20
Anwendung starten ohne lokale Admin-Rechte
Hallo zusammen,
ich sitze jetzt schon länger vor einer kniffligen Aufgabe welche ich nicht so zu lösen bekomme wie ich es möchte.
Zur Sachlage:
Es geht um einen Mitarbeiter der keine lokalen Admin-Rechte auf seinem PC hat aber ein Programm ausführen muss, welches genau diese benötigt.
Wir sind in einer Win-Domain und auf dem PC ist Win7 installiert.
Das Problem ist erst jetzt aufgetreten, da wir mit dem Umschwung auf Win7 allen Mitarbeitern die lokalen Admin-Rechte genommen haben.
Es wäre super, wenn mir einer weiterhelfen kann! Falls noch irgendwelche Informationen benötigt werden einfach nachfragen.
Liebe Grüße
MarkusVH
P.S. Ich habe schon mit "Lokalen Sicherheitsrichtlinien" herum experimentiert.. bin ich da auf dem richtigen weg?
ich sitze jetzt schon länger vor einer kniffligen Aufgabe welche ich nicht so zu lösen bekomme wie ich es möchte.
Zur Sachlage:
Es geht um einen Mitarbeiter der keine lokalen Admin-Rechte auf seinem PC hat aber ein Programm ausführen muss, welches genau diese benötigt.
Wir sind in einer Win-Domain und auf dem PC ist Win7 installiert.
Das Problem ist erst jetzt aufgetreten, da wir mit dem Umschwung auf Win7 allen Mitarbeitern die lokalen Admin-Rechte genommen haben.
Es wäre super, wenn mir einer weiterhelfen kann! Falls noch irgendwelche Informationen benötigt werden einfach nachfragen.
Liebe Grüße
MarkusVH
P.S. Ich habe schon mit "Lokalen Sicherheitsrichtlinien" herum experimentiert.. bin ich da auf dem richtigen weg?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 245813
Url: https://administrator.de/contentid/245813
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
20 Kommentare
Neuester Kommentar
Hi,
du kannst eine Verknüpfung zur *.exe Datei auf dem Desktop erstellen. Danach folgende Schritte durchführen:
1. In die Eigenschaften der Verknüpfung
2. Button "Erweitert..."
3. Haken setzen bei "Als Administrator ausführen"
4. Lokalen Admin einmal eingeben und Anmeldedaten speichern
So wird dieses Programm immer als lokaler Admin ausgeführt sobald es über die Verknüpfung geöffnet wird.
Gruß
Jens
du kannst eine Verknüpfung zur *.exe Datei auf dem Desktop erstellen. Danach folgende Schritte durchführen:
1. In die Eigenschaften der Verknüpfung
2. Button "Erweitert..."
3. Haken setzen bei "Als Administrator ausführen"
4. Lokalen Admin einmal eingeben und Anmeldedaten speichern
So wird dieses Programm immer als lokaler Admin ausgeführt sobald es über die Verknüpfung geöffnet wird.
Gruß
Jens
D.h es erscheint eine UAC Abfrage welche Adminrechte verlangt?
Was du versuchen kannst: Lade dir das ApplicationCompatibility Pack. Damit kannst du sagen Programm als Admin ausführen .
Eine Anleitung findest du hier http://heinelt.info/index.php?option=com_content&view=article&i ...
Bei dem Punkt "RunAsInvoker" (sollten wirklich Adminrechte benötigt werden), machst du RunAsAdmin.
Grüße
Was du versuchen kannst: Lade dir das ApplicationCompatibility Pack. Damit kannst du sagen Programm als Admin ausführen .
Eine Anleitung findest du hier http://heinelt.info/index.php?option=com_content&view=article&i ...
Bei dem Punkt "RunAsInvoker" (sollten wirklich Adminrechte benötigt werden), machst du RunAsAdmin.
Grüße
Moin.
Prinzipiell kann der User an mangelnden Schreibrechten auf den Programm-Ordner scheitern oder an fehlenden Rechten auf Registry-Einträge - ich würde daher dem User erstmal Modify-Rechte auf den Programmordner erteilen und mal schauen, ob es damit schon getan ist.
Cheers,
jsysde
Zitat von @MarkusVH:
Es geht um einen Mitarbeiter der keine lokalen Admin-Rechte auf seinem PC hat aber ein Programm ausführen muss, welches genau
diese benötigt.
Um welches Programm handelt es sich?Es geht um einen Mitarbeiter der keine lokalen Admin-Rechte auf seinem PC hat aber ein Programm ausführen muss, welches genau
diese benötigt.
