15
Anwendung mit Administratorrechten starten für User ohne Adminrechte
Hallo,
ich möchte eine Anwendung für einen User der keine Adminrechte per Aufgabenplanung bei der Anmeldung starten die Adminrechte braucht.
Ich hab folgende Einstellungen getroffen:
Es funktioniert aber nicht.
Phill93
ich möchte eine Anwendung für einen User der keine Adminrechte per Aufgabenplanung bei der Anmeldung starten die Adminrechte braucht.
Ich hab folgende Einstellungen getroffen:
Es funktioniert aber nicht.
Phill93
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 599688
Url: https://administrator.de/contentid/599688
Printed on: April 24, 2024 at 16:04 o'clock
15 Comments
Latest comment
Hi,
das geht so auch nicht.
E.
Edit:
Frage wie immer:
Nicht "Was machst Du?"
sondern "Was willst Du eigentlich erreichen?"
das geht so auch nicht.
E.
Edit:
Frage wie immer:
Nicht "Was machst Du?"
sondern "Was willst Du eigentlich erreichen?"
Moin,
wenn es ein Einzelfall ist, dann nutze doch:
Damit führst du es als Administrator aus. Du musst bei der ersten Ausführung das Kennwort eingeben, danach wird es gespeichert. Wenn es globaler sein sollte, dann (wie emeriks schreibt) gib uns mehr Details.
Gruß
Doskias
wenn es ein Einzelfall ist, dann nutze doch:
runas /noprofile /savecred /user:Domaine\administrator "C:\Windows\Notepad.exe" Damit führst du es als Administrator aus. Du musst bei der ersten Ausführung das Kennwort eingeben, danach wird es gespeichert. Wenn es globaler sein sollte, dann (wie emeriks schreibt) gib uns mehr Details.
Gruß
Doskias
Moin,
Super! Und der User, unter dem das ausgeführt wurde, kann danach was auch immer er will als Admin ausführen lassen.
Liebe Grüße
Erik
Zitat von @Doskias:
Damit führst du es als Administrator aus. Du musst bei der ersten Ausführung das Kennwort eingeben, danach wird es gespeichert. Wenn es globaler sein sollte, dann (wie emeriks schreibt) gib uns mehr Details.
runas /noprofile /savecred /user:Domaine\administrator "C:\Windows\Notepad.exe" Damit führst du es als Administrator aus. Du musst bei der ersten Ausführung das Kennwort eingeben, danach wird es gespeichert. Wenn es globaler sein sollte, dann (wie emeriks schreibt) gib uns mehr Details.
Super! Und der User, unter dem das ausgeführt wurde, kann danach was auch immer er will als Admin ausführen lassen.
Liebe Grüße
Erik
Oh verdammt. Du hast recht. Ich habe es grade maul ausprobiert. Mir war so als würde das explizit nur für diese eine Anwendung gespeichert werden. Dem ist wohl aber nicht (mehr?) so. In dem Fall: Meinen Rat bloß nicht befolgen 
Dann bliebe noch die Möglichkeit es via PowerShell zu machen, wofür man das Kennwort aber in einer verschlüsselten Datei hinterlegen muss. Auch keine so gute Lösung.
Es gab auch mal ein Tool (vor ca. 6 Jahren mal genutzt), wo man bestimmte Anwendungen auf TS als Administratoren ausführen lassen konnte. Das Tool hat sich die Versionsnummer und den Namen (und den hash-Wert) gemerkt, so dass ein Austausch der Exe nicht mehr möglich war. Das Tool war von MS und ich habe den Namen nicht mehr im Kopf und folglich auch den Kompatibilitätsstand zu Windows 10 nicht mehr. Damals gab es Win 10 noch nicht :D
Dann bliebe noch die Möglichkeit es via PowerShell zu machen, wofür man das Kennwort aber in einer verschlüsselten Datei hinterlegen muss. Auch keine so gute Lösung.
Es gab auch mal ein Tool (vor ca. 6 Jahren mal genutzt), wo man bestimmte Anwendungen auf TS als Administratoren ausführen lassen konnte. Das Tool hat sich die Versionsnummer und den Namen (und den hash-Wert) gemerkt, so dass ein Austausch der Exe nicht mehr möglich war. Das Tool war von MS und ich habe den Namen nicht mehr im Kopf und folglich auch den Kompatibilitätsstand zu Windows 10 nicht mehr. Damals gab es Win 10 noch nicht :D
Moin,
Doch, er speichert es für die Anwendung "runas". Ich bin mir nicht sicher. Aber so, wie der Eintrag aussieht, wenn man ihn sich mit cmdkey anguckt, wird nur username und password gespeichert. Also hat man generellen Zugriff.
