OpenVPN vs Win7

OpenVPN ist ein nettes Werkzeug um schnell mal ein einfaches VPN auf die Beine zu stellen, welches als Draufgabe relativ reibungslos funktioniert. Die Betonung liegt diesmal auf ‚relativ Reibungslos‘, da es unter Windows 7 mit den normalen Benutzerrechten ein klitzekleines Problem gibt:

Um das VPN erfolgreich nutzen zu können, muss das Routing des PCs automatisch angepasst werden, was im Normalfall erhöhte Berechtigungen benötigt. Ist der User kein Administrator, haben wir erst einmal Pech und das Ding verweigert seinen Dienst. Als Admin vertrete ich selbst die Ansicht, dass die einzelnen Benutzer so wenig Berechtigungen wie nur möglich haben sollen, um Schaden am System klein zu halten. Das heißt, den Benutzer als Administrator anzulegen steht bei mir auf der Liste der Todsünden.

Doch wie kommt man nun um das Problem herum?

Ein toller Weg ist das gezielte Verbiegen der Berechtigungen, welches mit lusrmgr.msc gemacht wird. Dort hieven wir den entsprechenden Benutzer, welcher das VPN benötigt in die Gruppe der Netzwerkkonfigurations-Operatoren, was ihm die Berechtigung gibt, am Netzwerk herumzuschrauben und das Routing anzupassen.

Dem OpenVPN-GUI verpassen wir noch den Kompatibilitätsmodus-Haken „Als Administrator ausführen“ und dann kann es auch schon losgehen. Unschön dabei ist, dass der Benutzer sein Passwort nochmal eingeben muss – aber damit kann ich besser leben, als dem Benutzer volle Administrator-Berechtigungen zu geben.

Author:

One thought on “OpenVPN vs Win7”

  • Yep. That should work. In my case I used Steel RunAs (there was a free version somewhere) to allow OpenVPN GUI to be run as administrator..

    That was because in my case it was risky to let the users add routes. Of course an application running with full privileges is risky too.

    Also running OpenVPN as a service does not require Admin privileges, but in some cases it can be messy. I use it like that in some clients.

    http://www.steelsonic.com/steelrunas.htm

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Notify me of followup comments via e-mail. You can also subscribe without commenting.