10
Programm privilegiert ausführen ohne Admin-Rechte
Hallo,
ich habe hier einen Arbeitsplatz in der Windows AD hängen, der eine bestimmte Konstellation an Anwendungen ausführen soll. Für die meisten Programme konnte ich das deichseln, aber nicht für den "SEH UTN Manager". Das Tool steuert als Dienst die Verbindung zu einem USB Device Server USBoverIP.
Das Problem ist: Wenn ich das Tool als normaler User ausführe, kann man sogut wie keine Einstellungen innerhalb der Software vornehmen, sondern nur das was als Admin vorkonfiguriert wurde.
Da die Anwender aber selbstständig die Verbindung zu einzelnen Ports aktivieren und deaktivieren sollen, ging das bisher in non-AD-Umgebung nur mit der Vergabe der lokalen Administrator-Rechte. In der Windows AD, kann ich zwar den User ebenfalls den lokalen Administatoren der Arbeitsstation zuweisen. Wäre aber nicht im Sinne der Sicherheit und der Anwender könnte auch unter seinem Kontext alles mögliche Nachinstallieren. Was auf jeden Fall nicht erwünscht wäre.
Wie kann man sowas lösen? Wie kann ich erreichen das nur diese Software mit Admin-Rechten ausgeführt wird, ohne das die Benutzer ein weiteres Passwort eingeben müssen oder das man zuviele Privilegien zuteilt?
Grüße
ich habe hier einen Arbeitsplatz in der Windows AD hängen, der eine bestimmte Konstellation an Anwendungen ausführen soll. Für die meisten Programme konnte ich das deichseln, aber nicht für den "SEH UTN Manager". Das Tool steuert als Dienst die Verbindung zu einem USB Device Server USBoverIP.
Das Problem ist: Wenn ich das Tool als normaler User ausführe, kann man sogut wie keine Einstellungen innerhalb der Software vornehmen, sondern nur das was als Admin vorkonfiguriert wurde.
Da die Anwender aber selbstständig die Verbindung zu einzelnen Ports aktivieren und deaktivieren sollen, ging das bisher in non-AD-Umgebung nur mit der Vergabe der lokalen Administrator-Rechte. In der Windows AD, kann ich zwar den User ebenfalls den lokalen Administatoren der Arbeitsstation zuweisen. Wäre aber nicht im Sinne der Sicherheit und der Anwender könnte auch unter seinem Kontext alles mögliche Nachinstallieren. Was auf jeden Fall nicht erwünscht wäre.
Wie kann man sowas lösen? Wie kann ich erreichen das nur diese Software mit Admin-Rechten ausgeführt wird, ohne das die Benutzer ein weiteres Passwort eingeben müssen oder das man zuviele Privilegien zuteilt?
Grüße
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672377
Url: https://administrator.de/forum/programm-privilegiert-ausfuehren-ohne-admin-rechte-672377.html
Ausgedruckt am: 08.04.2025 um 17:04 Uhr
10 Kommentare
Neuester Kommentar
Genau das konnte früher das Produkt "beyondtrust privilege manager". Es wurde meines Wissens eingestellt. Google mal, was daraus geworden ist, bitte.
Geht es nicht klassisch über die Aufgabenplanung? Aufgabe erstellen, mit "höchsten Privilegien ausführen" markieren, kein Trigger. Verknüpfung erstellen, fertig?
Viele Grüße, commodity
Viele Grüße, commodity
Moin,
Das gute ist ja, dass man das Verbinden bzw. Trennen der USB-Devices per CMD ausführen kann. Somit könnte man das alles per Scheduled Task machen. Da kann dir dann @dww mehr zu sagen, der hat da ja ein „ausgeklügeltes“ System parat
Ich teste morgen mal, was mit dem UTN-Manager geht. Ich habe im Kopf (aber sicher bin ich mir gerade nicht), dass auch Nicht-Admins die Geräte Mappen können…
Das gute ist ja, dass man das Verbinden bzw. Trennen der USB-Devices per CMD ausführen kann. Somit könnte man das alles per Scheduled Task machen. Da kann dir dann @dww mehr zu sagen, der hat da ja ein „ausgeklügeltes“ System parat
Ich teste morgen mal, was mit dem UTN-Manager geht. Ich habe im Kopf (aber sicher bin ich mir gerade nicht), dass auch Nicht-Admins die Geräte Mappen können…
Ich hab da ein ähnliches Problem: User benötigt Admin-Rechte für Programm-Update
Da wurde ich auf das hier gestoßen: https://askus.biz/de/asap.html
Die wrappen da quasi die Credentials über eine Batch und verschlüsseln das ganze. Momentan werkeln die an einer neuen Version und ich hab selber noch keinen Test machen können. Die stellen das für die jeweilige Domäne, in der es genutzt werden soll fertig.
Hört sich aber für mich brauchbar an. Ich warte da bis die neue Version fertig und testbereit ist.
Da wurde ich auf das hier gestoßen: https://askus.biz/de/asap.html
Die wrappen da quasi die Credentials über eine Batch und verschlüsseln das ganze. Momentan werkeln die an einer neuen Version und ich hab selber noch keinen Test machen können. Die stellen das für die jeweilige Domäne, in der es genutzt werden soll fertig.
Hört sich aber für mich brauchbar an. Ich warte da bis die neue Version fertig und testbereit ist.
