Win7: Programm als Domänenbenutzer mit Adminrechten ausführen

Mitglied: DirkK73

DirkK73 (Level 1) - Jetzt verbinden

11.01.2016 um 16:59 Uhr, 2994 Aufrufe, 14 Kommentare, 1 Danke

Hallo zusammen,

ich habe folgendes Problem: wir benutzen in der Firma einen Teilekatalog der Firma Softway. Nun sind seit letzter Woche alle Rechner in der Domäne und die Domänenbenutzer können das Programm nun nicht mehr starten, da es immer mit Adminrechten gestartet werden möchte. Bei einem Rechtsklick auf das Desktop-Icon wird mir der Punkt "Als Administrator ausführen" in den Einstellungen nur ausgegraut angezeigt (bin als Admin angemeldet). Kann das Häckchen also nicht entfernen.

Gibt es die Möglichkeit ein Programm im Konto eines Standardbenutzers mit Administratorrechten zu starten ohne das es eine Passwortabfage bedarf?

Danke

Gruß
Dirk
Mitglied: Goemann
11.01.2016 um 17:07 Uhr
Hallo Dirk,

eine Möglichkeit wäre per AutoIt: https://www.autoitscript.com/autoit3/docs/functions/RunAs.htm

Viele Grüße
Bitte warten ..
Mitglied: Cloudy
11.01.2016 um 17:08 Uhr
1. Programm NICHT nach "C:\Program Files" installieren, falls in dieses Verzeichnis geschrieben werden soll
2. NTFS Berechtigungen anpassen, die Software/der Benutzer, der die Software ausführt muss auf alle benötigten Registry Schlüssel, Dienste, Dateien, Ordner, ... Zugriff haben.
3. Eine start.bat mit folgendem Inhalt erstellen:

Dadurch zwingt man Windows das Programm mit dem Shim "AsInvoker" auszuführen.
(Mehr zu Shims: https://technet.microsoft.com/de-de/library/dd837644(v=ws.10).aspx">https://technet.microsoft.com/de-de/library/dd837644(v=ws.10).aspx )

Und falls das nicht funktioniert, kann man noch das integrierte Administrator Konto dafür verwenden. Damit hab ich aber keine Erfahrung:
runas /user:%computername%\Administrator /savecred /env /noprofile "C:\PATH\Program.exe"
WICHTIG: ES GEHT NUR MIT DEM BENUTZER Administrator nicht mit einem anderem Benutzer der Gruppe "Administratoren".
Bitte warten ..
Mitglied: geocast
11.01.2016 um 17:09 Uhr
Kurz und Knapp: Nein

Was du in diesem Fall machen solltest, ist den Benutzern Berechtigung geben auf die Ordner (und evtl. Registry einträgen) die das Programm benötigt. wir haben auch ein Programm im Einsatz, dass Berechtigung vom Benutzer im %Programfiles% braucht. Dazu müssen explizite berechtigungen vergeben werden.

Hier noch ein Link dazu:

Gruppenrichtlinien.de
Bitte warten ..
Mitglied: DerWoWusste
11.01.2016, aktualisiert um 17:30 Uhr
Hi.

Seltsam. Das Problem kommt hier immer wieder auf und niemand, wirklich niemand scheint irgendeinen Keks auf den Sicherheitsaspekt bei der Sache zu geben.
Hier ein Tool mit verschlüsselter Kennwortübergabe, da ein runas /savecred, dort ein Anpassen der Ordnerrechte (ok, das ist noch unter Umständen zu verantworten, aber diese Umstände sollte man benennen) - alles sicherheitstechnische No-Gos.
Ist es denn den meisten Teilnehmern eines Administratorforums wirklich so egal mit der Sicherheit, Hauptsache es läuft?
Keiner hier, den als erstes durchzuckt "was ist das denn bitte für eine 'Teilekatalogssoftware', die nicht ohne Adminrechte läuft, was sagt der Hersteller zu seiner Verteidigung?"?
Klar, davon gab es tonnenweise Softwares zu Zeiten vor dem NTFS-Dateisystem, aber sowas muss heute wirklich nicht mehr sein. Das unterstützt man nicht mit Umwegen, zumal die die Sicherheit kräftig in Mitleidenschaft ziehen, siehe zum Beispiel hier oder hier
Bitte warten ..
Mitglied: Qugart
12.01.2016 um 07:28 Uhr
Das mag ja alles richtig sein, nur nützt es einen nicht wirklich viel, wenn man da eine Grundsatzdiskussion mit einem Softwareanbieter (von dem man im Moment völlig abhängig ist) zu führen, während sich vor der Tür die Arbeiter und auch die Chefs versammeln, wieso denn "der Scheiß" jetzt nicht geht, obwohl das vorher immer einwandfrei funktioniert hat.
Außerdem dürfte die Umgebung auch keine extrem sicherheitsanfällige Forschungseinrichtung sein, wo die pöhsen Chinahacker nur darauf warten, bis die drölfmillionen bereits überwachter möglichen Einfallspunkte mal auf sind.

