nathan
Goto Top

UAC - Script ohne Admin-Bestätigung ausführen

Ich suche nach einem Weg die UAC partiell zu umgehen.

Hallo liebe Leidensgenossen!

Die Anmeldung als Benutzer mit Admin-Rechten (lokale) an einem Client-PC (Win7) erfordert jedes mal meine Bestätigung für das Hinzufügen von Reg-Einträgen (in HKCU). Ein User mit eingeschränkten Benutzerrechten bekommt keine Aufforderung. Die Einträge werden stillschweigend gesetzt.

Hintergrund: Bei der Anmeldung wird per GP (gilt für jeden User im AD) eine "run.bat" ausgeführt. In dieser stehen verschiedene Registry-Einträge, die dem Zweig HKCU\Software\Microsoft\... hinzugefügt werden sollen, v.a. Internetsettings (trusted sites, Startseite, etc.).

Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung habe.

Frage: Ist jemandem eine Möglichkeit bekannt, diese Sicherheitsabfrage (die generell erwünscht ist) nur für dieses eine Script bzw. diese wenigen Reg-Einträge auszuschalten oder zu umgehen? Den UAC-Level möchte ich nicht verändern. Ich habe schon einiges ausprobiert (leider ohne Dokumentation ...), bin aber nicht fündig geworden. In diesem Forum habe ich auch einiges gelesen, aber kein Beitrag konnte mir weiterhelfen, weshalb ich nun eine neue Anfrage stelle.

Ich bin dankbar für jeden Ratschlag!

Content-Key: 156868

Url: https://administrator.de/contentid/156868

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: 60730
60730 13.12.2010 um 12:21:35 Uhr
Goto Top
moin,

im prinzip - stellst du die falsche Frage....
Ich suche nach einem Weg die UAC partiell zu umgehen.
suchst du nicht - das denkst dachtest du nur bis jetzt.
Hintergrund: Bei der Anmeldung wird per GP (gilt für jeden User im AD) eine "run.bat" ausgeführt.
In dieser stehen verschiedene Registry-Einträge, die dem Zweig HKCU\Software\Microsoft\... hinzugefügt werden sollen, v.a. Internetsettings (trusteds ites, Startseite, etc.).

Das macht man nicht in einem Script, sondern mit einer Policy in der GPO oder via IEAK beim setup vom IE.

Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung habe.
Auch hier - das impliziert doch, das die Regkeys jedesmal beim anmelden neu gesetzt werden, egal - ob die bereits gesetzt sind oder nicht.

Wenns denn unbedingt via reg laufen soll...


Gruß
Mitglied: Zareth
Zareth 13.12.2010 um 12:41:55 Uhr
Goto Top
Eine weitere Möglichkeit wäre im script den administrator als benutzer anzugeben.

Das würde aber bedeuten, dass evtl. ein scrip mit adminrechten ein zweites ausführen muss.

Das funktioniert zwar ist aber sicher nicht im sinne des erfinders. Zumal dann jeder Benutzer, der adminrechte hat, ein anderes logon-script zugewiesen bekommt.
Mitglied: Nathan
Nathan 13.12.2010 um 13:14:42 Uhr
Goto Top
Zitat von @60730:
moin,

im prinzip - stellst du die falsche Frage....
> Ich suche nach einem Weg die UAC partiell zu umgehen.
suchst du nicht - das denkst dachtest du nur bis jetzt.

Ach so?! Gut das du es sagst. Und wonach suche ich?

> Hintergrund: Bei der Anmeldung wird per GP (gilt für jeden User im AD) eine "run.bat" ausgeführt.
> In dieser stehen verschiedene Registry-Einträge, die dem Zweig HKCU\Software\Microsoft\... hinzugefügt werden
sollen, v.a. Internetsettings (trusteds ites, Startseite, etc.).

Das macht man nicht in einem Script, sondern mit einer Policy in der GPO oder via IEAK beim setup vom IE.

Die Welt ist groß - jeder nach seinem Gusto. Und einen Grund gibt auch dafür.

> Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung habe.
Auch hier - das impliziert doch, das die Regkeys jedesmal beim anmelden neu gesetzt werden, egal - ob die bereits gesetzt sind
oder nicht.

Wenns denn unbedingt via reg laufen soll...


Gruß


Wieso /v und wieso run.cmd?
Mitglied: Nathan
Nathan 13.12.2010 um 13:21:04 Uhr
Goto Top
Danke für die Antwort.

Zitat von @Zareth:
Eine weitere Möglichkeit wäre im script den administrator als benutzer anzugeben.

einen lokalen admin? Oder den Domänen-admin?


Das würde aber bedeuten, dass evtl. ein scrip mit adminrechten ein zweites ausführen muss.

