Als Standarduser Programme als Admin starten
Hallo zusammen,
im Unternehmen haben wir eine kleine Hürde. Undzwar möchten wir aus Sicherheitsgründen dass jeder User Standarduser ist. Allerdings benötigen paar Programme Adminrechte um zu starten. Der momentane Zustand ist, dass wir jedes mal zum Kollegen hingehen und unsere Daten eingeben müssen der die Rechte benötigt. Manche mussten wir auch wieder lokale Adminrechte geben.
Unsere Vorstellung ist das ganze aus der ferne zu steuern und freizugeben. Da alle Benutzer im AD sind, sollte es ein Tool sein das man zentral steuern kann.
Leider suche ich schon seit längeren nach einer Lösung und hoffe das ihr mir weiterhelfen könnt.
Gruß
im Unternehmen haben wir eine kleine Hürde. Undzwar möchten wir aus Sicherheitsgründen dass jeder User Standarduser ist. Allerdings benötigen paar Programme Adminrechte um zu starten. Der momentane Zustand ist, dass wir jedes mal zum Kollegen hingehen und unsere Daten eingeben müssen der die Rechte benötigt. Manche mussten wir auch wieder lokale Adminrechte geben.
Unsere Vorstellung ist das ganze aus der ferne zu steuern und freizugeben. Da alle Benutzer im AD sind, sollte es ein Tool sein das man zentral steuern kann.
Leider suche ich schon seit längeren nach einer Lösung und hoffe das ihr mir weiterhelfen könnt.
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 263984
Url: https://administrator.de/contentid/263984
Ausgedruckt am: 24.11.2024 um 20:11 Uhr
15 Kommentare
Neuester Kommentar
Hi,
die Lösung ist, herauszubekommen, warum das Programm nicht funktioniert, wenn man kein Administrator ist. Also wo es schreiben will aber nicht darf.
Das wurde hier schon oft gefragt und beantwortet. z.B. hier
E.
die Lösung ist, herauszubekommen, warum das Programm nicht funktioniert, wenn man kein Administrator ist. Also wo es schreiben will aber nicht darf.
Das wurde hier schon oft gefragt und beantwortet. z.B. hier
E.
Huhu,
gibt mehrere Möglichkeiten. Wenn es immer das gleiche Programm ist: pcwRunAs von PCWelt. Das kannst du einmal installieren und dem User damit einen Link auf dem Desktop anlegen womit er das Programm als Admin startet, das Admin-Pw aber nicht sehen kann.
Eine Lösung mit der man ein spez. Programm als Admin starten kann ohne Adminrechte zu haben die über das AD gesteuert wird, ist mir nicht bekannt.
Gruß
BBfreak
gibt mehrere Möglichkeiten. Wenn es immer das gleiche Programm ist: pcwRunAs von PCWelt. Das kannst du einmal installieren und dem User damit einen Link auf dem Desktop anlegen womit er das Programm als Admin startet, das Admin-Pw aber nicht sehen kann.
Eine Lösung mit der man ein spez. Programm als Admin starten kann ohne Adminrechte zu haben die über das AD gesteuert wird, ist mir nicht bekannt.
Gruß
BBfreak
Hi.
3 Wege:
A Programm durch ordentliches Programm, welches keine Adminrechte benötigt, ersetzen.
B Anmeldeinformationen eines Admins übergeben (runas /savecred, diverse Tools, die meinen, dieses Kennwort verschleiern zu müssen) - alles unsicher... nur einsetzen, wenn auf Sicherheit kein Wert gelegt wird
C Ein Produkt wie Powerbroker Desktop kaufen, das in der Tat einzelne Programme mit anderen Rechten und dennoch abgeschirmt gegen den Rest starten kann. www.beyondtrust.com/Products/PowerBrokerforWindows/
3 Wege:
A Programm durch ordentliches Programm, welches keine Adminrechte benötigt, ersetzen.