Moin,
Ich hab für eine ähnliche Konstellation (Dymo Software auf einem TS) folgendes Tool genommen:
https://www.sordum.org/8727/runastool-v1-5/
Läuft 1a 😉
Gruß,
Avoton
Ich hab für eine ähnliche Konstellation (Dymo Software auf einem TS) folgendes Tool genommen:
https://www.sordum.org/8727/runastool-v1-5/
Läuft 1a 😉
Gruß,
Avoton
Zitat von @em-pie:
Ich teste morgen mal, was mit dem UTN-Manager geht. Ich habe im Kopf (aber sicher bin ich mir gerade nicht), dass auch Nicht-Admins die Geräte Mappen können…
So, was ich gerade getestet habe:Ich teste morgen mal, was mit dem UTN-Manager geht. Ich habe im Kopf (aber sicher bin ich mir gerade nicht), dass auch Nicht-Admins die Geräte Mappen können…
- SEH UTN-Manager (4.0.7) als normaler User gestartet
- Netz nach Devices gescannt (myUTN 80)
- Gerät (HASP Dongle) verbunden
- Windows erwartet jetzt noch einen Treiber für den HASP
Was brauchen deine Jungs und Mädels denn, um damit arbeiten zu können, was nur mit Admin-Rechten geht?
Bei mir das ist das irgendwie anders. Ich kann zum Beispiel als normaler User per Rechtsklick auf den Eintrag des Device Servers kein Connect ausführen. Erst wenn ich als Admin starte. Ich probiere das nochmal aus.
Der UTN verwendet bereits einen Dienst der während der Installation angelegt wird. Man könnte natürlich den Start mit Windows abschalten und dann mit Aufgabenplanung einen neuen Dienst steuern. Dann im AD einen Account anlegen, der in der lokalen Admin-Gruppe ist und sich als Dienst anmelden darf. Werde ich probieren.
BeyondTrust oder AdminByRequest kenne ich ebenfalls, aber für diesen einen Anwendungsfall ist das einfach zu teuer. Sordum werde ich mir mal ansehen.
Der UTN verwendet bereits einen Dienst der während der Installation angelegt wird. Man könnte natürlich den Start mit Windows abschalten und dann mit Aufgabenplanung einen neuen Dienst steuern. Dann im AD einen Account anlegen, der in der lokalen Admin-Gruppe ist und sich als Dienst anmelden darf. Werde ich probieren.
BeyondTrust oder AdminByRequest kenne ich ebenfalls, aber für diesen einen Anwendungsfall ist das einfach zu teuer. Sordum werde ich mir mal ansehen.
Bei allen Tools, die ein Kennwort verstecken sei versichert, dass das mit Sicherheit nichts zu tun hat.
Man kann bei interaktiven Programmen immer ausbrechen und hat dann Vollzugriff auf das System.
Beyondtrusts Produkt hatte einen Weg (wie auch immer sie das gemacht haben), der wirklich einzelne Anwendungen isolieren konnte. Das können die Wrapper nicht. Auch der Task Scheduler hilft hier nicht, da er, sobald man etwas im anderen Nutzerkontext startet, kein interaktives Fenster anzeigt. Er ist somit nur für den Anwendungsfall "Nutzer muss etwas mit Adminrechten ausführen, was automatisiert und ohne nötige Eingaben abläuft" brauchbar ist.
Man kann bei interaktiven Programmen immer ausbrechen und hat dann Vollzugriff auf das System.
Beyondtrusts Produkt hatte einen Weg (wie auch immer sie das gemacht haben), der wirklich einzelne Anwendungen isolieren konnte. Das können die Wrapper nicht. Auch der Task Scheduler hilft hier nicht, da er, sobald man etwas im anderen Nutzerkontext startet, kein interaktives Fenster anzeigt. Er ist somit nur für den Anwendungsfall "Nutzer muss etwas mit Adminrechten ausführen, was automatisiert und ohne nötige Eingaben abläuft" brauchbar ist.
Moin
vor vielen Jahren habe ich so etwas mal mit RunasGUI gelöst. Ob das unter Windows 11 noch funktioniert, weiß ich nicht. Das Programm wird wohl nicht mehr wirklich gepflegt.
vgl. https://www.windowspro.de/tool/runas-gui-programme-erhoehten-privilegien ...
Gruß
vor vielen Jahren habe ich so etwas mal mit RunasGUI gelöst. Ob das unter Windows 11 noch funktioniert, weiß ich nicht. Das Programm wird wohl nicht mehr wirklich gepflegt.
vgl. https://www.windowspro.de/tool/runas-gui-programme-erhoehten-privilegien ...
Gruß
Bei mir das ist das irgendwie anders. Ich kann zum Beispiel als normaler User per Rechtsklick auf den Eintrag des Device Servers kein Connect ausführen.
Ich muss von oben eine Sache einschränken:Netz nach Devices gescannt (myUTN 80)
Das geht doch nur, wenn man die SOftware als Admin startet."Connect" geht auch nur als Admin - aber zum Mappen eines USB-Devices reichen norale User-Rechte.
Zu musst halt nur zusehen, dass im Vorfeld alle Dongle.Server hinterlegt sind.
Ggf. kann man die im Vorfeld per GPO verteilen. "Irgendwo" müssen die Infos ja (benutzerbezogen) abgelegt werden. Unter %AppData% habe ich auf die Schnelle nichts gefunden, ggf. aber in der Registry irgendwo.
Schlimmstenfalls mit dem ProcMon man schauen, wo was geschrieben wird.
