9
RunAs Explorer.exe funktioniert mit Vista und Windows7 nicht mehr - aber wie dann?
Seit Vista und somit auch im neuen Windows 7 kann man die Explorer.exe nicht mehr über "Run As" mit Adminrechten starten lassen. Was sind dann die Alternativen um in großen Unternehmen ausgewählten Benutzern zeitweise Adminrechte zu verschaffen?
Moinmoin,
wir müssen bei uns im "Amt" (eine wissenschaftliche Behörde mit ~1.400 PCs) früher oder später auf Windows 7 umsteigen. Momentan laufen die allermeisten Rechner allerdings noch auf Windows XP und wir testen grade Stück für Stück das neue Windows.
Als bislang grösste Hürde erscheint uns das Verhalten von "Run As". Bislang nutzten wir diese hübsche Möglichkeit um Benutzern auf Knopfdruck einen Explorer mit Adminrechten starten zu lassen. I.d.R. kennt der Benutzer auf diese Weise das lokale Adminpasswort nicht, da es beim ersten Runas per /savecred gespeichert wurde. Über diesen Admin-Explorer kann der Benutzer nun z.B. die Programme starten, die nur mit Adminrechten laufen, neue Software installieren, ACLs gradebiegen, Netzwerkeinstellungen anzupassen etc., ohne grundsätzlich mit Adminrechten zu arbeiten. Ganz ohne Adminrechte wenigstens für einen Teil der Benutzer geht es bei uns leider nicht, da die Struktur unserer Benutzer bzw. der von ihnen benötigten Anwendungen viel zu unterschiedlich ist (Wissenschaftler sind anstrengende Nutzer ;) ).
Fakt ist nun aber, daß sich die Exploer.exe schon seit Vista nicht mehr per "run as" als Admin starten lässt. Da frage ich mich: wie lösen andere Unternehmen dieses Problem? Soll der User das Adminpasswort jetzt doch wieder wissen und tausendfach tippen müssen? Muss ich (bzw. die jeweiligen Administratoren) "tausende" run-As-Links für die jeweiligen Anwendungen vorbereiten? Muss ich oder der jeweilige Admin jedesmal loslaufen, wenn Benutzer X das UAC-Fenster bekommt? Und was ist mit den viele unserer Wissenschaftler, die sich monatelang im Jemen oder in der Antarktis aufhalten? Da bleibt nur die Bekanntgabe des Adminpassworts und das tausendfache Tippen?!
Ich hab schon überlegt, einfach einen anderen Dateimanager zu installieren, und über diesen die für die "Power-User" gewohnte "run-As Explorer-Umgebung" wieder einzurichten. Aber ist das eine gute Lösung? Wie wird dieses Problem anderswo gelöst? Haben die Nutzer das Adminpasswort und tippen es? Haben nur die jeweiligen Admins das Passwort und laufen ständig los? Gibt es nur noch genormte Standardanwendungen? (Das ist bei uns einfach nicht möglich!)
Gruß - Nike
wir müssen bei uns im "Amt" (eine wissenschaftliche Behörde mit ~1.400 PCs) früher oder später auf Windows 7 umsteigen. Momentan laufen die allermeisten Rechner allerdings noch auf Windows XP und wir testen grade Stück für Stück das neue Windows.
Als bislang grösste Hürde erscheint uns das Verhalten von "Run As". Bislang nutzten wir diese hübsche Möglichkeit um Benutzern auf Knopfdruck einen Explorer mit Adminrechten starten zu lassen. I.d.R. kennt der Benutzer auf diese Weise das lokale Adminpasswort nicht, da es beim ersten Runas per /savecred gespeichert wurde. Über diesen Admin-Explorer kann der Benutzer nun z.B. die Programme starten, die nur mit Adminrechten laufen, neue Software installieren, ACLs gradebiegen, Netzwerkeinstellungen anzupassen etc., ohne grundsätzlich mit Adminrechten zu arbeiten. Ganz ohne Adminrechte wenigstens für einen Teil der Benutzer geht es bei uns leider nicht, da die Struktur unserer Benutzer bzw. der von ihnen benötigten Anwendungen viel zu unterschiedlich ist (Wissenschaftler sind anstrengende Nutzer ;) ).
