none
Jak povolit spouštění nástroje MMC i pro neadministrátory

    Dotaz

  • Ahoj. Několika lidem bych potřeboval povolit administraci určitých uživatelů a skupin v active directory přes vzdálenou plochu přímo na serveru. Nemám problém s nastavením oprávnění na AD objekty. Problém je v samotném nástroji MMC, který vyžaduje zvýšená oprávnění pro spuštění.  Zjistil jsem, že mu stačí skupina Account Operators, ale i tato skupina poskytuje jejím členům až moc vysoká oprávnění než která potřebuji. Jakým způsobem povolím vybraným uživatelům nebo nějaké skupině spouštění tohoto konkrétního programu? Pokud jsem pochopil, tak to blokuje UAC. Našel jsem "řešení", že bych UAC úplně vypnul, ale do toho se nechci pouštět. Potřebuju prostě vedle skupin Administrators, Accout Operators (a asi to jde i s Server Operators) přidat další speciálně pro spouštění tohoto programu. Jak na to?

    (vzdálená administrace přes mmc není řešení, potřebuju to spouštět přímo na serveru, ne všichni, kterým potřebuju administraci povolit mají windows vista a výše, někteří mají dokonce linux)

    5. května 2012 19:11

Odpovědi

  • Tak si odpovím sám. Na MMC není potřeba žádná speciální skupina. Celý problém tkví v tom, že pokud se MMC spouští pod účtem jiným než Administrator, pak UAC vyžaduje heslo. Toto heslo nemusí být administrátora, stačí toho uživatele, který to spouští. V ten okamžik nastane problém, protože daný uživatel, pokud není členem Account Operators apod., nemá oprávnění k lokálnímu přihlašování k systému. Právě oprávnění k lokálnímu přihlašování se v tento okamžik kontroluje, což je trošku padlé na hlavu (je logické proč, ale dost špatně navržené z pohledu bezpečnosti). Stačí přes editaci politik pro doménové servery přidat oprávnění k lokálnímu přihlašování pro daného uživatele, provést gpupdate a poté už může MMC spouštět.

    Ještě by mě zajímalo: není možné separovat UAC kontrolu od "lokálního přihlašování"? Prostě tak, aby daný uživatel mohl v MMC vzdáleně (přes rdesktop) pracovat, ale nemohl se lokálně přihlásit.

    6. května 2012 0:37

Všechny reakce

  • Tak si odpovím sám. Na MMC není potřeba žádná speciální skupina. Celý problém tkví v tom, že pokud se MMC spouští pod účtem jiným než Administrator, pak UAC vyžaduje heslo. Toto heslo nemusí být administrátora, stačí toho uživatele, který to spouští. V ten okamžik nastane problém, protože daný uživatel, pokud není členem Account Operators apod., nemá oprávnění k lokálnímu přihlašování k systému. Právě oprávnění k lokálnímu přihlašování se v tento okamžik kontroluje, což je trošku padlé na hlavu (je logické proč, ale dost špatně navržené z pohledu bezpečnosti). Stačí přes editaci politik pro doménové servery přidat oprávnění k lokálnímu přihlašování pro daného uživatele, provést gpupdate a poté už může MMC spouštět.

    Ještě by mě zajímalo: není možné separovat UAC kontrolu od "lokálního přihlašování"? Prostě tak, aby daný uživatel mohl v MMC vzdáleně (přes rdesktop) pracovat, ale nemohl se lokálně přihlásit.

    6. května 2012 0:37
  • No mne by spsie zajimalo, proc to resis pres RDP? Neni elegantnejsi reseni nainstalovat prislusnym uzivatelum RSAT na jejich stanice?

    BB

    7. května 2012 6:43
  • Důvod je v původním příspěvku v poslední větě (odstavci).

    JCH

    7. května 2012 6:46
  • Aha,  nevsimnul jsem si. :-(

    BB

    7. května 2012 7:08