markusvh
Goto Top

Anwendung starten ohne lokale Admin-Rechte

Hallo zusammen,

ich sitze jetzt schon länger vor einer kniffligen Aufgabe welche ich nicht so zu lösen bekomme wie ich es möchte.

Zur Sachlage:

Es geht um einen Mitarbeiter der keine lokalen Admin-Rechte auf seinem PC hat aber ein Programm ausführen muss, welches genau diese benötigt.
Wir sind in einer Win-Domain und auf dem PC ist Win7 installiert.

Das Problem ist erst jetzt aufgetreten, da wir mit dem Umschwung auf Win7 allen Mitarbeitern die lokalen Admin-Rechte genommen haben.

Es wäre super, wenn mir einer weiterhelfen kann! Falls noch irgendwelche Informationen benötigt werden einfach nachfragen.

Liebe Grüße
MarkusVH

P.S. Ich habe schon mit "Lokalen Sicherheitsrichtlinien" herum experimentiert.. bin ich da auf dem richtigen weg?

Content-ID: 245813

Url: https://administrator.de/contentid/245813

Ausgedruckt am: 13.11.2024 um 22:11 Uhr

06Down
06Down 07.08.2014 aktualisiert um 08:34:31 Uhr
Goto Top
Hi,

du kannst eine Verknüpfung zur *.exe Datei auf dem Desktop erstellen. Danach folgende Schritte durchführen:

1. In die Eigenschaften der Verknüpfung
2. Button "Erweitert..."
3. Haken setzen bei "Als Administrator ausführen"
4. Lokalen Admin einmal eingeben und Anmeldedaten speichern

So wird dieses Programm immer als lokaler Admin ausgeführt sobald es über die Verknüpfung geöffnet wird.

Gruß
Jens
xbast1x
xbast1x 07.08.2014 um 08:32:56 Uhr
Goto Top
D.h es erscheint eine UAC Abfrage welche Adminrechte verlangt?

Was du versuchen kannst: Lade dir das ApplicationCompatibility Pack. Damit kannst du sagen Programm als Admin ausführen .

Eine Anleitung findest du hier http://heinelt.info/index.php?option=com_content&view=article&i ...

Bei dem Punkt "RunAsInvoker" (sollten wirklich Adminrechte benötigt werden), machst du RunAsAdmin.


Grüße
jsysde
jsysde 07.08.2014 um 08:42:46 Uhr
Goto Top
Moin.
Zitat von @MarkusVH:
Es geht um einen Mitarbeiter der keine lokalen Admin-Rechte auf seinem PC hat aber ein Programm ausführen muss, welches genau
diese benötigt.
Um welches Programm handelt es sich?
Prinzipiell kann der User an mangelnden Schreibrechten auf den Programm-Ordner scheitern oder an fehlenden Rechten auf Registry-Einträge - ich würde daher dem User erstmal Modify-Rechte auf den Programmordner erteilen und mal schauen, ob es damit schon getan ist.

Cheers,
jsysde
MarkusVH
MarkusVH 07.08.2014 um 08:43:30 Uhr
Goto Top
Hi Jens,

"Als Administrator ausführen" hab ich schon probiert. Funktioniert leider nicht. Es wird trotzdem nach einem Profil mit Admin-Rechten gefragt.

Danke aber schon einmal!
Monschu
Monschu 07.08.2014 um 08:51:37 Uhr
Goto Top
Hi,
früher haben wir für einen solches Problem unter XP die kostenlose Version von Steel RunAs genutzt, leider ist das Programm aber nicht mehr kostenlos.
Gruß
xbast1x
xbast1x 07.08.2014 um 08:54:51 Uhr
Goto Top
@MarkusVH: Versuch das Microsoft Compatib. Package, dass hat bei mir damals geholfen.

Grüße
MarkusVH
MarkusVH 07.08.2014 um 08:55:05 Uhr
Goto Top
Servus,

Zitat von @jsysde:

Um welches Programm handelt es sich?
Prinzipiell kann der User an mangelnden Schreibrechten auf den Programm-Ordner scheitern oder an fehlenden Rechten auf
Registry-Einträge - ich würde daher dem User erstmal Modify-Rechte auf den Programmordner erteilen und mal schauen, ob
es damit schon getan ist.

