28
Nutzern das Ausführen eines Programms erlauben, das höhere Rechte erfordert
Hallo zusammen,
ich habe hier einen Windows 10 Client der an eine Active Directory angebunden ist, die auf einem Server 2012 läuft.
Dieser PC wird von einem Nutzer ohne Admin Rechte verwendet (der Nutzer ist in der AD), es gibt auf dem Win10 Client allerdings eine bereits installierte Anwendung die beim Start Admin Rechte benötigt. Für diese eine Anwendung möchte ich diese Abfrage nach dem Admin Kennwort deaktivieren, damit der User nicht jedes mal einen Admin befragen muss wenn er die Anwendung startet.
Die Anwendung ist absolut vertrauenswürdig - allerdings möchte ich die Abfrage auch wirklich nur für diese Anwendung deaktivieren. Am liebsten wäre mir es, wenn sich diese Anwendung bei der Anmeldung automatisch startet.
Hat da jemand von euch eine Idee wie sich das am besten realisieren ließe?
LG!
ich habe hier einen Windows 10 Client der an eine Active Directory angebunden ist, die auf einem Server 2012 läuft.
Dieser PC wird von einem Nutzer ohne Admin Rechte verwendet (der Nutzer ist in der AD), es gibt auf dem Win10 Client allerdings eine bereits installierte Anwendung die beim Start Admin Rechte benötigt. Für diese eine Anwendung möchte ich diese Abfrage nach dem Admin Kennwort deaktivieren, damit der User nicht jedes mal einen Admin befragen muss wenn er die Anwendung startet.
Die Anwendung ist absolut vertrauenswürdig - allerdings möchte ich die Abfrage auch wirklich nur für diese Anwendung deaktivieren. Am liebsten wäre mir es, wenn sich diese Anwendung bei der Anmeldung automatisch startet.
Hat da jemand von euch eine Idee wie sich das am besten realisieren ließe?
LG!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322471
Url: https://administrator.de/contentid/322471
Ausgedruckt am: 25.11.2024 um 00:11 Uhr
28 Kommentare
Neuester Kommentar
Hallo.
Braucht das Programm wirklich Adminrechte, oder ist es nur schon so alt, daß es die Sicherheitsmaßnahmen (UAC seit Vista) noch nicht kennt? Falls letzteres, könnte ein Kompatibilitätsmodus, den Du als Admin einmalig für das Programm einstellen kannst (re. Maustaste auf der *.exe, "Eigenschaften", Register "Kompatibilität"), helfen. Zum Beispiel ein Kompatibilitätsmodus für Windows XP.
Vielleicht ist's auch nur ein Rechteproblem, hast Du schon mal testhalber versucht, die NTFS-Rechte auf der *.exe auf "Jeder" einzustellen?
Ansonsten ein Batch-Skript in den Autostart, welches ein weiteres Batchskript mit Adminrechten aufruft, das zweite Skript startet dann die Anwendung.
Viele Grüße
von
departure69
Braucht das Programm wirklich Adminrechte, oder ist es nur schon so alt, daß es die Sicherheitsmaßnahmen (UAC seit Vista) noch nicht kennt? Falls letzteres, könnte ein Kompatibilitätsmodus, den Du als Admin einmalig für das Programm einstellen kannst (re. Maustaste auf der *.exe, "Eigenschaften", Register "Kompatibilität"), helfen. Zum Beispiel ein Kompatibilitätsmodus für Windows XP.
Vielleicht ist's auch nur ein Rechteproblem, hast Du schon mal testhalber versucht, die NTFS-Rechte auf der *.exe auf "Jeder" einzustellen?
Ansonsten ein Batch-Skript in den Autostart, welches ein weiteres Batchskript mit Adminrechten aufruft, das zweite Skript startet dann die Anwendung.
Viele Grüße
von
departure69
Moin,
und streng geheim? Oder darfst du den Namen hier nennen?
Gruß Krämer
und streng geheim? Oder darfst du den Namen hier nennen?
