2024)

Dass eine Software eine eigene Gruppe erstellt, ist mir so auch neu.

Ja, das war es für mich auch. Hab gerade viel gelernt, was so alles geht.
Aber die Hersteller von Sicherheitssoftware wie zum Beispiel Virenscanner, VPN-Software etc. haben da schon eine Menge Insiderwissen...

 

[Phil_81]

Man kann aber auch einem dedizierten Benutzer den Vollzugriff geben, und dann allen anderen Benutzern und auch Admins den Schreibzugriff verbieten. Verbieten geht über erlauben. Und schon ist der Admin raus ;-)

Ergänzung (19. September 2024)

Schon, aber als Admin kannst doch auch die Berechtigungen/Besitzer doch auch wieder neu setzen (und nach unten durchreichen)... So zumindest hab ichs im Kopf bzw. auch schon gemacht.

 

[Adolar]

...als Admin kannst doch auch die Berechtigungen/Besitzer doch auch wieder neu setzen...

Nein. Wenn dir das Schreiben verboten wurde, kannst du ein Recht nicht wieder setzen. Wie denn, das wäre ja ein Schreibvorgang. Der ist aber verboten :-D
Das geht nur, wenn dem Admin das Schreibrecht lediglich entzogen wurde, nicht aber wenn es ihm explizit verboten wurde.
Wie gesagt, Verbot geht über Erlaubnis.
Das gilt für NTFS genau so wie für die Registry.

 

[Phil_81]

Ja gut, explizit verbieten hatte ich jetzt nicht im Kopf, danke

 

[Gulp]

Ja, man kann tatsächlich jemanden in Windows von Ordnern oder Registryzweigen, etc "aussperren" in der Regel belässt man aber immer den Besitzer mit Vollzugriff in den Berechtigungen, eben um Geisterobjekte, auf die am Ende dann keiner mehr Zgriff hat zu vermeiden.

Und da kommt dann der "Trick" mit dem lokalen Admin, denn der kann per Default und Definition immer den Besitz eines Objektes übernehmen und damit auch Zugriff erlangen um wenigstens einen weiteren User zu den Berechtigungen hinzuzufügen oder aber dann doch direkten Zugriff zu haben. Das ist auch genau der Grund warum es in der Regel nicht ratsam ist als lokaler Admin unterwegs zu sein.

Bei irgendwelcher Software, die DEM lokalen Default Account "Administrator" (also nicht einem Admin-User) explizit Zugriff auf Teile oder den gesamten Programmanteil verweigert wäre ich sofort zumindest stutzig oder irritiert.

Just my 2 cents ....

EDIT:

Was das Schreiben verbieten angeht, bedeutet das lediglich, dass die Werte/Schlüssel etc nicht bearbeitet werden können, Berechtigungen setzen sind sogenannte "Spezielle Rechte" die haben mit dem Schreiben an sich nichts zu tun ........

Grüsse

Gulp

 

[derlorenz]

Du könntest doch ein Script schreiben, was den hive so ändert, wie du es brauchst. Das Script lässt du dann als „system“ ausführen:

https://powershelltoolbox.tech/testing-powershell-scripts-as-the-system-account/