A lá "scheduled task"? Ich müßte noch mal drüber nachdenken, warum, aber es mit unserer Konfiguration hier im Netz nicht geklappt einen Task einzurichten, der mit erhöhten Rechten arbeitet.


Das funktioniert zwar ist aber sicher nicht im sinne des erfinders. Zumal dann jeder Benutzer, der adminrechte hat, ein anderes
logon-script zugewiesen bekommt.


Das Script soll im Prinzip schon so bleiben wie es ist.
Mitglied: 60730
60730 13.12.2010 um 13:23:31 Uhr
Goto Top
Zitat von @Nathan:
> Zitat von @60730:
> ----
Ach so?! Gut das du es sagst. Und wonach suche ich?
Ich dachte nach der richtigen Lösung statt eines krummen Workarounds?

> Das macht man nicht in einem Script, sondern mit einer Policy in der GPO oder via IEAK beim setup vom IE.
Die Welt ist groß - jeder nach seinem Gusto. Und einen Grund gibt auch dafür.
  • Welchen?

Wieso /v und wieso run.cmd?

Weil....
ok du benutzt statt cmd bat - aber benutze einfach mal reg query /?
Mitglied: Zareth
Zareth 13.12.2010 um 13:26:51 Uhr
Goto Top
Das Script kann So bleiben allerdings muss ein anderes davor geschaltet werden.

in etwa: run as administrator...... \\pdc\netlogon\run.bat

wie der genaue Befehl ist weiß ich leider nicht.

Welcher admin ist im grunde egal solange du das richtige passwort angibst ggf. Domain\Administrator als User eingeben.
Mitglied: Zareth
Zareth 13.12.2010 um 13:27:44 Uhr
Goto Top
ich denke, das cmd war ein tipfehler und er meint .bat face-big-smile
Mitglied: Nathan
Nathan 13.12.2010 um 13:41:42 Uhr
Goto Top
Danke für diesen (wieder mal) hilfreichen Vorschlag.

Ich suche nach Lösungsvorschhlägen. DIE richtige Lösung gibt es m.E. nicht!

Den Grund für unsere Herangehensweise werde ich dir hier nicht bis ins Detail darlegen. Wenn du einen Lösungsvorschlag hast, dann nimm doch die Gegebenheiten erstmal hin. Du machst es per GPO, wir per Script. Ist recht flexibel und funktioniert! Mein "Problemchen" ist keine große Sache. Reine Bequemlichkeit!

Weil....
ok du benutzt statt cmd bat - aber benutze einfach mal reg query /?

Das ist doch keine vernünftige Antwort, oder?
Mitglied: Nathan
Nathan 13.12.2010 um 13:47:58 Uhr
Goto Top
Käme ich dann nicht wieder zu der UAC Nachfrage, die der Admin immer bekommt, wenn gewisser Code ausgeführt werden soll - eben welcher mit erhöhten Rechten? Um dieser Nachfrage zu entgehen, müsste ich den UAC ausschalten - was ich nicht will.
Mitglied: Zareth
Zareth 13.12.2010 um 13:56:42 Uhr
Goto Top
nicht direkt... wenn Du direkt den richtigen und einzigen Administrator verwendest, wirst du nicht gefragt.

Die UAC macht ja eigentlich nichts anderes als den Admin zu verwenden, wenn Du auf ok klickst.

D.H. es wird garnicht mit dem Benutzer müller, der admin rechte hat ausgeführt sondern als admin selbst. face-smile

Wenn Du dich bspw. mit dem Administrator anmelden würdest, dann würde er dich nicht fragen sondern einfach machen als ob es keine UAC gäbe. Da der Admin aber normalerweise deaktiviert ist, kannst du dich mit diesem nicht direkt anmelden.

Gruß

Zareth
Mitglied: Nathan
Nathan 13.12.2010 um 14:45:28 Uhr
Goto Top
Okay, sehe ich ein, aber ich glaube nicht das es in die richtige Richtung geht.

Nochmal von vorne:
Ich - mit folgenden Rechten: lokal-> Admin/ Domänenweit-> eingeschränkt - melde mich an der Domäne an und per Gruppenrichtlinie bekomme ich dieses Script, welches auf einem Netzlaufwerk ruht, aufgedrückt. Da ich nun lokaler Admin bin, fragt mich die UAC ob das denn auch so seine Richtigkeit hat. Und ich sag ja.
Würde nun ein weiters Script - nennen wir es pre-run.bat - welches mit den Rechten des lokalen Administrators ausgeführt werden würde, die besagte run.bat ausführen, müsste auf dem Rechner (also auf allen PC\'s, weil ich ja auch mal Arbeiten muß zwischendurch ... ) das Administrator-Konto aktiviert sein. Und das pre-run Script lokal hinterlegt sein. Und der lokale Admin bräuchte Leserechte auf die Freigabe - und das für jeden weiteren Rechner der unserer Domäne beitritt.