Gruß Krämer
Hi,
Kompatibilitätsmodus und Sicherheitseinstellungen haben leider nichts gebracht.
Was müsste denn dann ins Batch-Skript? Kenne mich damit leider nicht aus.
Die Anwendung heißt Netgear Genie, wir brauchen sie um einen alten USB Drucker ans iPad durchzustellen.
LG
Kompatibilitätsmodus und Sicherheitseinstellungen haben leider nichts gebracht.
Was müsste denn dann ins Batch-Skript? Kenne mich damit leider nicht aus.
Die Anwendung heißt Netgear Genie, wir brauchen sie um einen alten USB Drucker ans iPad durchzustellen.
LG
Zitat von @thomasreischer:
Die Anwendung heißt Netgear Genie, wir brauchen sie um einen alten USB Drucker ans iPad durchzustellen.
Ein Raspi mit installierten CUPS der den Drucker via Bonjour im LAN zur Verfügung stellt wäre hier wesentlich zielgerichteter als den Bonzen Adminrechte zu geben ...Die Anwendung heißt Netgear Genie, wir brauchen sie um einen alten USB Drucker ans iPad durchzustellen.
Gruß
Oh Mann... Wie ich oben bereits erwähnt habe möchte ich den Usern natürlich keine Admin Rechte geben
Zitat von @thomasreischer:
Die Anwendung heißt Netgear Genie, wir brauchen sie um einen alten USB Drucker ans iPad durchzustellen.
Die Anwendung heißt Netgear Genie, wir brauchen sie um einen alten USB Drucker ans iPad durchzustellen.
Das Netgear Genie? Dann wende Dich an Netgear. Ansonsten läßt sich Dein Problem mit einem popeligen USB-Printserver oder eine Raspberry für unter 50€ lösen.
lks
Zitat von @thomasreischer:
Oh Mann... Wie ich oben bereits erwähnt habe möchte ich den Usern natürlich keine Admin Rechte geben
Du missverstehst. Das gibst du ihnen aber wenn du diese Möglichkeit bietest auch über eine Batch! Das lässt sich durch den User mit anderen Anwendungen missbrauchen! Denn über eine Batch und runas /savecred werden die Admin-Credentials im Store gesichert.Oh Mann... Wie ich oben bereits erwähnt habe möchte ich den Usern natürlich keine Admin Rechte geben
@departure69 Wie würde das mit dem Batchskript denn funktionieren?
Es muss doch im Jahre 2016 eine Möglichkeit geben diese eine Anwendung von der Berechtigungsprüfung auszunehmen, oder??
Zitat von @thomasreischer:
Es muss doch im Jahre 2016 eine Möglichkeit geben diese eine Anwendung von der Berechtigungsprüfung auszunehmen, oder??
Genau anders herum wird ein Schuh draus - endlich sind wir so weit, dass wir uns von mieser Software befreien müssen Es muss doch im Jahre 2016 eine Möglichkeit geben diese eine Anwendung von der Berechtigungsprüfung auszunehmen, oder??
Mal eine Frage: Wie wurde das Programm installiert? Es muss mit "Als Administrator ausführen" installiert werden...
Zitat von @thomasreischer:
Es muss doch im Jahre 2016 eine Möglichkeit geben diese eine Anwendung von der Berechtigungsprüfung auszunehmen, oder??
Gott sei dank nicht...Wäre ja ein Freibrief für Malware.Es muss doch im Jahre 2016 eine Möglichkeit geben diese eine Anwendung von der Berechtigungsprüfung auszunehmen, oder??
Siehe oben, Stichwort "runas /savecred"
Das ist aber wie gesagt alles Käse.
Die Software braucht es aber gar nicht um mit einem iPad darauf Drucken zu können.
