berlinger
Goto Top

UAC umgehen

Hallo Leute

habe leider keine Lösung zu meinem Problem gefunden, aber Ihr wisst sicher bescheid...

also ich habe einn TemrinalServer auf Basis von Win 2008 R2. Dort läuft eine "Haus-Applikation" diese bekommt regelmässig Updates welche wir einspielen müssen. Sobald nun das Update gemacht werden sollte, bricht dies ohne Fehlermeldung ab.

Wenn wir nun UAC abschalten den Server neustarten, kann der Benutzer (nicht Admin) das Update installieren.

Meine Frage nun:
- Was führ dazu dass überhaupt UAC "anspringt"?
- Wie kann ich es umgehen? z.B. via Script das Update aufrufen? --> sollte via Benutzer machbar sein, damit er das Update installieren kann.
- hat jemand sonst ne Idee?
- Das gleiche Problem habe ich auch als Administrator

Ich will eigentlich UAC nicht abschalten, da wir sonst keine Probleme haben

Content-ID: 179976

Url: https://administrator.de/contentid/179976

Ausgedruckt am: 05.11.2024 um 11:11 Uhr

hajowe
hajowe 03.02.2012 um 08:00:51 Uhr
Goto Top
Hallo user:37237>
Meine Frage nun:
- Was führ dazu dass überhaupt UAC "anspringt"?

lies dir dies mal durch, vielleicht hilft es weiter.
Wenn es sich um eine Hausapplikation handelt, läßt sich das eventuell einbauen.

Wiki UAC

- Das gleiche Problem habe ich auch als Administrator
Das gleiche Problem ??????

Gruß
goscho
goscho 03.02.2012 um 08:32:48 Uhr
Goto Top
Morgen,

also ich habe einn TemrinalServer auf Basis von Win 2008 R2. Dort läuft eine "Haus-Applikation" diese bekommt regelmässig Updates welche wir einspielen müssen.
Ist das nicht eine administrative Tätigkeit, von welchen Usern die Finger lassen sollten?
Spiel das Update als Administrator ein und dann sollten die User auch arbeiten können.

- Was führ dazu dass überhaupt UAC "anspringt"?
Ein Prozess benötigt 'höhere Rechte' als sie der angemeldete Benutzer hat. Diese können über den Eingabeprompt mitgegeben werden.
Administratoren (außer 'Administrator' selbst) müssen bestätigen, dass ein Prozess höhere Rechte verlangt und können diese gewähren.

Wenn das alles nichts bringt, so würde ich mit dem Hersteller der Software reden, warum sie diese für einen W2K8 R2 TS freigeben, wenn sie nicht mit UAC klarkommt.
Logan000
Logan000 03.02.2012, aktualisiert am 18.10.2012 um 18:49:56 Uhr
Goto Top
Moin moin

@hajowe
Deine Linkformatierung ist irgendwie nicht funktionstüchtig.
http://de.wikipedia.org/wiki/Benutzerkontensteuerung

@berlinger
Ich will eigentlich UAC nicht abschalten, da wir sonst keine Probleme haben
Löblich.
- Was führ dazu dass überhaupt UAC "anspringt"?
Vereinfacht gesagt: alle Aktionen die "administrative Rechte" erfordern.
- Wie kann ich es umgehen?
Nix umgehen. Entweder abschalten oder evtl. etwas runterregeln
z.B. via Script das Update aufrufen? --> sollte via Benutzer machbar sein, damit er das Update installieren kann.
Installationen oder Updates solten nicht durch User erfolgen. Erstrecht nicht auf einem TS (da stellen sich mir ja die Nackenhaare auf).
Entweder manuell durch den Admin oder besser Per GPO als softwareverteilung oder Skript.

Ich möchte dir noch diesen Beitrag zur UAC ans Herz legen.
Ich hoffe das hilft weiter.

Gruß L.
StefanKittel
StefanKittel 03.02.2012 um 08:34:52 Uhr
Goto Top
Moin,

UAC "schaut" welche Windows API Routinen verwendet werden, bzw. was das Programm anfordert.
Sobald Zugriff auf geschützte Bereich oder Routinen verlangt wird kommt bei einem Administrator die Meldung.