Jetzt habe ich mehr Zeit. Das vorhin war ein Schnellschuss, damit der TO das nicht ausprobiert.
Also ein paar Fragen:
Was heißt "Es funktioniert nicht"? Das Programm startet gar nicht oder es startet nicht interaktiv?
Wie sieht die Kommandozeile aus (Aktionen)?
Wie sieht der Trigger aus?
Bedingungen und Einstellungen wären auch interessant.
Vor allem interessant: Was steht im Verlauf und was steht in der Ereignisanzeige?
Wenn Du alles richtig einstellst, dann klappt das auch, wenn es nicht interaktiv sein soll.
Liebe Grüße
Erik
Zitat von @Doskias:
Oh verdammt. Du hast recht. Ich habe es grade maul ausprobiert. Mir war so als würde das explizit nur für diese eine Anwendung gespeichert werden. Dem ist wohl aber nicht (mehr?) so. In dem Fall: Meinen Rat bloß nicht befolgen
Oh verdammt. Du hast recht. Ich habe es grade maul ausprobiert. Mir war so als würde das explizit nur für diese eine Anwendung gespeichert werden. Dem ist wohl aber nicht (mehr?) so. In dem Fall: Meinen Rat bloß nicht befolgen
Doch, er speichert es für die Anwendung "runas".
Ich bin mir nicht sicher. Aber so, wie der Eintrag aussieht, wenn man ihn sich mit cmdkey anguckt, wird nur username und password gespeichert. Also hat man generellen Zugriff.Jetzt habe ich mehr Zeit. Das vorhin war ein Schnellschuss, damit der TO das nicht ausprobiert.
Also ein paar Fragen:
Was heißt "Es funktioniert nicht"? Das Programm startet gar nicht oder es startet nicht interaktiv?
Wie sieht die Kommandozeile aus (Aktionen)?
Wie sieht der Trigger aus?
Bedingungen und Einstellungen wären auch interessant.
Vor allem interessant: Was steht im Verlauf und was steht in der Ereignisanzeige?
Wenn Du alles richtig einstellst, dann klappt das auch, wenn es nicht interaktiv sein soll.
Liebe Grüße
Erik
Viel interessanter wäre, was erreicht werden soll.
Wenn es z.B. bloß darum geht, etwas auf dem lokalen PC einzustellen, was per Standard nur ein Admin darf, dann macht es wahrscheinlich viel mehr Sinn, dem Nicht-Admin gezielt die entsprechenden Rechte für diese Aktionen zu geben.
Wenn es z.B. bloß darum geht, etwas auf dem lokalen PC einzustellen, was per Standard nur ein Admin darf, dann macht es wahrscheinlich viel mehr Sinn, dem Nicht-Admin gezielt die entsprechenden Rechte für diese Aktionen zu geben.
Hallo,
also ich habe bei dem besagten PC das Problem das ein für den angeschlossenen Monitor eine Software benötigt wird. Diese startet nach User Anmeldung per Autostart und fragt per UAC Adminrechte. Da unsere User keine Adminrechte haben können sie somit die Software nicht nutzen.
Der einzigste Trigger ist bei Anmeldung.
Und die Aktion ist das Programm starten.
Im Verlauf steht 0x02 mehr nicht.
Gruß
Phill93
also ich habe bei dem besagten PC das Problem das ein für den angeschlossenen Monitor eine Software benötigt wird. Diese startet nach User Anmeldung per Autostart und fragt per UAC Adminrechte. Da unsere User keine Adminrechte haben können sie somit die Software nicht nutzen.
Der einzigste Trigger ist bei Anmeldung.
Und die Aktion ist das Programm starten.
Im Verlauf steht 0x02 mehr nicht.
Gruß
Phill93
Was macht denn diese Software? Muss sie interaktiv mit GUI laufen?
Die Software ist für die KVM Funktion des Monitors. Und ja sie muss mit GUI laufen.
Moin,
tritt das Problem auch auf, wenn du die Software z.B. direkt auf C:\ installierst?!
Gruß,
Dani
tritt das Problem auch auf, wenn du die Software z.B. direkt auf C:\ installierst?!
Gruß,
Dani
Interessant wäre um welche Anwendung es sich handelt. Einige Anwendungen benötigen Adminrechte weil sie im Installationspfad Schreibrechte benötigen . AutoCAD z.B.