Prinzipiell kann der User an mangelnden Schreibrechten auf den Programm-Ordner scheitern oder an fehlenden Rechten auf Registry-Einträge - ich würde daher dem User erstmal Modify-Rechte auf den Programmordner erteilen und mal schauen, ob es damit schon getan ist.
Cheers,
jsysde
Hi Jens,
"Als Administrator ausführen" hab ich schon probiert. Funktioniert leider nicht. Es wird trotzdem nach einem Profil mit Admin-Rechten gefragt.
Danke aber schon einmal!
"Als Administrator ausführen" hab ich schon probiert. Funktioniert leider nicht. Es wird trotzdem nach einem Profil mit Admin-Rechten gefragt.
Danke aber schon einmal!
Hi,
früher haben wir für einen solches Problem unter XP die kostenlose Version von Steel RunAs genutzt, leider ist das Programm aber nicht mehr kostenlos.
Gruß
früher haben wir für einen solches Problem unter XP die kostenlose Version von Steel RunAs genutzt, leider ist das Programm aber nicht mehr kostenlos.
Gruß
Servus,
Es handelt sich um eine Software welche Heizungstemperaturen misst oder so... Im Detail weis ich aber nicht was das Programm alles macht.
Mir geht es aber auch um andere Programme welche ich gerne für user freischalten möchte wenn sie diese benötigen aber nicht die rechte haben.
Mit Schreibrechten auf den Ordner ist es leider auch nicht getan
@xbast1x
Ja es erscheint eine UAC-Abfrage wo ich dann als Admin das Programm starten kann.
Ich werde das ApplicationCompatibility Pack mal testen.
Danke
Zitat von @jsysde:
Um welches Programm handelt es sich?
Prinzipiell kann der User an mangelnden Schreibrechten auf den Programm-Ordner scheitern oder an fehlenden Rechten auf
Registry-Einträge - ich würde daher dem User erstmal Modify-Rechte auf den Programmordner erteilen und mal schauen, ob
es damit schon getan ist.
Cheers,
jsysde
Um welches Programm handelt es sich?
Prinzipiell kann der User an mangelnden Schreibrechten auf den Programm-Ordner scheitern oder an fehlenden Rechten auf
Registry-Einträge - ich würde daher dem User erstmal Modify-Rechte auf den Programmordner erteilen und mal schauen, ob
es damit schon getan ist.
Cheers,
jsysde
Es handelt sich um eine Software welche Heizungstemperaturen misst oder so... Im Detail weis ich aber nicht was das Programm alles macht.
Mir geht es aber auch um andere Programme welche ich gerne für user freischalten möchte wenn sie diese benötigen aber nicht die rechte haben.
Mit Schreibrechten auf den Ordner ist es leider auch nicht getan
@xbast1x
Ja es erscheint eine UAC-Abfrage wo ich dann als Admin das Programm starten kann.
Ich werde das ApplicationCompatibility Pack mal testen.
Danke
Hi,
hast du es über "Rechtsklick ---> Als Administrator ausführen" versucht oder so wie ich es beschrieben habe.
Ich meine der Unterschied ist, dass man wenn man es so macht, wie ich es beschrieben habe, man nur einmal den lokalen Admin eingeben muss (das kannst du ja beim einrichten gleich machen) und nur für dieses Programm die Anmeldedaten dauerhaft gespeichert werden, sodass beim erneuten ausführen keine Admindaten mehr erfragt werden.
Alternative wäre evtl. auch das Tool "MachMichAdmin":
http://www.heise.de/download/machmichadmin.html
Gruß
Jens
hast du es über "Rechtsklick ---> Als Administrator ausführen" versucht oder so wie ich es beschrieben habe.
Ich meine der Unterschied ist, dass man wenn man es so macht, wie ich es beschrieben habe, man nur einmal den lokalen Admin eingeben muss (das kannst du ja beim einrichten gleich machen) und nur für dieses Programm die Anmeldedaten dauerhaft gespeichert werden, sodass beim erneuten ausführen keine Admindaten mehr erfragt werden.
Alternative wäre evtl. auch das Tool "MachMichAdmin":
http://www.heise.de/download/machmichadmin.html
Gruß
Jens
Zitat von @06Down:
Hi,
du kannst eine Verknüpfung zur *.exe Datei auf dem Desktop erstellen. Danach folgende Schritte durchführen:
1. In die Eigenschaften der Verknüpfung
2. Button "Erweitert..."
3. Haken setzen bei "Als Administrator ausführen"
4. Lokalen Admin einmal eingeben und Anmeldedaten speichern
Hi,
du kannst eine Verknüpfung zur *.exe Datei auf dem Desktop erstellen. Danach folgende Schritte durchführen:
1. In die Eigenschaften der Verknüpfung
2. Button "Erweitert..."
3. Haken setzen bei "Als Administrator ausführen"
4. Lokalen Admin einmal eingeben und Anmeldedaten speichern
Ich habe alles genau so gemacht aber zwischen punkt 3 und 4 muss ich den lokalen admin nicht eintragen. Somit kann er sich diesen auch nicht merken... was mach ich verkehrt? Muss ich als Admin angemeldet sein oder kann ich das auch als normaler User machen?
