Benutzer, die über ein VPN verbunden sind, sollten über eine Verbindung zu einem Domänencontroller verfügen (möglicherweise schreibgeschützt), um die Kontoauthentifizierung zu bestätigen. Das klingt wie das Zentrum Ihres speziellen Problems. Wenn der Windows-Computer Active Directory nicht sehen kann, kann er keine domänenbasierten Änderungen bestätigen, einschließlich der Administratoren, die versuchen, den Benutzer zu einem Administrator zu machen. Arbeiten Sie mit Ihrem VPN-Anbieter zusammen, um sicherzustellen, dass die entsprechenden Firewall-Regeln für die domänenbasierte Authentifizierung eingerichtet sind.
Wenn der Benutzer mit dem VPN verbunden ist, sollte der Systemadministrator über ein Remotezugriffstool verfügen, um den Bildschirm freigeben und alle UAC-Steuerungsfenster anzeigen zu können, die angezeigt werden. Dameware und das integrierte Remote Assistance Tool funktionieren gut. WebEx macht die Remote-Sitzung nicht schwarz, wenn die UAC-Eingabeaufforderung angezeigt wird.
Mit dem Remotezugriffstool kann der Systemadministrator mit der rechten Maustaste auf eine Installationsdatei klicken und "Als Administrator ausführen" oder "Als anderer Benutzer ausführen" auswählen und die Administratoranmeldeinformationen verwenden, um das Installationsprogramm auszuführen. Wenn der Benutzer mit dem VPN verbunden ist, kann sich der Computer beim Active Directory-Domänencontroller authentifizieren und dem Administrator Zugriff gewähren, um das Installationsprogramm auszuführen. Dadurch werden auch die Anmeldeinformationen für eine spätere Verwendung zwischengespeichert, als ob sich der Administrator lokal angemeldet hätte und der Benutzer das Administratorkennwort an keiner Stelle sehen oder kennen kann.
Wenn es sich um eine MSI-Datei handelt oder die Befehlszeile erfordert, klicken Sie mit der rechten Maustaste auf das Eingabeaufforderungssymbol im Startmenü (siehe oben) und verwenden Sie nach der Authentifizierung MSIEXEC, um die MSI zu installieren.
LAPS wird, wie von Slipeer erwähnt, zu einem späteren Zeitpunkt eingerichtet, da es das unmittelbare Problem nicht löst. Es löst das Problem, dass ein Benutzer nicht über eine Netzwerk- oder VPN-Verbindung verfügt, indem Active Directory die Verwaltung einzelner lokaler Administratorkonten ermöglicht. Wenn der Remotebenutzer jedoch derzeit keine Verbindung über VPN mit der Domäne herstellen kann, kann er nicht an das System gesendet werden.
Wenn Sie kein Remotezugriffstool verwenden können, um an der Benutzerkontensteuerung vorbeizukommen, können Sie compmgmt.msc auf einem lokalen Computer verwenden, eine Verbindung zum Computer des Benutzers herstellen, ein temporäres lokales Administratorkonto erstellen und es wie oben verwenden. Dann deaktivieren Sie es, bevor der Benutzer die Verbindung trennt aus dem VPN. Auch dies ist nur möglich, wenn Sie eine Verbindung zu einem Active Directory-Domänencontroller haben.