Wireguard/Windows10 ohne Admin-Rechte?

[ropf]

Unsere Mitarbeiter arbeiten ab und an von zuhause aus. Dafür nutzen sie seperat angelegte lokale Konten auf ihren privaten Laptops, und bekommen über wireguard Zugriff aufs Firmennetz.

Das funktioniert soweit, ausser dass man admin-Rechte braucht, um die Wireguard-Verbindung auf- bzw. abzubauen. Für win10 pro gibt es einen workaround, indem man das betreffende Konto der Gruppe "Network Configuration Operators" zuordnet - aber bei Windows 10 home gibt es weder die Gruppe noch die Werkzeuge ...

Also - kennt jemand einen Weg für Win10 Home? Kann den Leuten ja schlecht zumuten, ihre Installation über den Haufen zu schmeissen, um ein anderes Windows auf ihre privaten Computer zu spielen ...

 

[redjack1000]

Also - kennt jemand einen Weg für Win10 Home?

Gib dem entsprechenden Benutzer auf dem Windows Home Adminrechte.

Kann den Leuten ja schlecht zumuten, ihre Installation über den Haufen zu schmeissen, um ein anderes Windows auf ihre privaten Computer zu spielen ...

Ist nicht nötig. Kauf eine entsprechende (Upgrade)-Lizenz, mach ein Upgrade von Home zu Pro, schon hast du alles was Du benötigst.

Meine Persönliche Meinung, ein Windows Home Produkt, gehört nicht in eine Firmenumgebung. Warum? Der Admin hat nicht die erforderlichen Tools, das Produkt zu administrieren.

CU
redjack

 

[n1tro666]

Kauf eine entsprechende (Upgrade)-Lizenz, mach ein Upgrade von Home zu Pro, schon hast du alles was Du benötigst.

nur für gruppenrichtlinien? ich bitte dich.

ein Windows Home Produkt, gehört nicht in eine Firmenumgebung.

dem stimme ich allerdings zu.

kennt jemand einen Weg für Win10 Home?

also wenn es sich um nur gruppenrichtlinien handelt, die kann man unter home 'nachrüsten'.
Hier gibt es einen Artikel dazu.

 

[redjack1000]

die kann man unter home 'nachrüsten'.
Hier gibt es einen Artikel dazu.

Das kenne ich und es hat mich schon viel Freizeit gekostet.

Solche Frickellösungen, fallen einem früher später auf die Füße, deshalb lasse von so etwas die Finger.

Da habe für billig einfach keine Zeit.

Cu
redjack

 

[Sebbi]

Dafür nutzen sie seperat angelegte lokale Konten auf ihren privaten Laptops, und bekommen über wireguard Zugriff aufs Firmennetz.

wie groß ist eure Firma?

Sowas würde ich grundsätzlich nicht machen, alleine schon aus Datenschutz-, Firmengeheimniss und Sicherheitsgründen. Denn wer sagt das die sich privat nicht ne richtig fetten Trojaner einfangen, der sich so aufs Firmennetzwerk verbreitet?

Was spricht dagegen, das die Leute für ihren Arbeitsplatz einen Laptop mit Dockingstation bekommen, den die dann auch im mobilen Arbeiten mit der Wireguardverbindung, die dann ohne Admin Rechte funktioniert, nutzen können?

Eigentlich ist hier jeder andere Tipp, der hier gegeben wird, extrem fragwürdig und sollte nur mit massiven Zähneknirschen verfolgt werden. Denn IT Security sieht anders aus und wenn das die Datenschutzbeauftragten spitzbekommen, könnt ihr euch warm anziehen.

Normalerweise, wenn es schon "Bring your own Device" sein muss, gehört dort drauf ein Windows Pro oder entsprechend, das Gerät in die Domäne mit Gruppenrichtlinien, anderen Vorgaben und einer Firmen Antivirus Endpoint Lösung etc etc.

 

[qiller]

Hab bisher immer nur IKEv2 und OpenVPN benutzt und da braucht man nur fürs einmalige Einrichten Adminrechte. Die Adminrechte, die man sonst fürs Anlegen der lokalen Routeneinträge bräuchte, richtet OpenVPN halt über einen Dienst ein. Und bei IKEv2 regelt man das über den "Add-VpnConnectionRoute"-Befehl, falls man mit Splittunnel arbeitet.

