dirkk73
Goto Top

Win7: Programm als Domänenbenutzer mit Adminrechten ausführen

Hallo zusammen,

ich habe folgendes Problem: wir benutzen in der Firma einen Teilekatalog der Firma Softway. Nun sind seit letzter Woche alle Rechner in der Domäne und die Domänenbenutzer können das Programm nun nicht mehr starten, da es immer mit Adminrechten gestartet werden möchte. Bei einem Rechtsklick auf das Desktop-Icon wird mir der Punkt "Als Administrator ausführen" in den Einstellungen nur ausgegraut angezeigt (bin als Admin angemeldet). Kann das Häckchen also nicht entfernen.

Gibt es die Möglichkeit ein Programm im Konto eines Standardbenutzers mit Administratorrechten zu starten ohne das es eine Passwortabfage bedarf?

Danke

Gruß
Dirk

Content-ID: 292777

Url: https://administrator.de/forum/win7-programm-als-domaenenbenutzer-mit-adminrechten-ausfuehren-292777.html

Ausgedruckt am: 27.12.2024 um 07:12 Uhr

Goemann
Goemann 11.01.2016 um 17:07:05 Uhr
Goto Top
Hallo Dirk,

eine Möglichkeit wäre per AutoIt: https://www.autoitscript.com/autoit3/docs/functions/RunAs.htm

Viele Grüße
Cloudy
Cloudy 11.01.2016 um 17:08:08 Uhr
Goto Top
1. Programm NICHT nach "C:\Program Files" installieren, falls in dieses Verzeichnis geschrieben werden soll
2. NTFS Berechtigungen anpassen, die Software/der Benutzer, der die Software ausführt muss auf alle benötigten Registry Schlüssel, Dienste, Dateien, Ordner, ... Zugriff haben.
3. Eine start.bat mit folgendem Inhalt erstellen:
set __COMPAT_LAYER=RUNASINVOKER
C:\PATH\Program.exe

Dadurch zwingt man Windows das Programm mit dem Shim "AsInvoker" auszuführen.
(Mehr zu Shims: technet.microsoft.com/de-de/library/dd837644(v=ws.10).aspx )

Und falls das nicht funktioniert, kann man noch das integrierte Administrator Konto dafür verwenden. Damit hab ich aber keine Erfahrung:
runas /user:%computername%\Administrator /savecred /env /noprofile "C:\PATH\Program.exe"
WICHTIG: ES GEHT NUR MIT DEM BENUTZER Administrator nicht mit einem anderem Benutzer der Gruppe "Administratoren".
geocast
geocast 11.01.2016 um 17:09:39 Uhr
Goto Top
Kurz und Knapp: Nein

Was du in diesem Fall machen solltest, ist den Benutzern Berechtigung geben auf die Ordner (und evtl. Registry einträgen) die das Programm benötigt. wir haben auch ein Programm im Einsatz, dass Berechtigung vom Benutzer im %Programfiles% braucht. Dazu müssen explizite berechtigungen vergeben werden.

Hier noch ein Link dazu:

Gruppenrichtlinien.de
DerWoWusste
DerWoWusste 11.01.2016 aktualisiert um 17:30:33 Uhr
Goto Top
Hi.

Seltsam. Das Problem kommt hier immer wieder auf und niemand, wirklich niemand scheint irgendeinen Keks auf den Sicherheitsaspekt bei der Sache zu geben.
Hier ein Tool mit verschlüsselter Kennwortübergabe, da ein runas /savecred, dort ein Anpassen der Ordnerrechte (ok, das ist noch unter Umständen zu verantworten, aber diese Umstände sollte man benennen) - alles sicherheitstechnische No-Gos.
Ist es denn den meisten Teilnehmern eines Administratorforums wirklich so egal mit der Sicherheit, Hauptsache es läuft?
Keiner hier, den als erstes durchzuckt "was ist das denn bitte für eine 'Teilekatalogssoftware', die nicht ohne Adminrechte läuft, was sagt der Hersteller zu seiner Verteidigung?"?
Klar, davon gab es tonnenweise Softwares zu Zeiten vor dem NTFS-Dateisystem, aber sowas muss heute wirklich nicht mehr sein. Das unterstützt man nicht mit Umwegen, zumal die die Sicherheit kräftig in Mitleidenschaft ziehen, siehe zum Beispiel hier oder hier
Qugart
Qugart 12.01.2016 um 07:28:24 Uhr
Goto Top
Das mag ja alles richtig sein, nur nützt es einen nicht wirklich viel, wenn man da eine Grundsatzdiskussion mit einem Softwareanbieter (von dem man im Moment völlig abhängig ist) zu führen, während sich vor der Tür die Arbeiter und auch die Chefs versammeln, wieso denn "der ###" jetzt nicht geht, obwohl das vorher immer einwandfrei funktioniert hat.
Außerdem dürfte die Umgebung auch keine extrem sicherheitsanfällige Forschungseinrichtung sein, wo die pöhsen Chinahacker nur darauf warten, bis die drölfmillionen bereits überwachter möglichen Einfallspunkte mal auf sind.