Fakt ist nun aber, daß sich die Exploer.exe schon seit Vista nicht mehr per "run as" als Admin starten lässt. Da frage ich mich: wie lösen andere Unternehmen dieses Problem? Soll der User das Adminpasswort jetzt doch wieder wissen und tausendfach tippen müssen? Muss ich (bzw. die jeweiligen Administratoren) "tausende" run-As-Links für die jeweiligen Anwendungen vorbereiten? Muss ich oder der jeweilige Admin jedesmal loslaufen, wenn Benutzer X das UAC-Fenster bekommt? Und was ist mit den viele unserer Wissenschaftler, die sich monatelang im Jemen oder in der Antarktis aufhalten? Da bleibt nur die Bekanntgabe des Adminpassworts und das tausendfache Tippen?!
Ich hab schon überlegt, einfach einen anderen Dateimanager zu installieren, und über diesen die für die "Power-User" gewohnte "run-As Explorer-Umgebung" wieder einzurichten. Aber ist das eine gute Lösung? Wie wird dieses Problem anderswo gelöst? Haben die Nutzer das Adminpasswort und tippen es? Haben nur die jeweiligen Admins das Passwort und laufen ständig los? Gibt es nur noch genormte Standardanwendungen? (Das ist bei uns einfach nicht möglich!)
Gruß - Nike
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 127078
Url: https://administrator.de/contentid/127078
Printed on: April 24, 2024 at 07:04 o'clock
9 Comments
Latest comment
Hi
Bin auch bei einer staatlichen Behörde. Wir setzen ein Fernwartungstool ein. Ich halte es für Falsch einfachen Benutzern auch nur im Explorer Admin-Rechte zu geben. Bei uns können Sich Personen selbst administrieren, jedoch können Sie dann keinen Support mehr in Anspruch nehmen.
Da ich wie schon erwähnt der Meinung bin, dass normale User überhaupt keine Admin-rechte bekommen sollen stellt sich für mich dieses Problem nicht.
Gruß
Chris
Bin auch bei einer staatlichen Behörde. Wir setzen ein Fernwartungstool ein. Ich halte es für Falsch einfachen Benutzern auch nur im Explorer Admin-Rechte zu geben. Bei uns können Sich Personen selbst administrieren, jedoch können Sie dann keinen Support mehr in Anspruch nehmen.
Da ich wie schon erwähnt der Meinung bin, dass normale User überhaupt keine Admin-rechte bekommen sollen stellt sich für mich dieses Problem nicht.
Gruß
Chris
Hallo,
wir arbeiten auch mit Fernwartungstools. Adminrechte hat bei uns kein User und wir haben auch viele unterschiedliche Anwendungen im Einsatz.
Wir haben es auch bisher immer geschafft Anwendungen, auch solche die laut Hersteller Adminrechte brauchen, mit normalen Benutzerrechten zum Laufen zu bringen.
Gruß
Tom
wir arbeiten auch mit Fernwartungstools. Adminrechte hat bei uns kein User und wir haben auch viele unterschiedliche Anwendungen im Einsatz.
Wir haben es auch bisher immer geschafft Anwendungen, auch solche die laut Hersteller Adminrechte brauchen, mit normalen Benutzerrechten zum Laufen zu bringen.
Gruß
Tom
Guten Morgen.
Soviel zum Spott. Ich würde sagen, mit Adminrechten auf W7 fahrt Ihr wirklich besser als vorher ohne mit der "Krüppellösung" über den Explorer, denn Windows 7 und Vista haben die UAC - es wird grundsätzlich ohne Adminrechte gearbeitet.
Lass die Nutzer unterschreiben, dass Sie Adminrechte bekommen haben und Sie nur zu einem vorgesehenen Zweck nutzen werden.
Willst Du wirklich etwas Sauberes, dann musst Du erhebliche Klimmzüge machen. Installationen gemanagter Software userzugewiesen sind ja kein Thema, wie aber verfahren bei ungemanagter Software (reingereichte CDs)? Keine Chance.
Netzwerkeinstellungen verändern geht seit xp auch als User über die Gruppe Netzwerkkonfigurationsoperatoren.
Außerdem sollte man den Taskplaner kennen. Mit dem kann man gesichert hohe Rechte an den Nutzer übergeben - jedoch niemals interaktiv (sichtbar)! Somit nur in Skripten nutzbar.