Die Software braucht es eben schon da der Drucker ein dcp 8060 ist, also schon sehr alt und nicht netzwerkfähig. Savecred funktioniert nicht - Fehlermeldung: es ist keine gültige win32 Anwendung
Die Software braucht es eben schon da der Drucker ein dcp 8060 ist, also schon sehr alt und nicht netzwerkfähig.
Deswegen ja der Raspi mit CUPS an den der Drucker über USB angeschlossen wird das kann auch eine VM übernehmen.Savecred funktioniert nicht - Fehlermeldung: es ist keine gültige win32 Anwendung
Das ist ein Parameter von runas keine eigenständige exe 
Jaa, mein ich ja...
Einen raspi würde ich gerne vermeiden..
Einen raspi würde ich gerne vermeiden..
mann könnte dir evtl. helfen, wenn du alle Fragen beantworten würdest...
Fakt ist, ich muss Netgear Genie zum Laufen bringen - was es ja eigentlich schon tut, meines wissens nach auch die einzige (funktionierende) Windows Software die AirPrint Drucker zur Verfügung stellen kann -, was jetzt noch fehlt ist, dass der Standardnutzer diese Anwendung öffnen kann, da sie beim start leider Admin Rechte erfordert.
Also habe ich, wie hier "empfohlen", die runas Methode versucht, die allerdings den oben genannten Fehler rausgespuckt hat.
Also habe ich, wie hier "empfohlen", die runas Methode versucht, die allerdings den oben genannten Fehler rausgespuckt hat.
Wirklich "empfohlen" haben wir was anderes . Es gibt keine "sichere" Methode mit der sich nur bestimmte Anwendungen als Admin ausführen lassen. Per Taskplaner ginge auch noch. Aber sie haben alle gemeinsam das der Nutzer damit aus der Anwendung ausbrechen kann und sich mit dem Token der Anwendung weitere Rechte holt, bzw. die zwischengespeicherten Credentials missbrauchen kann, und darum geht es ja hier.
. Es gibt keine "sichere" Methode mit der sich nur bestimmte Anwendungen als Admin ausführen lassen. Per Taskplaner ginge auch noch. Aber sie haben alle gemeinsam das der Nutzer damit aus der Anwendung ausbrechen kann und sich mit dem Token der Anwendung weitere Rechte holt, bzw. die zwischengespeicherten Credentials missbrauchen kann, und darum geht es ja hier.
Und warum beantwortest du meine Frage nicht?
Zitat von @Kraemer:
Mal eine Frage: Wie wurde das Programm installiert? Es muss mit "Als Administrator ausführen" installiert werden...
Mal eine Frage: Wie wurde das Programm installiert? Es muss mit "Als Administrator ausführen" installiert werden...
Zitat von @131381:
Wirklich "empfohlen" haben wir was anderes. Es gibt keine "sichere" Methode mit der sich nur bestimmte Anwendungen als Admin ausführen lassen. Per Taskplaner ginge auch noch. Aber sie haben alle gemeinsam das der Nutzer damit aus der Anwendung ausbrechen kann und sich mit dem Token der Anwendung weitere Rechte holt, bzw. die zwischengespeicherten Credentials missbrauchen kann, und darum geht es ja hier.
Wirklich "empfohlen" haben wir was anderes
. Es gibt keine "sichere" Methode mit der sich nur bestimmte Anwendungen als Admin ausführen lassen. Per Taskplaner ginge auch noch. Aber sie haben alle gemeinsam das der Nutzer damit aus der Anwendung ausbrechen kann und sich mit dem Token der Anwendung weitere Rechte holt, bzw. die zwischengespeicherten Credentials missbrauchen kann, und darum geht es ja hier.Genau aus diesem Grund habe ich das "empfohlen" auch in Anführungszeichen gesetzt...
Wie würde das ganze denn per Taskplaner funktionieren?
@Kraemer
Ich habe das Programm installiert..
Wie würde das ganze denn per Taskplaner funktionieren?