Die Realität sieht so aus: stell die Produktivität wieder her und kümmere dich dann darum, dass das auch sicher ist.
xbast1x
xbast1x 12.01.2016 um 08:05:40 Uhr
Goto Top
Es gibt von Microsoft ein Tool namens ApplicationCompatibilityToolkit. Damit kannst du simulieren, dass du das Programm z.B. als Admin ausführst (run as invoker heißt die Einstellung im Tool), hat mir schon bei einigen Programmen geholfen.
Penny.Cilin
Penny.Cilin 12.01.2016 um 09:30:29 Uhr
Goto Top
Zitat von @Qugart:

Das mag ja alles richtig sein, nur nützt es einen nicht wirklich viel, wenn man da eine Grundsatzdiskussion mit einem Softwareanbieter (von dem man im Moment völlig abhängig ist) zu führen, während sich vor der Tür die Arbeiter und auch die Chefs versammeln, wieso denn "der ###" jetzt nicht geht, obwohl das vorher immer einwandfrei funktioniert hat.
Da muss ich DWW zustimmen und recht geben. Man hätte VOR Einführung bzw. Inbetriebnahme des Softwareproduktes den Softwareanbieter hinterfragen sollen, WARUM administrative Berechtigungen nötig sein müssen.
Dann soll der Anbeiter dies begründen. Und wenn der Anbieter NICHT in der Lage ist das Softwareprodukt so zu entwickeln, das es mit normalen Benutzerberechtigungen funktioniert, dann soll er gefälligst für den entstehenden Schaden haften.

Außerdem dürfte die Umgebung auch keine extrem sicherheitsanfällige Forschungseinrichtung sein, wo die pöhsen Chinahacker nur darauf warten, bis die drölfmillionen bereits überwachter möglichen Einfallspunkte mal auf sind.
Und was ist mit Kundendaten? Oder generell den Daten? Schon mal was von Datenschutz gehört? Es ist schon öfters bekannt geworden, daß durch Sicherheitsrisiken Daten kopiert wurden. Und dann ist das Geschrei groß.

Die Realität sieht so aus: stell die Produktivität wieder her und kümmere dich dann darum, dass das auch sicher ist.
Das hätte man im Vorfeld verhindern können, wenn man am Anfang darauf geachtet hätte.


Gruss Penny
geocast
geocast 12.01.2016 aktualisiert um 09:36:51 Uhr
Goto Top
@DerWoWusste

Ich gebe dir recht, es ist nicht das Optimum Ordnerrechte anzupassen. Aber in einem Fall wo man ältere Software hat, die leider noch in seinem eigenen Ordner schreibt, wie möchte man das den Umgehen (ok, nur Berechtigung auf die Dateien die geschrieben werden müssen sind deutlich besser)? Dürfte ja deutlich besser sein, wie Adminrechte zu vergeben.

Ich rede natürlich von älterer Software. Bei neuer darf das unter keine Umständen sein!
Qugart
Qugart 12.01.2016 um 10:19:26 Uhr
Goto Top
@Penny.Cilin
Das ist ja klar, dass man das machen hätte müssen. Nur das Kind ist eben schon in den Brunnen gefallen. Da kann man jetzt lange drüber diskutieren, was man noch alles machen hätte können. das bringt nur nix, weil vorbei ist vorbei.
Und Tatsache ist es ja auch, dass vor allem in kleineren Betrieben die IT eben nur ein notwendiges Übel ist. Oftmals werden die IT-Menschen (die ja auch sehr oft nicht mal ausgebildete IT-Menschen sind) vor vollendeten Tatsachen gestellt. Oder aber die Probleme tauchen erst im Betrieb auf, weil man eben keine Planung machte.

