derwowusste
Goto Top

Runasinvoker auf Windows10

Moin Kollegen.

Testet bitte mal, als Nicht-Admin den Taskmanager auf Win10 zu starten - hier bekomme ich eine unerwünschte UAC-Abfrage (UAC ist auf höchster Stufe).
Auf Windows 8.1 auch, aber da konnte ich mittels merge von
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]
@=""  
"C:\\Windows\\System32\\Taskmgr.exe"="RUNASINVOKER"  
einen einfachen Fix ausrollen. Keine Ahnung, warum der auf 10 nicht arbeitet.

Hat jemand dazu eine Idee?

Content-Key: 283779

Url: https://administrator.de/contentid/283779

Printed on: June 12, 2024 at 15:06 o'clock

Mitglied: 122990
122990 Sep 24, 2015 updated at 09:17:11 (UTC)
Goto Top
Moin,
hm, also hier lässt sich der Taskmanager als normaler simpler User ohne Adminrechte auch ohne UAC Abfrage starten (höchstes UAC Level / Windows 10 Enterprise x64 absolut cleane VM).

882cf340d1f0998c6ee8ed91ce760852

Gruß grexit
Mitglied: 114757
114757 Sep 24, 2015 updated at 09:29:12 (UTC)
Goto Top
Zitat von @122990:

hm, also hier lässt sich der Taskmanager als normaler simpler User ohne Adminrechte auch ohne UAC Abfrage starten (höchstes UAC Level / Windows 10 Enterprise x64 absolut cleane VM).
Dito, keine UAC Abfrage auch hier.

Gruß jodel32
Member: DerWoWusste
DerWoWusste Sep 24, 2015 at 09:20:20 (UTC)
Goto Top
Hi.

Funktioniert bei mir in einer cleanen VM ja auch face-smile - nur merkwürdigerweise auf keiner einzigen 10er Produktivmaschine (während es auf allen 8.1er zumindest nach dem merge geht). Rumgeschraubt wurde jedoch nicht an diesen Einstelllungen.

(nebenbei: eine Batch mit
set __COMPAT_LAYER=RunAsInvoker 
start taskmgr.exe
funktioniert wie gewünscht).
Member: michi1983
michi1983 Sep 24, 2015 updated at 09:27:18 (UTC)
Goto Top
Hallo,

auf meiner Produktivmaschine (Win 10 Pro, x64, Deutsch) kann ich auch als User ohne Adminrechte den Taskmanager ohne UAC Abfrage starten.

Gruß
Member: DerWoWusste
DerWoWusste Sep 24, 2015 at 09:34:42 (UTC)
Goto Top
Fein, bei mir zu Hause kann ich es ja auch. Nur hier in der Domain nicht - und wir setzen keine Einstellungen diesbezüglich. Ich wüsste sehr gerne, was das wohl sein mag. Ich werde also die Ochsentour gehen müssen und meine funktionierende VM zur Domäne hinzufügen und die Policies, Skripte und Software Schritt für Schritt ausführen lassen - na, da bin ich mal gespannt, wer das auslöst.
Member: michi1983
michi1983 Sep 24, 2015 at 09:37:08 (UTC)
Goto Top
Zitat von @DerWoWusste:

Fein, bei mir zu Hause kann ich es ja auch. Nur hier in der Domain nicht - und wir setzen keine Einstellungen diesbezüglich. Ich wüsste sehr gerne, was das wohl sein mag. Ich werde also die Ochsentour gehen müssen und meine funktionierende VM zur Domäne hinzufügen und die Policies, Skripte und Software Schritt für Schritt ausführen lassen - na, da bin ich mal gespannt, wer das auslöst.

Bin schon gespannt auf dein Feedback face-wink
Mitglied: 114757
114757 Sep 24, 2015 updated at 09:48:44 (UTC)
Goto Top
Moment mal,
jetzt habe ich mich einmal mit einem Admin angemeldet, dann über den Userwechsel gleichzeitig mit einem anderen beschränkten User angemeldet, und jetzt bekomme ich eine UAC beim "Admin-User" jedoch nicht beim beschränkten User. Ich denke der Taskmanager brauch hier erhöhte Rechte weil er die Prozesse des parallel angemeldeten(getrennten) beschränkten Users anzeigen will. Das das bei dir aber beim normalen User getriggert wird ??
Member: DerWoWusste
DerWoWusste Sep 24, 2015 at 09:53:45 (UTC)
Goto Top
Jodel, das bekommst Du als starker Nutzer immer, auch wenn der andere nicht parallel drin ist.
Member: DerWoWusste
DerWoWusste Sep 24, 2015 at 09:54:44 (UTC)
Goto Top
Ich habe die VM zur Domäne hinzugefügt - zack, Problem ist da. Die Lösung wird dann auch gleich kommen.
Member: DerWoWusste
DerWoWusste Sep 24, 2015 updated at 13:34:55 (UTC)
Goto Top
Lösung gefunden - Hammerhart!

Setzt bitte mal Euren Testnutzer in die lokale Gruppe der Netzwerkkonfigurations-Operatoren ein, meldet ihn danach neu an und staunt...

Ich versuche mich gerade an einer logischen Begründung für dieses Unsinnsdesign.
Edit: wird wohl im Manifest liegen. Runashighest steht da wohl drin, schätze ich. Und Netzwerkkonfigurations-Operatoren ist ein Zusatzprivileg.

...und ich dachte schon, das haben hier alle Rechner... nein, es lag nur an meinem Testnutzer, der dieses Privileg nun einmal hat face-wink
Mitglied: 114757
114757 Sep 24, 2015 updated at 14:04:46 (UTC)
Goto Top
OK, kann ich hier bestätigen.
Edit: wird wohl im Manifest liegen. Runashighest steht da wohl drin, schätze ich. Und Netzwerkkonfigurations-Operatoren ist ein Zusatzprivileg.
Steht drin...highestAvailable, da schnappt sich dann wohl der Taskmanager das höherwertige Token der Netzwerkoperatoren-Gruppe.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!-- Copyright (c) Microsoft Corporation -->
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" xmlns:asmv3="urn:schemas-microsoft-com:asm.v3" manifestVersion="1.0">
<assemblyIdentity
    processorArchitecture="x86"
    version="5.1.0.0"
    name="Microsoft.Windows.Diagnosis.AdvancedTaskManager"
    type="win32"
/>
....
.....
.......
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
    <security>
        <requestedPrivileges>
            <requestedExecutionLevel
                level="highestAvailable"
            />
        </requestedPrivileges>
    </security>
</trustInfo>
<asmv3:application>
    <asmv3:windowsSettings xmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">
        <dpiAware>true</dpiAware>
        <autoElevate>true</autoElevate>
    </asmv3:windowsSettings>
</asmv3:application>
</assembly>
Member: DerWoWusste
DerWoWusste Sep 24, 2015 at 16:42:16 (UTC)
Goto Top
Hmm, nun habe ich es als gelöst markiert...eigentlich wollte ich doch etwas anderes wissen, nämlich, wie man in win10 einzelne Anwendungen asinvoker startet. Das Manifest der Systemdateien kann man nicht manipulieren, der Registrierungsfix läuft warum auch immer nicht, und den compatibility-Admin jetzt runterzuladen für win10 habe ich keinen Bock (nee, ich hatte die Vorversion aus ACT5.6 schon getestet, geht auch nicht).