Gibts für Wireguard denn keinen Client für Windows, der das so handhabt wie OpenVPN?

Edit: Scheint wohl ne Bastellösung zu geben.

 

[LasseSamenström]

Also - kennt jemand einen Weg für Win10 Home? Kann den Leuten ja schlecht zumuten, ihre Installation über den Haufen zu schmeissen, um ein anderes Windows auf ihre privaten Computer zu spielen ...

Warum haben die dann keine Adminrechte? Versteh ich nicht.

 

[Tom345]

imho geht es mit Home ohne echte Adminrechte nicht. Auch die Lösung bei Pro die User in die Grupe der Netzwerkoperatoren zu setzen halte ich für nicht ganz ideal. Der User kann dann eben die IP / DNS Einstellungen ändern.....

 

[ropf]

die kann man unter home 'nachrüsten'.

Danke - interessante Möglichkeit - aber mir ehrlich gesagt zu frickelig, um sie auf eine ganze Reihe von (Fremd-)Geräten anzuwenden

mach ein Upgrade von Home zu Pro, schon hast du alles was Du benötigst.

Ok, darauf wird es wohl hinauslaufen. Mir war nicht klar, ob das so einfach möglich ist - immer wenn es um M$ Lizenzbedingungen geht, geht bei mir eine Hassleuchte an, die verstehendes Lesen unmöglich macht ;-)

wie groß ist eure Firma? Sowas würde ich grundsätzlich nicht machen, alleine schon aus Datenschutz-, Firmengeheimniss und Sicherheitsgründen. ... Was spricht dagegen, das die Leute für ihren Arbeitsplatz einen Laptop mit Dockingstation bekommen, den die dann auch im mobilen Arbeiten mit der Wireguardverbindung, die dann ohne Admin Rechte funktioniert, nutzen können?

Kleine Firma, 10 Arbeitsplätze - eine Domänenverwaltung mit der dann notwendigen Redundanz wäre mit Kanonen auf Spatzen geschossen. Auch "Mobile Arbeitsplätze" mit Laptops und Dockingstations sind für uns eher ungeeignet.

wenn das die Datenschutzbeauftragten spitzbekommen, könnt ihr euch warm anziehen.

Was würde der denn beanstanden? Weder besteht ein Zugriff seitens der Firma auf die privaten Daten, die Mitarbeiter auf ihren privaten Laptops haben - noch haben diese von dort aus Zugriff auf Daten, die irgendwie sensibel wären.

Warum haben die dann keine Adminrechte?

Klar haben die Leute auf ihren eigenen Geräten Admin-Rechte - aber sie sollen sie (ausser für Verwaltunggsaufgaben nicht benutzen.

 

[Sebbi]

Laptops und Dockingstations sind für uns eher ungeeignet.

was spricht dagegen? Denn das einzige was mir einfallen würde, wären die Kosten für die Hardware und so - für nen OfficeRechner wären das Kosten von pi mal Daumen 18000 € aller 3 - 5 Jahre für 10 Mitarbeiter, wobei diese dann entsprechend abgeschrieben werden können.

noch haben diese von dort aus Zugriff auf Daten, die irgendwie sensibel wären

Ach gilt das auch für Trojaner, die die privaten Rechner infizieren, durch Rechteausweitung das Arbeitsprofil infiltieren und dann sich bei euch im Netzwerk breit machen? Heißt hat euer Chef (denke mal ihr habt keinen anderen Personaler) für Personalangelegenheiten einen speraten Rechner haben müsste, der nicht mit dem Rest verbunden ist. Alles andere kann problematisch werden.

Ansonsten bitte mal das hier durchlesen und mal kritisch nachdenken, ob da wirklich keine sensiben Daten verwendet werden:

https://barth-datenschutz.de/dsgvo-in-kleinen-unternehmen/ - vorallem den Punkt "Regeln Sie den grundsätzlichen Datenschutz im Unternehmensalltag"

 

[LasseSamenström]

Wireguard per Aufgabenplanung als Admin starten lassen bei Anmeldung