Hi,
ok. Komisch. Bei mir hat das so funktioniert.
Es bleibt aber auch immer noch die Möglichkeit eine Batch-File anzulegen, die dann mit "runas" das Programm startet.
Dabei muss man die Login-Daten auch nur einmal eingeben.
Hier eine Beschreibung:
http://board.protecus.de/t40745.htm
Gruß
ok. Komisch. Bei mir hat das so funktioniert.
Es bleibt aber auch immer noch die Möglichkeit eine Batch-File anzulegen, die dann mit "runas" das Programm startet.
Dabei muss man die Login-Daten auch nur einmal eingeben.
Hier eine Beschreibung:
http://board.protecus.de/t40745.htm
Gruß
Zitat von @06Down:
ok. Komisch. Bei mir hat das so funktioniert.
Es bleibt aber auch immer noch die Möglichkeit eine Batch-File anzulegen, die dann mit "runas" das Programm
startet.
Schön und gut... aber was passiert wennn der Mitarbeiter die Batchdatei kopiert / anpasst? Somit kann er jede Anwendung als Admin starten.ok. Komisch. Bei mir hat das so funktioniert.
Es bleibt aber auch immer noch die Möglichkeit eine Batch-File anzulegen, die dann mit "runas" das Programm
startet.
Ich hatte vor wenigen Wochen ein ähnliches Problem. Gelöst haben wir es mit Autoit.
Gruß,
Dani
Hi.
Es gibt da zumindest eine best practice:
->frag den Hersteller: warum werden Adminrechte benötigt? Gibt es ein Update, das ohne diese auskommt?
->wenn der nichts rausrückt: analysiere mit procmon was dieses Programm tun möchte, was hohe Rechte verlangt
->wenn Du das nicht kannst, experimentiere a la jsysde mit Schreibrechten auf Verzeichnisse und Registry-Keys, die das Programm anfässt (welche das sind, sollte procmon verraten haben)
->teste, ob es evtl. nur eine vollkommen überflüssige Einstellung im Manifest der Anwendung ist, die durch einen compatibility fix überwunden werden kann. Das bedeutet, man nimmt das Tool ACT5.6 (Freeware von Microsoft) und erstellt einen runasinvoker-Fix
->bringt es auch das nicht, braucht das Programm wohl Adminrechte (was bei einem Heizungssteuerungsprogramm eigentlich undenkbar ist).
Was dann?
->anderes Programm beschaffen
->Hersteller so lange treten, bis er es fixt
->lokale Adminrechte geben
->Programm in eine VM verbannen, wo der Nutzer Adminrechte hat (oder xp-mode)
->Skripte nutzen oder runas /savecred ...dies ist jedoch genau so, als würdest Du ihm Adminrechte geben.
Es gibt da zumindest eine best practice:
->frag den Hersteller: warum werden Adminrechte benötigt? Gibt es ein Update, das ohne diese auskommt?
->wenn der nichts rausrückt: analysiere mit procmon was dieses Programm tun möchte, was hohe Rechte verlangt
->wenn Du das nicht kannst, experimentiere a la jsysde mit Schreibrechten auf Verzeichnisse und Registry-Keys, die das Programm anfässt (welche das sind, sollte procmon verraten haben)
->teste, ob es evtl. nur eine vollkommen überflüssige Einstellung im Manifest der Anwendung ist, die durch einen compatibility fix überwunden werden kann. Das bedeutet, man nimmt das Tool ACT5.6 (Freeware von Microsoft) und erstellt einen runasinvoker-Fix
->bringt es auch das nicht, braucht das Programm wohl Adminrechte (was bei einem Heizungssteuerungsprogramm eigentlich undenkbar ist).
Was dann?
->anderes Programm beschaffen
->Hersteller so lange treten, bis er es fixt
->lokale Adminrechte geben
->Programm in eine VM verbannen, wo der Nutzer Adminrechte hat (oder xp-mode)
->Skripte nutzen oder runas /savecred ...dies ist jedoch genau so, als würdest Du ihm Adminrechte geben.
Sooo ich habe eine für mich geeignete Lösung gefunden womit ich leben kann!
Ich weis es ist nicht die Perfekte Lösung aber ich möchte hier gern meine Lösung anbieten.