Wenn du auf den Installationspfad Rechte für DomainUser bzw. TrustedUser vergibst, könnte es klappen. Dito in der Registry.
Du musst vorher nur analysieren wo genau Schreibrechte erforderlich sind. Wir haben so schon bei einigen Anwendungen verhindert, dass generell Adminrechte für den User vergeben werden müssen.
RunAs, wie schon jemand vorgeschlagen hat würde ich nicht verwenden. Tauscht jemand an der entsprechenden Stelle die Exe aus, könnte jedes beliebige Programm als Admin gestartet werden. Dito bei deiner Lösung.
Wenn Geld kein Problem ist könntet ihr euch auch mal Avecto anschauen.
Eine weitere Variante wäre das Microsoft Application Compatibility Toolkit:
https://docs.microsoft.com/en-us/windows/deployment/planning/act-technic ...
Wenn du auf den Installationspfad Rechte für DomainUser bzw. TrustedUser vergibst, könnte es klappen. Dito in der Registry.
Du musst vorher nur analysieren wo genau Schreibrechte erforderlich sind. Wir haben so schon bei einigen Anwendungen verhindert, dass generell Adminrechte für den User vergeben werden müssen.
RunAs, wie schon jemand vorgeschlagen hat würde ich nicht verwenden. Tauscht jemand an der entsprechenden Stelle die Exe aus, könnte jedes beliebige Programm als Admin gestartet werden. Dito bei deiner Lösung.
Wenn Geld kein Problem ist könntet ihr euch auch mal Avecto anschauen.
Eine weitere Variante wäre das Microsoft Application Compatibility Toolkit:
https://docs.microsoft.com/en-us/windows/deployment/planning/act-technic ...
Moin,
Ansonsten ist evtl. AutoIT ein Ansatz für dich - Elsterformular - Installationsverwaltung ohne Adminrechte
Gruß,
Dani
Einige Anwendungen benötigen Adminrechte weil sie im Installationspfad Schreibrechte benötigen . AutoCAD z.B.
Konnte ich noch bei keiner AutoCAD Version feststellen. Möchtest du das näher ausführen? Wenn du auf den Installationspfad Rechte für DomainUser bzw. TrustedUser vergibst, könnte es klappen. Dito in der Registry.
da würde bedeuten, dass du die Standardberechtigungen wie C:\Program Files bzw. C:\Program Files (x86) anpassen musst. Davon würde ich auf jeden Fall abraten. Dann lieber auf C:\Kundennamen ein neuen Zweig aufmachen.Ansonsten ist evtl. AutoIT ein Ansatz für dich - Elsterformular - Installationsverwaltung ohne Adminrechte
Gruß,
Dani
Hello,
Nein? Interessant! =>> https://knowledge.autodesk.com/support/autocad/troubleshooting/caas/sfdc ...
Einer unserer Kunden (Sinterteile für KFZ, usw.) benötigt das regelmäßig, also bei jeder neuen Version von AutoCAD, Inventor oder auch ProE. Da wird explizit darauf geachtet, dass die User keine lokalen administrativen Rechte haben. Autodesk empfielt ja auf der entsprechenden Maschine administrative Rechte zu vergeben, aber so gehts auch ohne.
Und warum würdest du abraten? Vielleicht habe ich mich nicht klar genug ausgedrückt. Natürlich darf man nicht auf "C:\Program Files" die Berechtigung brechen/anpassen, sondern auf den InstallationsPfad. Z.B.: "C:\Program Files\Autodesk\AutoCAD\...\ZielOrdner". Und dann eventuell nur "Ändern/Erstellen" anstatt "Vollzugriff"
Und was genau würde sich ändern, wenn du auf "C:\Kundennamen" installierst? Ein Standard-User wird auch dort nicht die notwendigen Rechte haben sofern du Windows nicht anders konfiguriert hast.
Siehe:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Und noch viel wichtiger, man darf natürlich auch nicht einfach auf "Everyone" ( S-1-1-0 ) oder "Anonymous" ( S-1-5-7 ) anwenden, wie es so viele aus reiner Faulheit oder Unwissenheit gerne tun, sondern man soll/muss die ACL auf "Domain Users" ( S-1-5-21domain-513 ) bzw. "Authenticated Users" ( S-1-5-11 ) anwenden. Und damit man Windows nicht schrottet kann man sich das anschauen:
https://docs.microsoft.com/en-us/windows-server/administration/windows-c ...
Grüße!
Zitat von @Dani:
Moin,
Moin,
Einige Anwendungen benötigen Adminrechte weil sie im Installationspfad Schreibrechte benötigen . AutoCAD z.B.