Dass das alles vom Sicherheitsaspekt gesehen alles andere als ideal ist, ist ja klar. Datenschutz ist ja generell ein Problem. Auf dem Papier. Aus meiner Erfahrung kommts aber bei kleineren Betrieben nicht wirklich zu angemahnten Verstößen. Verstöße ja, aber da schert sich kein Betroffener drum.
Cloudy
Cloudy 12.01.2016 um 14:56:55 Uhr
Goto Top
Zitat von @xbast1x:

Es gibt von Microsoft ein Tool namens ApplicationCompatibilityToolkit. Damit kannst du simulieren, dass du das Programm z.B. als Admin ausführst (run as invoker heißt die Einstellung im Tool), hat mir schon bei einigen Programmen geholfen.

@xbast1x
Genau das macht auch mein obiges Batchscript, nur dass man nicht erst das ApplicationCompatibilityToolkit studieren muss face-wink
set __COMPAT_LAYER=RUNASINVOKER
C:\PATH\Program.exe
DerWoWusste
DerWoWusste 12.01.2016 um 16:14:38 Uhr
Goto Top
Das mag ja alles richtig sein, nur nützt es einen nicht wirklich viel, wenn...
Jeder von uns hat schon mal ein Stück Sicherheit ad acta gelegt, damit etwas funktioniert, jeder kennt das - nicht schön, aber notwendig.
Mein Einwand hatte andere Gründe: Ich finde es schwach, wenn Admins Workarounds präsentieren, aber nicht auf die Gefahren hinweisen. Dass sie so eine Software verwenden müssen, mag Gründe haben, da will ich mich nicht einmischen, aber es wurde ja nicht einmal in Frage gestellt, warum das so ist, der ganze Sicherheitsaspekt wurde bei den Antworten ausgeklammert.
Und wenn dann vermeintlich richtige Aussagen wie
WICHTIG: ES GEHT NUR MIT DEM BENUTZER Administrator nicht mit einem anderem Benutzer der Gruppe "Administratoren"
oder
Damit kannst du simulieren, dass du das Programm z.B. als Admin ausführst (run as invoker heißt die Einstellung im Tool)
gemacht werden, dann schreib ich was dazu.
runasinvoker zwingt das Programm dazu, mit Userrechten zu starten - das heißt nicht, dass es dann läuft, aber der Versuch ist in der Tat sehr sinnvoll. Es "simuliert" jedoch keine Adminrechte.
Und savecred ist brandgefährlich, siehe mein erster Link - gerade mit dem eingebauten Adminkonto auf gar keinen Fall verwenden. Wenn sowas schon sein muss, dann nimmt man psexec -i unter Angabe des Nutzerkontos.
agowa338
agowa338 12.01.2016 um 17:56:25 Uhr
Goto Top
Was hältst du von Lösungen wie z. B. Turbo.net Studio oder Microsoft App-V?
Kostet zwar eine Stange Geld, ist aber zumindest aus Technischer siecht besser oder?
DerWoWusste
DerWoWusste 13.01.2016 aktualisiert um 09:19:03 Uhr
Goto Top
@agowa338
Ich kenne turbo studio nicht, aber die Website verspricht, unter anderem dieses Problem lösen zu können. App-V ist meines Wissens nicht dazu geeignet, aber da mag ich mich irren.
Jedoch würde ich immer dafür stimmen, von Herstellern einzufordern, dass das ohne administrative Rechte gehen muss. Keine wirkliche Usersoftware braucht administrative Rechte, wenn sie richtig geschrieben ist.
117471
117471 13.01.2016 um 13:18:32 Uhr
Goto Top
Würde es in so einem Fall nicht eher Sinn machen, die Anwendung zu virtualisieren?

http://www.pcwelt.de/ratgeber/Anwendungen-virtualisieren-8919639.html

Man stelle sich nur mal den extrem unwarscheinlichen Fall vor, dass die Software eine Sicherheitslücke hat. Wer nicht einmal einen Teilekatalog zu zusammengeklimpert bekommt, dass er nach erfolgter Installation ohne Admin-Rechte läuft, der versagt u.U. noch an ganz anderer Stelle...

Just my 2C.