B Anmeldeinformationen eines Admins übergeben (runas /savecred, diverse Tools, die meinen, dieses Kennwort verschleiern zu müssen) - alles unsicher... nur einsetzen, wenn auf Sicherheit kein Wert gelegt wird
C Ein Produkt wie Powerbroker Desktop kaufen, das in der Tat einzelne Programme mit anderen Rechten und dennoch abgeschirmt gegen den Rest starten kann. www.beyondtrust.com/Products/PowerBrokerforWindows/
Guten Abend,
Prüf' doch mal ob dieses Programm ggf. nur Schreibrechte in einem Systemordner (z.B. C:\Programme (x86)\Programmname\ ) benötigt. Dann kannst Du diesen Ordner mit Schreibrechten für den/die User versehen.
Ja leider gibt es solche ver... Programme. Sind teilweise den Auftragnehmern von Behörden bundesweit vorgeschrieben. Haben wir auch. Oder: Müssen wir auch haben. Bis zur Vorletzten Version war der Programmpfad = C:\Programmname\ . hat Windows nicht gestört. Jetzt: C:\Programme (x86)\Programmname\
Gruß
Holger
Prüf' doch mal ob dieses Programm ggf. nur Schreibrechte in einem Systemordner (z.B. C:\Programme (x86)\Programmname\ ) benötigt. Dann kannst Du diesen Ordner mit Schreibrechten für den/die User versehen.
Ja leider gibt es solche ver... Programme. Sind teilweise den Auftragnehmern von Behörden bundesweit vorgeschrieben. Haben wir auch. Oder: Müssen wir auch haben. Bis zur Vorletzten Version war der Programmpfad = C:\Programmname\ . hat Windows nicht gestört. Jetzt: C:\Programme (x86)\Programmname\
Gruß
Holger
Hi FishermansFriend
hi Dilbert , hi DerWoWusste,
manche der für frühere Windowsversionen gemachten und für Vista aufwärts ungeigneten Programme lassen sich relativ einfach ohne Änderung (=Ausweitung) der Userrechte betreiben, wenn man sie statt in den Defaultpfad C:\Programs (x86)\ ... in einem Pfad wie C:\OLDAPPS\... installiert. Dort hält Windows rechtemäßig nicht den Daumen drauf und die Programme können dort schön lesen und schreiben.
Damit sind wir zwar wieder gefühlsmäßig in die Ordnerstruktur der 386er Ära zurückgekehrt, aber der Vorteil hiervon ist klar:
- Installation als Admin durch den Admin (und nur durch den)
- Betrieb durch den User ohne Adminrechte möglich
- kein unnötiges Verbiegen der Sicherheitsrichtlinien
- wenn nicht anderweitig erforderlich auch keine Notwendigkeit von Virtuellen Maschinen .
Gruß Peter
hi Dilbert , hi DerWoWusste,
manche der für frühere Windowsversionen gemachten und für Vista aufwärts ungeigneten Programme lassen sich relativ einfach ohne Änderung (=Ausweitung) der Userrechte betreiben, wenn man sie statt in den Defaultpfad C:\Programs (x86)\ ... in einem Pfad wie C:\OLDAPPS\... installiert. Dort hält Windows rechtemäßig nicht den Daumen drauf und die Programme können dort schön lesen und schreiben.
Damit sind wir zwar wieder gefühlsmäßig in die Ordnerstruktur der 386er Ära zurückgekehrt, aber der Vorteil hiervon ist klar:
- Installation als Admin durch den Admin (und nur durch den)
- Betrieb durch den User ohne Adminrechte möglich
- kein unnötiges Verbiegen der Sicherheitsrichtlinien
- wenn nicht anderweitig erforderlich auch keine Notwendigkeit von Virtuellen Maschinen .
Gruß Peter
Hi,
Du widersprichst Dir selbst!
Indem Du einen "anderen" Ordner wählst, mit der Absicht, dort andre ACLs zu haben, nimmst Du Einfluss auf die Rechte des Users.