1. In der Computerverwaltung den lokalen Administrator aktivieren und ein Kennwort hinterlegen
2. Eine Batch-Datei erstellen mit folgendem Inhalt:
C:\Windows\System32\runas.exe /savecred /user:administrator "C:\CPUZ\cpuz.exe"
3. Die Batch-Datei speichern im Ordner der Anwendung und eine Verknüpfung auf dem Desktop mit entsprechendem Symbol erstellen.
4. Die Anwendung einmal starten und das PW eingeben
5. FERTIG
Bei der Anwendung muss man natürlich den richtigen Pfad eingeben! ("C:\CPUZ\cpuz.exe")
Hoffe ich kann hiermit jemanden weiterhelfen.
Grüße MarkusVH
Ich weis es ist nicht die Perfekte Lösung aber ich möchte hier gern meine Lösung anbieten.
1. In der Computerverwaltung den lokalen Administrator aktivieren und ein Kennwort hinterlegen
2. Eine Batch-Datei erstellen mit folgendem Inhalt:
C:\Windows\System32\runas.exe /savecred /user:administrator "C:\CPUZ\cpuz.exe"
3. Die Batch-Datei speichern im Ordner der Anwendung und eine Verknüpfung auf dem Desktop mit entsprechendem Symbol erstellen.
4. Die Anwendung einmal starten und das PW eingeben
5. FERTIG
Bei der Anwendung muss man natürlich den richtigen Pfad eingeben! ("C:\CPUZ\cpuz.exe")
Hoffe ich kann hiermit jemanden weiterhelfen.
Grüße MarkusVH
"Nicht perfekt" ist geschmeichelt, zumindest aus Gesichtspunkten der Sicherheit ist die Lösung bedenklich. Wenn die Sicherheit nicht so wichtig ist, ist es tatsächlich besser, ihn zum lokalen Admin zu machen. Dies wäre dank uac sicherer als das jetzige.
Was ist in diesem Fall nicht so sicher?
Der Administrator ist ja PW geschützt und er hat nur Admin-Rechte für dieses Programm.
Die Batchdatei bringt auch nichts zu bearbeiten um ein anderes Programm damit zu starten, da dann das PW des Admins einmalig wieder eingegeben werden muss.
Oder was meinst du mit thema sicherheit?
Der Administrator ist ja PW geschützt und er hat nur Admin-Rechte für dieses Programm.
Die Batchdatei bringt auch nichts zu bearbeiten um ein anderes Programm damit zu starten, da dann das PW des Admins einmalig wieder eingegeben werden muss.
Oder was meinst du mit thema sicherheit?
"und er hat nur Admin-Rechte für dieses Programm" - Irrtum. Savecred gilt global. Er kann nun jedes Programm per runas mit hohen Rechten starten, ohne das Kennwort zu kennen.
Bist Du nun zu einer sicheren Lösung gekommen?
Hallo zusammen,
ich möchte das hier nochmal kurz aufpoppen lassen...weil ich genau dieses Problem mit einem jetzt erworbenen Produkt habe. Die Software ist dazu da, um Messdaten anzuzeigen, lässt sich nach der Installation jedoch nur als lokaler Admin ausführen.
Ich hab alle hier aufgeführten "Lösungen" durchgetestet...leider ohne Erfolg.
Die Batch-Datei startet leider das Programm nicht und aus dem Programmlogger kann ich leider nicht herauslesen, wo genau die erhöhten Rechte notwendig sind...das mag aber daran liegen, dass ich mit diesem Diagnoseprogramm schlicht nicht vertraut bin.
Vielleicht kann mir hier nochmal jemand einen Tipp geben ?
Grüße
Uwe
ich möchte das hier nochmal kurz aufpoppen lassen...weil ich genau dieses Problem mit einem jetzt erworbenen Produkt habe. Die Software ist dazu da, um Messdaten anzuzeigen, lässt sich nach der Installation jedoch nur als lokaler Admin ausführen.
Ich hab alle hier aufgeführten "Lösungen" durchgetestet...leider ohne Erfolg.
Die Batch-Datei startet leider das Programm nicht und aus dem Programmlogger kann ich leider nicht herauslesen, wo genau die erhöhten Rechte notwendig sind...das mag aber daran liegen, dass ich mit diesem Diagnoseprogramm schlicht nicht vertraut bin.
Vielleicht kann mir hier nochmal jemand einen Tipp geben ?
Grüße
Uwe
Moin.
Öffne Procmon, filtere nach "access denied".
Eigene Frage wäre nach 3 Jahren besser.
Öffne Procmon, filtere nach "access denied".
Eigene Frage wäre nach 3 Jahren besser.
Trotzdem danke für die schnelle Antwort, auch wenn ich ne neue Frage hätte stellen sollen.
