Fernwartung per VNC und Modem

Hi Leute,

habe folgendes Problem: Ich habe einen Laptop, den ich fernwarten möchte, der aber nur per Modem ins Netz kann. Den PC nutzt jemand, der keine Adminrechte haben soll. Ich würde mich aber gerne als Admin anmelden können, während eine VNC Verbindung besteht. Geht das?

Also im Großen und ganzen geht es mir nur darum, dass der Benutzer bestimmte Ordner auf der Platte nicht öffnen können soll, ich als Fernwarter sollte das aber können. Nun könnte ich das Laufwerk ja mit einem Programm schützen (habe das vor kurzem gelesen), aber lieber wäre es mir, wenn das mit Windows alleine ginge!

Ich erkläre mal kurz: Der Benuter sitzt zu Hause und ich muss den PC nun fernwarten. Jetzt meldet er sich als eingeschränkter Benutzer an und wählt sich per Modem ins Netz ein. Ich melde mich per VNC auf seinen Rechner an und kann dort arbeiten, aber eben nur als eingeschränkter Benutzer, denn wenn ich mich jetzt abmelde und wieder als Admin anmelden will, wird ja die Internetverbindung geschlossen.

Hat jemand einen Lösungsvorschlag? Ich verwende sowohl am Laptop als auch auf meinem PC Windows XP, SP1.

Danke für eure Hilfe!

Greetz Lukas

ne möglichkeit wäre, daß du die funktion unter anderem benutzernamen ausführen anwendest, d.h. du bis über vnc als normaler user eingeloggt und willst nun ein programm unter admin-rechten ausführen, dann brauchst du eine verknüpfung auf dem desktop und klickst die checkbox wie vorhin genannt an und startest das programm, nun wirst du nach dem admin-passwort gefragt und anschließend läuft das programm unter admin rechten ab...

geetz

hugo

Ja, diese Funktion kenne ich schon. Nur leider hilft mir das nicht wirklich weiter, außer wenn ich mal ein Programm installieren muss. Aber um einen Ordner, der nur für den Admin freigegeben ist, zu öffnen, oder Dinge in der Systemsteuerung umzustellen, das geht leider nicht...

Oder gibt's da ein Programm, das das Wechseln von Benutzern innerhalb der Windows sitzung ermöglicht?

Danke trotzdem, hp!

Greetz Lukas

verwende doch die mmc, dort kannst du alle systemutilitys als plugin reinziehn und du kannst die kiste administrieren, genau deshalb hat ms dieses ausführen als ... eingeführt ...

greetz

hugo

Sorry, aber was soll ich in der MMC einstellen? Da komme ich jetzt nicht ganz mit!

Greetz Lukas

jetzt komm ich nicht ganz mit: mit hilfe der mmc kann man ja bekanntlich computer oder eine ad domäne zentral verwalten, ich hab über die mmc z.b. die ganze computerverwaltung, das .net-framework, die userverwaltung die datenträgerverwaltung, die ereignisanzeige, gerätemanager usw. unter einer oberfläche und durch die vergabe der eigenschafft ausführen als ... kann ich den remoten computer als admin verwalten. sollten einige features fehlen, so kann man die auch einzeln aufrufen. suche mal auf dem rechner nach *.msc dann werden dir alle windows-verwaltungs-komponennten angezeigt, jene die du brauchst kannst du auch verknüpfen und mit ausführen als ... aufrufen. so kann ich alle verwaltungssachen die der admin kann unter einem fremden account erledigen ...

greetz

hugo

Hi, also das mit der MMC wusste ich schon so, wie du es gesagt hast. Das mit den Verknüpfungen ist eine gute Idee!

Nur kann ich deswegen trotzdem nicht auf einen Ordner zugreifen, der nur für den Admin freigegeben ist. Selbst wenn ich eine Verknüpfung drauf anlege, dann kann ich nicht Ausführen als... auswählen!

Und eine andere Frage: Nachdem du dich ja scheinbar mit der MMC auskennst, kannst du mir vielleicht sagen, wie ich dem eingeschränkten Benutzer ganz klar Dinge erlauben und verweigern kann? z.B. das öffnen der Systemsteuerung. Habe das in der MMC als Snap-In gefunden (Richlinien für lokaler Computer --> Benutzerkonfiguration --> Administrative Vorlagen), aber gilt das dann nur für den eingeschränkten Benutzer oder für alle Benutzer (auch Admins). Ich will mich ja nicht selbst aus der Systemsteuerung aussperren ;D

Danke für deine HIlfe, ist echt super!

Greetz Lukas

Nur kann ich deswegen trotzdem nicht auf einen Ordner zugreifen, der nur für den Admin freigegeben ist. Selbst wenn ich eine Verknüpfung drauf anlege, dann kann ich nicht Ausführen als... auswählen

Zum Vergrößern anklicken....

Mappe Dir doch die entsprechende Partition als Administrator.