Hast du dir das so gedacht? Geht das nicht einfacher?

Was ist z.B. mit HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\ConsentPromptBehaviorAdmin ? Ich dachte, da könnte man vielleicht ansetzen?
Ich such also nach einer Setting in meinem Profil, die mir die Bestätigung zur Erlaubnis des Ausführens des Registrierungs-Editors abnimmt (schöne deutsche Sprache!).
Mitglied: 60730
60730 13.12.2010 um 15:00:46 Uhr
Goto Top
Zitat von @Zareth:
ich denke, das cmd war ein tipfehler und er meint .bat face-big-smile

Nein - ich meine cmd, weil die Zeiten von bat in verbindung mit reg query und anderen Befehlen, die nicht die command.com sondern höhere Versionen von Windows benötigen DER richtige Weg ist.

Ich suche nach Lösungsvorschhlägen. DIE richtige Lösung gibt es m.E. nicht!
Das ist doch keine vernünftige Antwort, oder?

Doch mit dem Beispielhaft genannten Weg erkennt man, ob ein Wert gesetzt ist und ur im Fall dass dieser nicht gesetzt ist - wird der Key gesetzt.
Das (nur dann etwas machen, wenn es nötig ist) ist m.E. DER richtige Weg.

siehe reg query /?

Gruß
Mitglied: Nathan
Nathan 13.12.2010 um 15:07:44 Uhr
Goto Top
Hallo Timo Beil,

noch mal zu deinem ersten Kommentar:

Ich schrieb: "Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung habe."

Darauf du: "Auch hier - das impliziert doch, das die Regkeys jedesmal beim anmelden neu gesetzt werden, egal - ob die bereits gesetzt sind oder nicht."

--> Richtig, und so solls sein!

Wenns denn unbedingt via reg laufen soll...



--> Damit kann ich immer noch nix anfangen. Was ist deine Intention bei dieser Art der Problemlösung? Ich verstehe nicht, wie ich damit die UAC umgehe? Stell ich mich zuglatt an??
Mitglied: 60730
60730 13.12.2010 um 15:16:49 Uhr
Goto Top
Zitat von @Nathan:
Hallo Timo Beil,

noch mal zu deinem ersten Kommentar:

Ich schrieb: "Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung
habe."

Darauf du: "Auch hier - das impliziert doch, das die Regkeys jedesmal beim anmelden neu gesetzt werden, egal - ob die bereits
gesetzt sind oder nicht."

--> Richtig, und so solls sein!
  • ok dann schreiben wir aneinander vorbei - ich sehe keinen Grund einen bereits gesetzten Wert neu mit identischem Inhalt zu befüllen, wenn der schon existiert....

Wenns denn unbedingt via reg laufen soll...


--> Damit kann ich immer noch nix anfangen. Was ist deine Intention bei dieser Art der Problemlösung? Ich verstehe nicht,
wie ich damit die UAC umgehe? Stell ich mich zuglatt an??

Die UAC umgehst du damit nicht - sondern prüfst - ob das Script - das die UAC anwirft - überhaupt gestartet werden muß.

Gruß
Mitglied: Zareth
Zareth 13.12.2010 um 20:58:10 Uhr
Goto Top
OMG ich glaube Du hast mich falsch verstanden:

1. der Admin muss nicht aktiviert werden.
2. das pre-run.bat kann auch im netlogon liegen
3. somit muss es nicht auf allen Rechnern liegen
4. da du für die ausführung auch den domainadmin nehmen kannst muss der lokale auch keine leserechte darauf haben

Mein Vorschlag ist allerdings nur theorie, ich weiß nicht ob es funktioniert. In der Theorie funktioniert das! face-smile

Was man mit dem RegKey, welchen Du geschrieben hast machen kann weiß ich nicht. Registry ist nicht gerade mein Schwerpunkt! face-smile
Mitglied: 60730
60730 13.12.2010 um 23:48:56 Uhr
Goto Top
Eine Idee hätte ich noch, denn wenn ich die Frage richtig verstanden habe solls schön krumm sein und bloss keine standard Lösung aus dem MS Press Bereich.

  • ein Abmeldescript das den TO aus der Gruppe der lokalen Admins wirft
  • Ein geplantes Startscript, dass Ihn nach der Anmeldung wieder in die Gruppe der Lok. Admins reinstellt.
Mitglied: Nathan
Nathan 14.12.2010 um 10:38:49 Uhr
Goto Top
Hallo TimoBeil,

