UAC umgehen
Hallo Leute
habe leider keine Lösung zu meinem Problem gefunden, aber Ihr wisst sicher bescheid...
also ich habe einn TemrinalServer auf Basis von Win 2008 R2. Dort läuft eine "Haus-Applikation" diese bekommt regelmässig Updates welche wir einspielen müssen. Sobald nun das Update gemacht werden sollte, bricht dies ohne Fehlermeldung ab.
Wenn wir nun UAC abschalten den Server neustarten, kann der Benutzer (nicht Admin) das Update installieren.
Meine Frage nun:
- Was führ dazu dass überhaupt UAC "anspringt"?
- Wie kann ich es umgehen? z.B. via Script das Update aufrufen? --> sollte via Benutzer machbar sein, damit er das Update installieren kann.
- hat jemand sonst ne Idee?
- Das gleiche Problem habe ich auch als Administrator
Ich will eigentlich UAC nicht abschalten, da wir sonst keine Probleme haben
habe leider keine Lösung zu meinem Problem gefunden, aber Ihr wisst sicher bescheid...
also ich habe einn TemrinalServer auf Basis von Win 2008 R2. Dort läuft eine "Haus-Applikation" diese bekommt regelmässig Updates welche wir einspielen müssen. Sobald nun das Update gemacht werden sollte, bricht dies ohne Fehlermeldung ab.
Wenn wir nun UAC abschalten den Server neustarten, kann der Benutzer (nicht Admin) das Update installieren.
Meine Frage nun:
- Was führ dazu dass überhaupt UAC "anspringt"?
- Wie kann ich es umgehen? z.B. via Script das Update aufrufen? --> sollte via Benutzer machbar sein, damit er das Update installieren kann.
- hat jemand sonst ne Idee?
- Das gleiche Problem habe ich auch als Administrator
Ich will eigentlich UAC nicht abschalten, da wir sonst keine Probleme haben
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 179976
Url: https://administrator.de/contentid/179976
Ausgedruckt am: 25.11.2024 um 11:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo user:37237>
lies dir dies mal durch, vielleicht hilft es weiter.
Wenn es sich um eine Hausapplikation handelt, läßt sich das eventuell einbauen.
Wiki UAC
Gruß
Meine Frage nun:
- Was führ dazu dass überhaupt UAC "anspringt"?
- Was führ dazu dass überhaupt UAC "anspringt"?
lies dir dies mal durch, vielleicht hilft es weiter.
Wenn es sich um eine Hausapplikation handelt, läßt sich das eventuell einbauen.
Wiki UAC
- Das gleiche Problem habe ich auch als Administrator
Das gleiche Problem ??????Gruß
Morgen,
Spiel das Update als Administrator ein und dann sollten die User auch arbeiten können.
Administratoren (außer 'Administrator' selbst) müssen bestätigen, dass ein Prozess höhere Rechte verlangt und können diese gewähren.
Wenn das alles nichts bringt, so würde ich mit dem Hersteller der Software reden, warum sie diese für einen W2K8 R2 TS freigeben, wenn sie nicht mit UAC klarkommt.
also ich habe einn TemrinalServer auf Basis von Win 2008 R2. Dort läuft eine "Haus-Applikation" diese bekommt regelmässig Updates welche wir einspielen müssen.
Ist das nicht eine administrative Tätigkeit, von welchen Usern die Finger lassen sollten?Spiel das Update als Administrator ein und dann sollten die User auch arbeiten können.
- Was führ dazu dass überhaupt UAC "anspringt"?
Ein Prozess benötigt 'höhere Rechte' als sie der angemeldete Benutzer hat. Diese können über den Eingabeprompt mitgegeben werden.Administratoren (außer 'Administrator' selbst) müssen bestätigen, dass ein Prozess höhere Rechte verlangt und können diese gewähren.
Wenn das alles nichts bringt, so würde ich mit dem Hersteller der Software reden, warum sie diese für einen W2K8 R2 TS freigeben, wenn sie nicht mit UAC klarkommt.
Moin moin
@hajowe
Deine Linkformatierung ist irgendwie nicht funktionstüchtig.
http://de.wikipedia.org/wiki/Benutzerkontensteuerung
@berlinger
Entweder manuell durch den Admin oder besser Per GPO als softwareverteilung oder Skript.
Ich möchte dir noch diesen Beitrag zur UAC ans Herz legen.
Ich hoffe das hilft weiter.
Gruß L.
@hajowe
Deine Linkformatierung ist irgendwie nicht funktionstüchtig.
http://de.wikipedia.org/wiki/Benutzerkontensteuerung
@berlinger
Ich will eigentlich UAC nicht abschalten, da wir sonst keine Probleme haben
Löblich.- Was führ dazu dass überhaupt UAC "anspringt"?
Vereinfacht gesagt: alle Aktionen die "administrative Rechte" erfordern.- Wie kann ich es umgehen?
Nix umgehen. Entweder abschalten oder evtl. etwas runterregelnz.B. via Script das Update aufrufen? --> sollte via Benutzer machbar sein, damit er das Update installieren kann.
Installationen oder Updates solten nicht durch User erfolgen. Erstrecht nicht auf einem TS (da stellen sich mir ja die Nackenhaare auf).Entweder manuell durch den Admin oder besser Per GPO als softwareverteilung oder Skript.
Ich möchte dir noch diesen Beitrag zur UAC ans Herz legen.
Ich hoffe das hilft weiter.
Gruß L.
Moin,
UAC "schaut" welche Windows API Routinen verwendet werden, bzw. was das Programm anfordert.