Bislang nutzten wir diese hübsche Möglichkeit um Benutzern auf Knopfdruck einen Explorer mit Adminrechten starten zu lassen. I.d.R. kennt der Benutzer auf diese Weise das lokale Adminpasswort nicht, da es beim ersten Runas per /savecred gespeichert wurde
Sicherheit ade. Über Euer savecred kann der Benutzer nun immer für alle beliebigen Programme Adminrechte nutzen, siehe http://www.derkeiler.com/Mailing-Lists/NT-Bugtraq/2003-07/0069.html - auch ohne dies Wissen ist das indiskutabel, denn der Explorer vererbt seine Rechte an alles, was Du über ihn startest. Spart Euch die Mühe, mit dem Sicherheitsbedarf scheint es ja nicht weit her zu sein, gebt doch allen Adminrechte.Soviel zum Spott. Ich würde sagen, mit Adminrechten auf W7 fahrt Ihr wirklich besser als vorher ohne mit der "Krüppellösung" über den Explorer, denn Windows 7 und Vista haben die UAC - es wird grundsätzlich ohne Adminrechte gearbeitet.
Lass die Nutzer unterschreiben, dass Sie Adminrechte bekommen haben und Sie nur zu einem vorgesehenen Zweck nutzen werden.
Willst Du wirklich etwas Sauberes, dann musst Du erhebliche Klimmzüge machen. Installationen gemanagter Software userzugewiesen sind ja kein Thema, wie aber verfahren bei ungemanagter Software (reingereichte CDs)? Keine Chance.
Netzwerkeinstellungen verändern geht seit xp auch als User über die Gruppe Netzwerkkonfigurationsoperatoren.
Außerdem sollte man den Taskplaner kennen. Mit dem kann man gesichert hohe Rechte an den Nutzer übergeben - jedoch niemals interaktiv (sichtbar)! Somit nur in Skripten nutzbar.
Hallo!
Der Thread ist zwar schon ein bischen älter, aber ich finde das Thema schon noch interessant. Ich habe Vista ausgelassen und arbeite mich gerade in Windows 7 ein. Das man den Windows-Explorer hier nicht mehr mit administrativen Rechten starten kann (wie in Windows XP) empfinde ich schon als gewaltige Einschränkung. Nicht, dass ich meinen eingeschränkten Benutzern die Möglichkeit geben möchte, den Explorer mit Administratorrechten zu starten, aber gesetzt den Fall ich sitze als Administrator mit einem Anwender vor Ort an dessen PC, an den er sich als eingeschränkter Benutzer angemeldet hat. Wie kann ich jetzt auf Dateien zugreifen, die in einem lokalen Administratorprofil liegen, ohne den Benutzer extra abzumelden!? Und mehr noch: Gesetzt den Fall, ich habe den Benutzer jetzt abgemeldet und mich mit einem Administratorkonto im Administratorbestätigungsmodus angemeldet; wie kann ich jetzt Dateien in das Profil des Benutzers kopieren, ohne dass die UAC mein Administratorkonto extra in die ACL des Profilverzeichnisses des eingeschränkten Benutzer hinzufügt (sinngemäß: "Klicken Sie hier um *permanent* Zugriff zu erhalten"). Dieser zusätzliche Eintrag in die ACL ist nämlich total überflüssig, weil die Gruppe der Administratoren (zu denen jeder Administrator gehört) bereits Zugriff auf alle Profilverzeichnisse unterhalb von c:\users hat. Weil man den Explorer aber nicht mit Administratorrechten starten kann tritt man nicht als Mitglied dieser Gruppe auf und kann folglich auch nicht auf die Profilverzeichnisse anderer Benutzer zugreifen, ohne das die UAC den zusätzlichen Berechtigungseintrag in ACL schreibt.
Übersehe ich da etwas, oder wie kann man einfach Daten zwischen einem administrativen und einem eingeschränkten Profil austauschen?