ne, so war das nicht gedacht. Ich mags auch lieber gerade und schnörkellos. Der letzte Vorschlag wirft ja mehr Problem auf als vorher da waren!
Allerdings brauche ich auch nicht zu testen ob der Wert gesetzt ist, weil ich weiß das er es nicht ist. Also muss er (bzw. müssen sie, es sind ja mehrere) neu gesetzt werden. Und zwar mit Hilfe der Batchdatei, die die einzelnen Regschlüssel an die gewünschten Stellen setzt.
Es geht auch nicht darum, neue Wege einzuschlagen, sondern mit den Gegebenheiten klar zu kommen. Wenn ich z.B. ein Problem mit Windows hätte bringt es mir nix, wenn einer erzählt ich solle auf Unix umsteigen. Natürlich geht das - es gibt ja meistens mehrere Lösungen - aber macht es einen nicht zu rechtfertigenden Mehraufwand.
Zu meinem Problemchen: So wie ich es sehe geht es einzig und allein um die UAC. Und ich vermisse bzw. bin auf der Suche nach den (für mich) richtigen Schaltern. Wenn es die nicht geben sollte, auch gut!

Vielen Dank für eure Geduld und Hilfe.
Mitglied: Zareth
Zareth 14.12.2010 um 22:34:39 Uhr
Goto Top
Ich würde zumindest meine Variante mal testen ob sie funktioniert und besonders umständlich ist sie auch nicht.
Mitglied: 60730
60730 15.12.2010 um 09:21:13 Uhr
Goto Top
Moin,


Ich schreibs ganz kurz auf - ohne den genannten Regkey von vorne bis hinten durchzudröseln....

Regkeys, die einen Ast/Key Worteil mit dem Inhalt Policy beinhalten, fasst man mit nixx anderem an, als mit einer GPO.

Aber diese Zeile hatte ich ja eigentlich schon am 13. - der kein Freitag war - verfasst.

Und andererseits - ich bin nur gelernter und praktizierender Administrator in "meiner" Firma.
Auf meinem Rechner hat mein Account keine Adminrechte.

Wozu auch - ich surfe doch nicht mit Adminrechten und wenn ein gelernter das kann, dann kann ein ungeübter/ungelernter das sicherlich auch.

Gruß
Mitglied: Nathan
Nathan 15.12.2010 um 11:25:54 Uhr
Goto Top
Guten Tag,

schön, dass es noch Resonaz gibt!
@Zareth: Werde ich gerne mal probieren, wenn ich mir überlegt habe, wie ich das mit meinen (beschränkten) Fähigkeiten und Rechten mal testen könnte.
@timobeil: Keiner der Regschlüssel um die es mir geht ändern etwas an einer Richtlinie oder etablieren gar eine neue. Also nix mit GPO! Wie erwähnt, es handelt sich um "Internet Settings" (wobei das evtl. irreführend ist: Im englischsprachigen IE findet man die gewünschten Einstellungen, die bei uns per Script gesetzt werden, eben unter "Internet Settings" (de: "Internet Optionen")). Leichte Änderungen, wie man sie etwa in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains setzen kann, und die nach erfolgreicher Abmeldung und wiederholter Anmeldung wieder gesetzt werden müssen (Roaming Profile, nicht alles aus AppData wird beim Abmelden zurückgeschrieben).
Nebenbei: Ich bin, wie du dir vielleicht ja schon gedacht hast, kein gelernter Systemadministrator und besetzte auch "nur" eine kleine Stelle in einer Forschungseinrichtung. Bei den Tätigkeiten, die ich hier ausübe ist es schon ganz praktisch, wenn man lokale Adminrechte besitzt - macht das Leben leichter. Außerdem "hilft" mir ja die UAC dabei, nicht alle Prozesse mit erhöhten Rechten auszuführen. In unserem Netzwerk denke ich, ist es relativ sicher so zu agieren. Zu Hause handhabe ich es anders.

Greez
Heiß diskutiert
MysticFoxDEMicrosoft, Google und Amazon haben am 20.03.2024 diverse Cloud-Dienste in Russland eingestellt!MysticFoxDE - 64 KommentareMister001xFirewall Kaufberatung - Sophos, FortiGate, Palo Alto, Netgate, SecurepointMister001x - 38 KommentareLeonowVPN KaskadeLeonow - 25 KommentareSpeedy-ITNeuer Domänencontroller, aber Name wie bisherSpeedy-IT - 24 KommentareKodaCHHardwareanschaffung für Firewall und ProxmoxKodaCH - 20 KommentareIshgaladProjekt, Netzwerktopologie, AufbauIshgalad - 19 KommentarerickstinsonYealink - Sommerzeit beginnt jetzt schonrickstinson - 18 KommentareMatt1893RAID 5 mit 2 "Foreign" PlattenMatt1893 - 17 KommentareMichele.StHomeway System kein Signal via 10 gbit ModulMichele.St - 17 Kommentare0815ITSwitche kaskadieren bzw. hintereinander stecken0815IT - 15 KommentareLegofrauWindows11 Home upgrade zu ProLegofrau - 14 KommentaregodlieWireguard Jumphost Split Tunnel Routingtroublesgodlie - 14 Kommentare