Cheers,
jsysde

Es handelt sich um eine Software welche Heizungstemperaturen misst oder so... Im Detail weis ich aber nicht was das Programm alles macht.
Mir geht es aber auch um andere Programme welche ich gerne für user freischalten möchte wenn sie diese benötigen aber nicht die rechte haben.

Mit Schreibrechten auf den Ordner ist es leider auch nicht getan face-sad

@xbast1x

Ja es erscheint eine UAC-Abfrage wo ich dann als Admin das Programm starten kann.
Ich werde das ApplicationCompatibility Pack mal testen.

Danke
06Down
06Down 07.08.2014 aktualisiert um 09:01:27 Uhr
Goto Top
Hi,

hast du es über "Rechtsklick ---> Als Administrator ausführen" versucht oder so wie ich es beschrieben habe.
Ich meine der Unterschied ist, dass man wenn man es so macht, wie ich es beschrieben habe, man nur einmal den lokalen Admin eingeben muss (das kannst du ja beim einrichten gleich machen) und nur für dieses Programm die Anmeldedaten dauerhaft gespeichert werden, sodass beim erneuten ausführen keine Admindaten mehr erfragt werden.

Alternative wäre evtl. auch das Tool "MachMichAdmin":
http://www.heise.de/download/machmichadmin.html

Gruß
Jens
MarkusVH
MarkusVH 07.08.2014 um 09:03:02 Uhr
Goto Top
Zitat von @06Down:

Hi,

du kannst eine Verknüpfung zur *.exe Datei auf dem Desktop erstellen. Danach folgende Schritte durchführen:

1. In die Eigenschaften der Verknüpfung
2. Button "Erweitert..."
3. Haken setzen bei "Als Administrator ausführen"
4. Lokalen Admin einmal eingeben und Anmeldedaten speichern

Ich habe alles genau so gemacht aber zwischen punkt 3 und 4 muss ich den lokalen admin nicht eintragen. Somit kann er sich diesen auch nicht merken... was mach ich verkehrt? Muss ich als Admin angemeldet sein oder kann ich das auch als normaler User machen?
06Down
Lösung 06Down 07.08.2014, aktualisiert am 12.08.2014 um 15:11:21 Uhr
Goto Top
Hi,

ok. Komisch. Bei mir hat das so funktioniert.
Es bleibt aber auch immer noch die Möglichkeit eine Batch-File anzulegen, die dann mit "runas" das Programm startet.
Dabei muss man die Login-Daten auch nur einmal eingeben.

Hier eine Beschreibung:
http://board.protecus.de/t40745.htm

Gruß
Dani
Dani 07.08.2014 um 10:04:16 Uhr
Goto Top
Zitat von @06Down:
ok. Komisch. Bei mir hat das so funktioniert.
Es bleibt aber auch immer noch die Möglichkeit eine Batch-File anzulegen, die dann mit "runas" das Programm
startet.
Schön und gut... aber was passiert wennn der Mitarbeiter die Batchdatei kopiert / anpasst? Somit kann er jede Anwendung als Admin starten.
Ich hatte vor wenigen Wochen ein ähnliches Problem. Gelöst haben wir es mit Autoit.


Gruß,
Dani
DerWoWusste
DerWoWusste 07.08.2014 um 10:31:09 Uhr
Goto Top
Hi.

Es gibt da zumindest eine best practice:
->frag den Hersteller: warum werden Adminrechte benötigt? Gibt es ein Update, das ohne diese auskommt?
->wenn der nichts rausrückt: analysiere mit procmon was dieses Programm tun möchte, was hohe Rechte verlangt
->wenn Du das nicht kannst, experimentiere a la jsysde mit Schreibrechten auf Verzeichnisse und Registry-Keys, die das Programm anfässt (welche das sind, sollte procmon verraten haben)
->teste, ob es evtl. nur eine vollkommen überflüssige Einstellung im Manifest der Anwendung ist, die durch einen compatibility fix überwunden werden kann. Das bedeutet, man nimmt das Tool ACT5.6 (Freeware von Microsoft) und erstellt einen runasinvoker-Fix
->bringt es auch das nicht, braucht das Programm wohl Adminrechte (was bei einem Heizungssteuerungsprogramm eigentlich undenkbar ist).