Also Netzlaufwerk verbinden > \\dein_computername\c$ > mit anderm Benutzernamen > dein_computername\administrator und Passwort.

... oder Du gibst dem Benutzer für die Dauer der VNC-Session Adminrechte.

über gruppenrichlinien kannst du den einfachen user ziemlich gut beschränken. du mußt nur aufpassen, daß du bei den einschränkungen die gruppe jeder (zu der auch der admin gehört) nicht aussperrst, z.b bei der berechtigung den explorer zu starten, sonst kommst du auch als admin nicht mehr an die kiste ran. dasselbe gillt auch für die ntfs-berechtigungen. über diese ntfs-berchtigungen kannst du die kiste soweit abschotten, daß der normale user z.b nur seine eigenen datein zu sehen bekommt und nur auf diese vollzugriff hat, der rest ist dann tabu, gewisse pfade müssen aber leseberechtigung haben, damit z.b. ein prog das nicht in seinem eigenen bereich installiert ist, aufgerufen werden kann. und mr.orange hat dir auch nocht aufgezeigt wie du auf verzeichnisse als admin zugreifen kannst, sollte so auch klappen. über gruppenrichtlinien kannst du hier http://www.grurili.de/ alles wichtige erfahren...

greetz

hugo

@MrOrange

Danke, das ist eine geniale Idee!

@hp

okay, danke. Werde mir die Seite mal ansehen!

@all
Eine Frage habe ich noch: Ich habe mir mal diese Seite angesehen http://www.pqtuning.de/index.htm?http://www.pqtuning.de/winxp/mc/mmc.htm und meine Konsoleneinstellung mal unter konsole.mmc abgespeichert. Unter Option habe ich aber auch noch Benutzermodus Vollzugriff statt Autorenmodus eingestellt. Und dann habe ich auch noch unter Administrative Vorlagen/Windows Komponenten/Microsoft Management Console das Autorenmodus für Benutzer nicht zulassen aktiviert. Nun habe ich das eben gespeichert und Schwups - konnte ich die MMC nicht mehr über Start-Ausführen öffnen. Ich konnte nur mehr die konsole.mmc öffnen, da aber keine Snap-Ins mehr hinzufügen und die Optionen waren auch weg ;D

Glücklicherweise konnte ich das dann wieder umstellen, aber was habe ich da falsch gemacht?
Wie kann ich dann verhindern, dass der eingeschränkte Benutzer die MMC öffnet?

hab ich ja gesagt, über gruppenrichtlinien... öffne mal die gpedit.msc, dann administrative vorlagen, windows-komponenten, microsoft management console, eingeschränkte/zugelassene snap-ins und jetz die berechtigungen so konfigurieren, daß der normale user nichts von alledem darf...

greetz

hugo

hp schrieb:

über gruppenrichlinien kannst du den einfachen user ziemlich gut beschränken. du mußt nur aufpassen, daß du bei den einschränkungen die gruppe jeder (zu der auch der admin gehört) nicht aussperrst...

Zum Vergrößern anklicken....

Ja ok, das habe ich gefunden. Aber wo sehe ich da die Gruppen? Ich sehe da keine Gruppe Jeder usw! Wenn ich hier jetzt eine Einstellung sperre, dann gilt die ja auch für die Admins, oder?

Ich bin übrigens nicht in einer Domäne! Das ist ein ganz normaler Laptop!

Danke, Lukas

Wenn das Laptop unter Win2k läuft:

DFÜ Verbindung während Benutzerwechsel beibehalten:

Wer möchte das eine bestehende DFÜ Verbindung auch beim Benutzerwechsel bestehen bleibt kann dies in der Registry eintragen
Unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
eine neue Zeichenfolge mit dem Namen KeepRasConnections einfuegen, und den Wert auf 1 setzen.

Ob das auch bei anderen Windowsen funktioniert kann ich nicht sagen...

klingt ja toll! Ich verwende zwar WINXP, aber mal checken. Warum sollte das unter XP nicht auch funken!

Danke jedenfalls!

Greetz Lukas

Irre! Es funktioniert! Du glaubst gar nicht, wie sehr du mir damit geholfen hast! Danke!!!

Greetz Lukas

Also für alle, die eine ähnliche Lösung brauchen: Ich habe mich letztendlich für UltraVNC entschieden, weil TightVNC einen Bug hat, der ziemlich nerven kann. Man muss die IP Adresse, die man verwalten will, voher einmal anpingen, sonst kann er beim 1x nicht connecten. Ist vor allem nötig, wenn man eine Dial-Up Connection hat.

Mit UltraVNC funkt das super! Weiters habe ich eben diesen RegistryKey in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon KeepRasConnections = 1 eingefügt und kann mich somit nun abmelden und mich als Admin anmelden und trotzdem die Internetverbindung beibehalten!

Danke an alle, die geantwortet haben!

Greetz Lukas