Sobald Zugriff auf geschützte Bereich oder Routinen verlangt wird kommt bei einem Administrator die Meldung.
Bei Einem Nicht-Administrator sollte eine Meldung kommen, dass er das nicht darf.
Damit er das darf mußt Du Ihn zeitweilig zum Administrator machen oder UAC ausschalten.
Da gibt es viele Batch-Dateien zu diesem Thema. Diese kompromitieren aber alle mehr oder weniger die Sicherheit, da sich der User ja jederzeit zum Administrator machen kann.
Updates sind nur was für Admin.
Schau doch mal bei WSUS zur zentralen Steuerung.
Stefan
UAC "schaut" welche Windows API Routinen verwendet werden, bzw. was das Programm anfordert.
Sobald Zugriff auf geschützte Bereich oder Routinen verlangt wird kommt bei einem Administrator die Meldung.
Bei Einem Nicht-Administrator sollte eine Meldung kommen, dass er das nicht darf.
Damit er das darf mußt Du Ihn zeitweilig zum Administrator machen oder UAC ausschalten.
Da gibt es viele Batch-Dateien zu diesem Thema. Diese kompromitieren aber alle mehr oder weniger die Sicherheit, da sich der User ja jederzeit zum Administrator machen kann.
Updates sind nur was für Admin.
Schau doch mal bei WSUS zur zentralen Steuerung.
Stefan
Hi Stefan
Das ist korrekt.
Die vom TO angesprochene 'Haus-Applikation' wird mir an Sicherheit grenzender Wahrscheinlichkeit nicht über WSUS aktualisierbar sein.
Das ist korrekt.
Schau doch mal bei WSUS zur zentralen Steuerung.
Was willst du uns denn damit sagen?Die vom TO angesprochene 'Haus-Applikation' wird mir an Sicherheit grenzender Wahrscheinlichkeit nicht über WSUS aktualisierbar sein.
Hallo,
bei deiner "Hausapplikation" können zwei Sachen die UAC fordern:
1. Dein Programm ist im Porgrammordner installiert und Du schreibst beim Update dort neue Dateien, die Windows evtl auslagern will
(VirtualStore) kannst Du umgehen, indem Du die Software nicht in das Programmverzeichnis, sondern z.B. in eine Unterverzecinis dirket ins root installierst.
2. Dein programm versucht Daten in ein Systemverzeichnis (z.B. windows\system32) einzuspielen und diese dateien sollten woanders hin
Wenn diese beiden Punkte nicht helfen, benötigen wir weitere Auskünfte bzgl. der Software, um was für eine Applikation hadelt es sicht, mit was wurde die Applikation erstellt, etc.
Gruß
ackerdiesel
bei deiner "Hausapplikation" können zwei Sachen die UAC fordern:
1. Dein Programm ist im Porgrammordner installiert und Du schreibst beim Update dort neue Dateien, die Windows evtl auslagern will
(VirtualStore) kannst Du umgehen, indem Du die Software nicht in das Programmverzeichnis, sondern z.B. in eine Unterverzecinis dirket ins root installierst.
2. Dein programm versucht Daten in ein Systemverzeichnis (z.B. windows\system32) einzuspielen und diese dateien sollten woanders hin
Wenn diese beiden Punkte nicht helfen, benötigen wir weitere Auskünfte bzgl. der Software, um was für eine Applikation hadelt es sicht, mit was wurde die Applikation erstellt, etc.
Gruß
ackerdiesel
Moin.
Alle haben bislang das Wichtigste ignoriert:
Demnach folgende Abhilfe:
-sollte es setup.exe heißen, benenne es um in sätapp.exe oder was auch immer.
-reicht das nicht, überlege, die UAC auszuschalten:
...welche funktionalen Nachteile habt Ihr dadurch?
...welche sicherheitstechnischen Nachteile habt Ihr dadurch?
wäge ab. Es ist selten kritisch, die UAC abzuschalten, wenn der Benutzer eh keine Adminrechte hat. Ausnahme: protected mode des IE soll benutzt werden.
Solltest Du bei der UAC bleiben wollen, muss es halt ein Admin irgendwie erledigen. Aber darüber können wir noch nach den Tests mit sätapp.exe diskutieren.
Alle haben bislang das Wichtigste ignoriert:
Wenn wir nun UAC abschalten den Server neustarten, kann der Benutzer (nicht Admin) das Update installieren.
Also ist diese UAC-Abfrage unnötig, denn sonst würde das Update als Benutzer (wie dort eben steht, ausdrücklich "nicht Admin") nicht gelingen. Wir haben es also mit einem Setup zu tun, das keine Adminrechte braucht, aber die UAC dennoch antriggert. Dazu reicht, dass das Setup "setup.exe" heißt - Windows ist so unschlau und geht unter anderem tatsächlich nach dem Namen, um zu entscheiden, ob die UAC anspringt, oder nicht!Demnach folgende Abhilfe:
-sollte es setup.exe heißen, benenne es um in sätapp.exe oder was auch immer.
-reicht das nicht, überlege, die UAC auszuschalten:
...welche funktionalen Nachteile habt Ihr dadurch?
...welche sicherheitstechnischen Nachteile habt Ihr dadurch?
wäge ab. Es ist selten kritisch, die UAC abzuschalten, wenn der Benutzer eh keine Adminrechte hat. Ausnahme: protected mode des IE soll benutzt werden.
Solltest Du bei der UAC bleiben wollen, muss es halt ein Admin irgendwie erledigen. Aber darüber können wir noch nach den Tests mit sätapp.exe diskutieren.