Bei Einem Nicht-Administrator sollte eine Meldung kommen, dass er das nicht darf.

Damit er das darf mußt Du Ihn zeitweilig zum Administrator machen oder UAC ausschalten.

Da gibt es viele Batch-Dateien zu diesem Thema. Diese kompromitieren aber alle mehr oder weniger die Sicherheit, da sich der User ja jederzeit zum Administrator machen kann.

Updates sind nur was für Admin.
Schau doch mal bei WSUS zur zentralen Steuerung.

Stefan
goscho
goscho 03.02.2012 um 08:48:12 Uhr
Goto Top
Hi Stefan
Zitat von @StefanKittel:
Updates sind nur was für Admin.
Das ist korrekt.
Schau doch mal bei WSUS zur zentralen Steuerung.
Was willst du uns denn damit sagen?
Die vom TO angesprochene 'Haus-Applikation' wird mir an Sicherheit grenzender Wahrscheinlichkeit nicht über WSUS aktualisierbar sein.
ackerdiesel
ackerdiesel 03.02.2012 um 11:21:52 Uhr
Goto Top
Hallo,
bei deiner "Hausapplikation" können zwei Sachen die UAC fordern:

1. Dein Programm ist im Porgrammordner installiert und Du schreibst beim Update dort neue Dateien, die Windows evtl auslagern will
(VirtualStore) kannst Du umgehen, indem Du die Software nicht in das Programmverzeichnis, sondern z.B. in eine Unterverzecinis dirket ins root installierst.

2. Dein programm versucht Daten in ein Systemverzeichnis (z.B. windows\system32) einzuspielen und diese dateien sollten woanders hin

Wenn diese beiden Punkte nicht helfen, benötigen wir weitere Auskünfte bzgl. der Software, um was für eine Applikation hadelt es sicht, mit was wurde die Applikation erstellt, etc.

Gruß
ackerdiesel
DerWoWusste
DerWoWusste 03.02.2012 um 14:20:09 Uhr
Goto Top
Moin.

Alle haben bislang das Wichtigste ignoriert:
Wenn wir nun UAC abschalten den Server neustarten, kann der Benutzer (nicht Admin) das Update installieren.
Also ist diese UAC-Abfrage unnötig, denn sonst würde das Update als Benutzer (wie dort eben steht, ausdrücklich "nicht Admin") nicht gelingen. Wir haben es also mit einem Setup zu tun, das keine Adminrechte braucht, aber die UAC dennoch antriggert. Dazu reicht, dass das Setup "setup.exe" heißt - Windows ist so unschlau und geht unter anderem tatsächlich nach dem Namen, um zu entscheiden, ob die UAC anspringt, oder nicht!

Demnach folgende Abhilfe:
-sollte es setup.exe heißen, benenne es um in sätapp.exe oder was auch immer.
-reicht das nicht, überlege, die UAC auszuschalten:
...welche funktionalen Nachteile habt Ihr dadurch?
...welche sicherheitstechnischen Nachteile habt Ihr dadurch?

wäge ab. Es ist selten kritisch, die UAC abzuschalten, wenn der Benutzer eh keine Adminrechte hat. Ausnahme: protected mode des IE soll benutzt werden.

Solltest Du bei der UAC bleiben wollen, muss es halt ein Admin irgendwie erledigen. Aber darüber können wir noch nach den Tests mit sätapp.exe diskutieren.
DerWoWusste
DerWoWusste 03.02.2012 um 14:38:05 Uhr
Goto Top
...und noch was: man kann per UAC-Policy das Triggern der UAC teilweise verhindern:
Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern
...könnte schon reichen, dies zu deaktivieren.
jenzi87
jenzi87 06.02.2012 um 14:55:30 Uhr
Goto Top
Hast du schonmal versucht die Installation nicht durch doppelklick sondern rechtsklick=>run as administrator zu starten?
Fall run as administrator nicht verfügbar sein sollte, drücke während dem rechtsklick shift.

Damit sollte es funktionieren (aber nur als Administrator).

Gruß,
Jens