Alles Gute,
Indy06
Der Thread ist zwar schon ein bischen älter, aber ich finde das Thema schon noch interessant. Ich habe Vista ausgelassen und arbeite mich gerade in Windows 7 ein. Das man den Windows-Explorer hier nicht mehr mit administrativen Rechten starten kann (wie in Windows XP) empfinde ich schon als gewaltige Einschränkung. Nicht, dass ich meinen eingeschränkten Benutzern die Möglichkeit geben möchte, den Explorer mit Administratorrechten zu starten, aber gesetzt den Fall ich sitze als Administrator mit einem Anwender vor Ort an dessen PC, an den er sich als eingeschränkter Benutzer angemeldet hat. Wie kann ich jetzt auf Dateien zugreifen, die in einem lokalen Administratorprofil liegen, ohne den Benutzer extra abzumelden!? Und mehr noch: Gesetzt den Fall, ich habe den Benutzer jetzt abgemeldet und mich mit einem Administratorkonto im Administratorbestätigungsmodus angemeldet; wie kann ich jetzt Dateien in das Profil des Benutzers kopieren, ohne dass die UAC mein Administratorkonto extra in die ACL des Profilverzeichnisses des eingeschränkten Benutzer hinzufügt (sinngemäß: "Klicken Sie hier um *permanent* Zugriff zu erhalten"). Dieser zusätzliche Eintrag in die ACL ist nämlich total überflüssig, weil die Gruppe der Administratoren (zu denen jeder Administrator gehört) bereits Zugriff auf alle Profilverzeichnisse unterhalb von c:\users hat. Weil man den Explorer aber nicht mit Administratorrechten starten kann tritt man nicht als Mitglied dieser Gruppe auf und kann folglich auch nicht auf die Profilverzeichnisse anderer Benutzer zugreifen, ohne das die UAC den zusätzlichen Berechtigungseintrag in ACL schreibt.
Übersehe ich da etwas, oder wie kann man einfach Daten zwischen einem administrativen und einem eingeschränkten Profil austauschen?
Alles Gute,
Indy06
Wie kann ich jetzt auf Dateien zugreifen, die in einem lokalen Administratorprofil liegen, ohne den Benutzer extra abzumelden!?
Einfach: Schreib \\client\c$ in die Adresszeile....Dieser zusätzliche Eintrag in die ACL ist nämlich total überflüssig...
Ja und? Er schadet aber auch niemandem. Willst Du ihn vermeiden, musst Du mit dem Konto Administrator arbeiten. Das hat auch bei eingeschalteter UAC keine Beschränkung.Bist Du Dir da so sicher? Stell Dir mal vor der Benutzer "hans" ist ein Administrator und hat auf diesem Wege Zugriff auf das Profilverzeichnis des Benutzers "franz" bekommen (also durch einen zusätzlichen Eintrag in der ACL von c:\users\franz für den Benutzer "hans"). Jetzt hat "hans" aber Mist gebaut und ein anderer oder "der" Administrator stuft das Konto von "hans" zu einem eingeschränkten Benutzer herunter. Rate mal, worauf "hans" nun immer noch Zugriff hat, obwohl er kein Administrator mehr ist! Richtig, auf c:\users\franz! Findest Du das sinnvoll?
Gruß,
Inddy06
Du hast Recht, das habe ich nicht bedacht, da wir nie Admins degradiert haben bislang.
Nun gut, es gibt ja den genannten Umweg. Ein weiterer Umweg wäre ein hochgestufter Dateiexplorer, wie zum Beispiel Total Commander. Als letzter, wenn auch unschöner Umweg: Nimm ein x-beliebiges Programm und stuf das hoch und nutze den Datei-Öffnen-Dialog als Dateibrowser.
Nun gut, es gibt ja den genannten Umweg. Ein weiterer Umweg wäre ein hochgestufter Dateiexplorer, wie zum Beispiel Total Commander. Als letzter, wenn auch unschöner Umweg: Nimm ein x-beliebiges Programm und stuf das hoch und nutze den Datei-Öffnen-Dialog als Dateibrowser.
Zitat von @DerWoWusste:
Du hast Recht, das habe ich nicht bedacht, da wir nie Admins
degradiert haben bislang.
Du hast Recht, das habe ich nicht bedacht, da wir nie Admins
degradiert haben bislang.
Sicher, ist ein konstruierter Fall, aber wahrscheinlich fangen alle Sicherheitslücken so an. Dagegen ist mir unklar welchen Sicherheitsgewinn es bringt, wenn der Explorer nicht mehr unter einem anderen Benutzer gestartet werden kann....
Gruß,
Indy06
Dagegen ist mir unklar welchen Sicherheitsgewinn es bringt, wenn der Explorer nicht mehr unter einem anderen Benutzer gestartet werden kann....
Kannst Du bei MS nachlesen - sie wollen somit keine elevation of privilege erleichtern. Das gleiche gilt auch für den IE.