Task erstellen, exe auswählen und einen lokalen Admin-Account zur Ausführung im Dialog hinterlegen und dann entweder manuell starten oder einen Trigger hinterlegen.Ob das Programm damit klarkommt das es unsichtbar im Hintergrund in einer eigenen Session ohne GUI läuft kann ich hier nicht sagen kenne das Prog nicht da ich solche Konstruktionen für hanebüchen halte und Bonjour kann heutzutage fast jeder noch so billige PrintServer.
Kollege Kraemer meinte, ob das Programm mit administrativen Rechten oder als normaler User installiert wurde, nicht ob Du oder ein anderer Admin das installiert hat.
lks
PS: Es ist immer eine schlechte Idee, einem User mehr Rechte geben zu und diese dann mit Gewalt einschränken zu wollen. Das funktioniert nicht. Hat ein Doktorand an der Uni vor 30 Jahren auch nicht kapieren wollen Denn ein Admin ist ein Admin., egal welche Purzelbäume Du schlägst
Welchen Teil meiner Antwort hast du nicht verstanden?! ICH habe das Programm installiert und natürlich kenne ICH das Admin Kennwort......
@131381
Schade, das funktioniert leider auch nicht. Netgear öffnet sich dann gar nicht. Arggh
Die Installation eines neuen Programms erfordert in 99% der Fälle Admin Rechte.. Netgear wurde natürlich auch mit Admin Rechten installiert.
Schade, das funktioniert leider auch nicht. Netgear öffnet sich dann gar nicht. Arggh
Ja nee, das läuft wenn, dann auch nur unsichtbar im Hintergrund (Taskmanager) in eigener Session ohne Zugriff auf die Console-Session!Grundlagen!
Zitat von @thomasreischer:
Welchen Teil meiner Antwort hast du nicht verstanden?! ICH habe das Programm installiert und natürlich kenne ICH das Admin Kennwort......
@131381
Schade, das funktioniert leider auch nicht. Netgear öffnet sich dann gar nicht. Arggh
nun steht für mich fest: Du hast das Programm falsch installiert! Die Info findet man so ganz nebenbei im Forum von Netgear...Welchen Teil meiner Antwort hast du nicht verstanden?! ICH habe das Programm installiert und natürlich kenne ICH das Admin Kennwort......
@131381
Schade, das funktioniert leider auch nicht. Netgear öffnet sich dann gar nicht. Arggh
Installiere es richtig™ und gut ist
Zitat von @thomasreischer:
Die Installation eines neuen Programms erfordert in 99% der Fälle Admin Rechte.
Die Installation eines neuen Programms erfordert in 99% der Fälle Admin Rechte.
Halte ich bei ordentlichen Programmen für ein Gerücht.
Denn brauchen entweder keine Admin-rechte oder die richten sich dann so ein, daß sie dann im Betrieb keine Admin-Rechte brauchen.
Wie auch immer, das Du kannst auch einfach eine extra Windows-iste dafür hinstellen udn den Bildschirm sperren. jedenfalls wird es nciht funktionieren, daß auf einer Kiste laufen zu lassen und den benutzer dieser Kiste dann einzuschränken., wenn er dieses programm starten darf.
lks
Zitat von @Kraemer:
Installiere es richtig™ und gut ist
Zitat von @thomasreischer:
Welchen Teil meiner Antwort hast du nicht verstanden?! ICH habe das Programm installiert und natürlich kenne ICH das Admin Kennwort......
@131381
Schade, das funktioniert leider auch nicht. Netgear öffnet sich dann gar nicht. Arggh
nun steht für mich fest: Du hast das Programm falsch installiert! Die Info findet man so ganz nebenbei im Forum von Netgear...Welchen Teil meiner Antwort hast du nicht verstanden?! ICH habe das Programm installiert und natürlich kenne ICH das Admin Kennwort......
@131381
Schade, das funktioniert leider auch nicht. Netgear öffnet sich dann gar nicht. Arggh
Installiere es richtig™ und gut ist
Ah ja.. wärst du vielleicht so nett und schickst mir den Link?