Konnte ich noch bei keiner AutoCAD Version feststellen. Möchtest du das näher ausführen?Nein? Interessant! =>> https://knowledge.autodesk.com/support/autocad/troubleshooting/caas/sfdc ...
Einer unserer Kunden (Sinterteile für KFZ, usw.) benötigt das regelmäßig, also bei jeder neuen Version von AutoCAD, Inventor oder auch ProE. Da wird explizit darauf geachtet, dass die User keine lokalen administrativen Rechte haben. Autodesk empfielt ja auf der entsprechenden Maschine administrative Rechte zu vergeben, aber so gehts auch ohne.
Wenn du auf den Installationspfad Rechte für DomainUser bzw. TrustedUser vergibst, könnte es klappen. Dito in der Registry.
da würde bedeuten, dass du die Standardberechtigungen wie C:\Program Files bzw. C:\Program Files (x86) anpassen musst. Davon würde ich auf jeden Fall abraten. Dann lieber auf C:\Kundennamen ein neuen Zweig aufmachen.Und warum würdest du abraten? Vielleicht habe ich mich nicht klar genug ausgedrückt. Natürlich darf man nicht auf "C:\Program Files" die Berechtigung brechen/anpassen, sondern auf den InstallationsPfad. Z.B.: "C:\Program Files\Autodesk\AutoCAD\...\ZielOrdner". Und dann eventuell nur "Ändern/Erstellen" anstatt "Vollzugriff"
Und was genau würde sich ändern, wenn du auf "C:\Kundennamen" installierst? Ein Standard-User wird auch dort nicht die notwendigen Rechte haben sofern du Windows nicht anders konfiguriert hast.
Siehe:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Und noch viel wichtiger, man darf natürlich auch nicht einfach auf "Everyone" ( S-1-1-0 ) oder "Anonymous" ( S-1-5-7 ) anwenden, wie es so viele aus reiner Faulheit oder Unwissenheit gerne tun, sondern man soll/muss die ACL auf "Domain Users" ( S-1-5-21domain-513 ) bzw. "Authenticated Users" ( S-1-5-11 ) anwenden. Und damit man Windows nicht schrottet kann man sich das anschauen:
https://docs.microsoft.com/en-us/windows-server/administration/windows-c ...
Grüße!
Moin,
Gruß,
Dani
Nein? Interessant! =>> https://knowledge.autodesk.com/support/autocad/troubleshooting/caas/sfdc ...
Danke für den Link. Bis dato sind wir davon nicht betroffen.Und warum würdest du abraten? Vielleicht habe ich mich nicht klar genug ausgedrückt. Natürlich darf man nicht auf "C:\Program Files" die Berechtigung brechen/anpassen, sondern auf den InstallationsPfad. Z.B.: "C:\Program Files\Autodesk\AutoCAD\...\ZielOrdner". Und dann eventuell nur "Ändern/Erstellen" anstatt "Vollzugriff"
Ist die Benutzerkontensteuerung aktiv (und auf höchster Stufe), kann der normale Benutzer trotzdem nicht in das Verzeichnis "X" schreiben, da die Benutzerkontensteuerung akiv wird. Ist bei mir schon ein Weilchen her...evtl. bringe ich auch etwas durcheinander.Gruß,
Dani
Zitat von @Dani:
Moin,
Moin,
Nein? Interessant! =>> https://knowledge.autodesk.com/support/autocad/troubleshooting/caas/sfdc ...
Danke für den Link. Bis dato sind wir davon nicht betroffen.Jo, Gerne!
Und warum würdest du abraten? Vielleicht habe ich mich nicht klar genug ausgedrückt. Natürlich darf man nicht auf "C:\Program Files" die Berechtigung brechen/anpassen, sondern auf den InstallationsPfad. Z.B.: "C:\Program Files\Autodesk\AutoCAD\...\ZielOrdner". Und dann eventuell nur "Ändern/Erstellen" anstatt "Vollzugriff"
Ist die Benutzerkontensteuerung aktiv (und auf höchster Stufe), kann der normale Benutzer trotzdem nicht in das Verzeichnis "X" schreiben, da die Benutzerkontensteuerung akiv wird. Ist bei mir schon ein Weilchen her...evtl. bringe ich auch etwas durcheinander.Hmm. Dieses Phänomen hatte ich in eben diesem Fall nicht mehr, weil der User ja ab Rechtevergabe berechtigt ist dort hin zu schreiben. Die UAC poppt nur auf, wenn erhöhte Rechte notwendig sind.
Grüße!