Was dann?
->anderes Programm beschaffen
->Hersteller so lange treten, bis er es fixt
->lokale Adminrechte geben
->Programm in eine VM verbannen, wo der Nutzer Adminrechte hat (oder xp-mode)
->Skripte nutzen oder runas /savecred ...dies ist jedoch genau so, als würdest Du ihm Adminrechte geben.
MarkusVH
MarkusVH 12.08.2014 um 15:10:32 Uhr
Goto Top
Sooo ich habe eine für mich geeignete Lösung gefunden womit ich leben kann!

Ich weis es ist nicht die Perfekte Lösung aber ich möchte hier gern meine Lösung anbieten.

1. In der Computerverwaltung den lokalen Administrator aktivieren und ein Kennwort hinterlegen
2. Eine Batch-Datei erstellen mit folgendem Inhalt:
C:\Windows\System32\runas.exe /savecred /user:administrator "C:\CPUZ\cpuz.exe"
3. Die Batch-Datei speichern im Ordner der Anwendung und eine Verknüpfung auf dem Desktop mit entsprechendem Symbol erstellen.
4. Die Anwendung einmal starten und das PW eingeben
5. FERTIG

Bei der Anwendung muss man natürlich den richtigen Pfad eingeben! ("C:\CPUZ\cpuz.exe")

Hoffe ich kann hiermit jemanden weiterhelfen.

Grüße MarkusVH
DerWoWusste
DerWoWusste 13.08.2014 um 02:45:47 Uhr
Goto Top
"Nicht perfekt" ist geschmeichelt, zumindest aus Gesichtspunkten der Sicherheit ist die Lösung bedenklich. Wenn die Sicherheit nicht so wichtig ist, ist es tatsächlich besser, ihn zum lokalen Admin zu machen. Dies wäre dank uac sicherer als das jetzige.
MarkusVH
MarkusVH 13.08.2014 um 07:49:35 Uhr
Goto Top
Was ist in diesem Fall nicht so sicher?

Der Administrator ist ja PW geschützt und er hat nur Admin-Rechte für dieses Programm.

Die Batchdatei bringt auch nichts zu bearbeiten um ein anderes Programm damit zu starten, da dann das PW des Admins einmalig wieder eingegeben werden muss.

Oder was meinst du mit thema sicherheit?
DerWoWusste
DerWoWusste 13.08.2014 um 10:06:31 Uhr
Goto Top
"und er hat nur Admin-Rechte für dieses Programm" - Irrtum. Savecred gilt global. Er kann nun jedes Programm per runas mit hohen Rechten starten, ohne das Kennwort zu kennen.
DerWoWusste
DerWoWusste 25.08.2014 um 17:13:37 Uhr
Goto Top
Bist Du nun zu einer sicheren Lösung gekommen?
Uschade
Uschade 25.07.2017 um 11:55:46 Uhr
Goto Top
Hallo zusammen,

ich möchte das hier nochmal kurz aufpoppen lassen...weil ich genau dieses Problem mit einem jetzt erworbenen Produkt habe. Die Software ist dazu da, um Messdaten anzuzeigen, lässt sich nach der Installation jedoch nur als lokaler Admin ausführen.

Ich hab alle hier aufgeführten "Lösungen" durchgetestet...leider ohne Erfolg.
Die Batch-Datei startet leider das Programm nicht und aus dem Programmlogger kann ich leider nicht herauslesen, wo genau die erhöhten Rechte notwendig sind...das mag aber daran liegen, dass ich mit diesem Diagnoseprogramm schlicht nicht vertraut bin.
Vielleicht kann mir hier nochmal jemand einen Tipp geben ?

Grüße
Uwe
DerWoWusste
DerWoWusste 25.07.2017 um 13:08:37 Uhr
Goto Top
Moin.

Öffne Procmon, filtere nach "access denied".
Eigene Frage wäre nach 3 Jahren besser.
Uschade
Uschade 25.07.2017 um 15:38:32 Uhr
Goto Top
Trotzdem danke für die schnelle Antwort, auch wenn ich ne neue Frage hätte stellen sollen.