Und - es macht keinen Unterschied, ob mein einen neuen Stamm für Programme anfängt, und dann dort passende ACLs vergibt, oder diese ACL im C:\ProgramFiles(x86)\BlaBlaBla
E.
Du widersprichst Dir selbst!
Indem Du einen "anderen" Ordner wählst, mit der Absicht, dort andre ACLs zu haben, nimmst Du Einfluss auf die Rechte des Users.
Und - es macht keinen Unterschied, ob mein einen neuen Stamm für Programme anfängt, und dann dort passende ACLs vergibt, oder diese ACL im C:\ProgramFiles(x86)\BlaBlaBla
E.
Hallo E.
Alte 32 bit Beispielanwendung für NT, 2000, XP entwickelt landet unter XP oder 2003 in C:\program files (x86)\
Dort will das Programm lesen und schreiben. Bis XP / 2003 incl. kein Problem, auch für Standardbenutzer.
Wenn der Entwickler seine Software nicht auf Vista aufwärts angepaßt hat, kann es vorkommen, daß bei einer Installation in den Default Pfad (x86) das Schreiben in dort abgelegte Programmeinstellungen (INI ...) aufgrund mangelnder Rechte nicht funktioniert. Es war ausdrücklich von schlecht angepaßter Software die Rede.
Natürlich könnte man das mit RunAs oder Änderungen der Rechte etc. lösen. Aber der Erstposter schrieb ja was von Sicherheit.
Nebendran installiert, funktioniert.
Gruß P.
Alte 32 bit Beispielanwendung für NT, 2000, XP entwickelt landet unter XP oder 2003 in C:\program files (x86)\
Dort will das Programm lesen und schreiben. Bis XP / 2003 incl. kein Problem, auch für Standardbenutzer.
Wenn der Entwickler seine Software nicht auf Vista aufwärts angepaßt hat, kann es vorkommen, daß bei einer Installation in den Default Pfad (x86) das Schreiben in dort abgelegte Programmeinstellungen (INI ...) aufgrund mangelnder Rechte nicht funktioniert. Es war ausdrücklich von schlecht angepaßter Software die Rede.
Natürlich könnte man das mit RunAs oder Änderungen der Rechte etc. lösen. Aber der Erstposter schrieb ja was von Sicherheit.
Nebendran installiert, funktioniert.
Gruß P.
Ja ist ja richtig. Aber hier geht es nicht um Installation sondern um Ausführung.
Wenn Du als Admin installierst (oder Local System) und dafür einen neuen Ordner neben ProgramFiles erstellst, dann haben dort die normalen Benutzer per default auch keine Schreibrechte. Also müsstest Du erst die ACl entsprechend anpassen. Und damit sind wir dieder da, wie oben schon geschrieben habe: Ob Du das im ProgramFiles oder in dem extra erstellten Ordner machst, ist Jacke wie Hose.
E.
Wenn Du als Admin installierst (oder Local System) und dafür einen neuen Ordner neben ProgramFiles erstellst, dann haben dort die normalen Benutzer per default auch keine Schreibrechte. Also müsstest Du erst die ACl entsprechend anpassen. Und damit sind wir dieder da, wie oben schon geschrieben habe: Ob Du das im ProgramFiles oder in dem extra erstellten Ordner machst, ist Jacke wie Hose.
E.
Standarduser konnten noch nie in den Programmpfad schreiben. Das verwechselst du mit dem, was Hauptbenutzer, welche es seit Vista nicht mehr gibt, durften.
Passt man die Rechte an (egal wo), erzeugt man im Mehrbenutzerbetrieb ein Problem, ganz einfach. Nutzer in Programmpfade schreiben zu lassen ist ein NoGo, es sei denn, man hat nur einen Nutzer.
Passt man die Rechte an (egal wo), erzeugt man im Mehrbenutzerbetrieb ein Problem, ganz einfach. Nutzer in Programmpfade schreiben zu lassen ist ein NoGo, es sei denn, man hat nur einen Nutzer.