UAC umgehen

Morgen,

Ist das nicht eine administrative Tätigkeit, von welchen Usern die Finger lassen sollten?
Spiel das Update als Administrator ein und dann sollten die User auch arbeiten können.

Ein Prozess benötigt 'höhere Rechte' als sie der angemeldete Benutzer hat. Diese können über den Eingabeprompt mitgegeben werden.
Administratoren (außer 'Administrator' selbst) müssen bestätigen, dass ein Prozess höhere Rechte verlangt und können diese gewähren.

Wenn das alles nichts bringt, so würde ich mit dem Hersteller der Software reden, warum sie diese für einen W2K8 R2 TS freigeben, wenn sie nicht mit UAC klarkommt.

Moin moin

@hajowe
Deine Linkformatierung ist irgendwie nicht funktionstüchtig.
http://de.wikipedia.org/wiki/Benutzerkontensteuerung

@berlinger
Löblich.
Vereinfacht gesagt: alle Aktionen die "administrative Rechte" erfordern.
Nix umgehen. Entweder abschalten oder evtl. etwas runterregeln
Installationen oder Updates solten nicht durch User erfolgen. Erstrecht nicht auf einem TS (da stellen sich mir ja die Nackenhaare auf).
Entweder manuell durch den Admin oder besser Per GPO als softwareverteilung oder Skript.

Ich möchte dir noch diesen Beitrag zur UAC ans Herz legen.
Ich hoffe das hilft weiter.

Gruß L.

Moin,

UAC "schaut" welche Windows API Routinen verwendet werden, bzw. was das Programm anfordert.
Sobald Zugriff auf geschützte Bereich oder Routinen verlangt wird kommt bei einem Administrator die Meldung.

Bei Einem Nicht-Administrator sollte eine Meldung kommen, dass er das nicht darf.

Damit er das darf mußt Du Ihn zeitweilig zum Administrator machen oder UAC ausschalten.

Da gibt es viele Batch-Dateien zu diesem Thema. Diese kompromitieren aber alle mehr oder weniger die Sicherheit, da sich der User ja jederzeit zum Administrator machen kann.

Updates sind nur was für Admin.
Schau doch mal bei WSUS zur zentralen Steuerung.

Stefan

Hi Stefan
Das ist korrekt.
Was willst du uns denn damit sagen?
Die vom TO angesprochene 'Haus-Applikation' wird mir an Sicherheit grenzender Wahrscheinlichkeit nicht über WSUS aktualisierbar sein.

Hallo,
bei deiner "Hausapplikation" können zwei Sachen die UAC fordern:

1. Dein Programm ist im Porgrammordner installiert und Du schreibst beim Update dort neue Dateien, die Windows evtl auslagern will
(VirtualStore) kannst Du umgehen, indem Du die Software nicht in das Programmverzeichnis, sondern z.B. in eine Unterverzecinis dirket ins root installierst.

2. Dein programm versucht Daten in ein Systemverzeichnis (z.B. windows\system32) einzuspielen und diese dateien sollten woanders hin

Wenn diese beiden Punkte nicht helfen, benötigen wir weitere Auskünfte bzgl. der Software, um was für eine Applikation hadelt es sicht, mit was wurde die Applikation erstellt, etc.

Gruß
ackerdiesel

Moin.

Alle haben bislang das Wichtigste ignoriert:
Also ist diese UAC-Abfrage unnötig, denn sonst würde das Update als Benutzer (wie dort eben steht, ausdrücklich "nicht Admin") nicht gelingen. Wir haben es also mit einem Setup zu tun, das keine Adminrechte braucht, aber die UAC dennoch antriggert. Dazu reicht, dass das Setup "setup.exe" heißt - Windows ist so unschlau und geht unter anderem tatsächlich nach dem Namen, um zu entscheiden, ob die UAC anspringt, oder nicht!

Demnach folgende Abhilfe:
-sollte es setup.exe heißen, benenne es um in sätapp.exe oder was auch immer.
-reicht das nicht, überlege, die UAC auszuschalten:
...welche funktionalen Nachteile habt Ihr dadurch?
...welche sicherheitstechnischen Nachteile habt Ihr dadurch?

wäge ab. Es ist selten kritisch, die UAC abzuschalten, wenn der Benutzer eh keine Adminrechte hat. Ausnahme: protected mode des IE soll benutzt werden.

Solltest Du bei der UAC bleiben wollen, muss es halt ein Admin irgendwie erledigen. Aber darüber können wir noch nach den Tests mit sätapp.exe diskutieren.

...und noch was: man kann per UAC-Policy das Triggern der UAC teilweise verhindern:
...könnte schon reichen, dies zu deaktivieren.