Die Realität sieht so aus: stell die Produktivität wieder her und kümmere dich dann darum, dass das auch sicher ist.
Bitte warten ..
Mitglied: xbast1x
12.01.2016 um 08:05 Uhr
Es gibt von Microsoft ein Tool namens ApplicationCompatibilityToolkit. Damit kannst du simulieren, dass du das Programm z.B. als Admin ausführst (run as invoker heißt die Einstellung im Tool), hat mir schon bei einigen Programmen geholfen.
Bitte warten ..
Mitglied: Penny.Cilin
12.01.2016 um 09:30 Uhr
Zitat von @Qugart:

Das mag ja alles richtig sein, nur nützt es einen nicht wirklich viel, wenn man da eine Grundsatzdiskussion mit einem Softwareanbieter (von dem man im Moment völlig abhängig ist) zu führen, während sich vor der Tür die Arbeiter und auch die Chefs versammeln, wieso denn "der Scheiß" jetzt nicht geht, obwohl das vorher immer einwandfrei funktioniert hat.
Da muss ich DWW zustimmen und recht geben. Man hätte VOR Einführung bzw. Inbetriebnahme des Softwareproduktes den Softwareanbieter hinterfragen sollen, WARUM administrative Berechtigungen nötig sein müssen.
Dann soll der Anbeiter dies begründen. Und wenn der Anbieter NICHT in der Lage ist das Softwareprodukt so zu entwickeln, das es mit normalen Benutzerberechtigungen funktioniert, dann soll er gefälligst für den entstehenden Schaden haften.

Außerdem dürfte die Umgebung auch keine extrem sicherheitsanfällige Forschungseinrichtung sein, wo die pöhsen Chinahacker nur darauf warten, bis die drölfmillionen bereits überwachter möglichen Einfallspunkte mal auf sind.
Und was ist mit Kundendaten? Oder generell den Daten? Schon mal was von Datenschutz gehört? Es ist schon öfters bekannt geworden, daß durch Sicherheitsrisiken Daten kopiert wurden. Und dann ist das Geschrei groß.

Die Realität sieht so aus: stell die Produktivität wieder her und kümmere dich dann darum, dass das auch sicher ist.
Das hätte man im Vorfeld verhindern können, wenn man am Anfang darauf geachtet hätte.


Gruss Penny
Bitte warten ..
Mitglied: geocast
12.01.2016, aktualisiert um 09:36 Uhr
@DerWoWusste

Ich gebe dir recht, es ist nicht das Optimum Ordnerrechte anzupassen. Aber in einem Fall wo man ältere Software hat, die leider noch in seinem eigenen Ordner schreibt, wie möchte man das den Umgehen (ok, nur Berechtigung auf die Dateien die geschrieben werden müssen sind deutlich besser)? Dürfte ja deutlich besser sein, wie Adminrechte zu vergeben.

Ich rede natürlich von älterer Software. Bei neuer darf das unter keine Umständen sein!
Bitte warten ..
Mitglied: Qugart
12.01.2016 um 10:19 Uhr
@Penny.Cilin
Das ist ja klar, dass man das machen hätte müssen. Nur das Kind ist eben schon in den Brunnen gefallen. Da kann man jetzt lange drüber diskutieren, was man noch alles machen hätte können. das bringt nur nix, weil vorbei ist vorbei.
Und Tatsache ist es ja auch, dass vor allem in kleineren Betrieben die IT eben nur ein notwendiges Übel ist. Oftmals werden die IT-Menschen (die ja auch sehr oft nicht mal ausgebildete IT-Menschen sind) vor vollendeten Tatsachen gestellt. Oder aber die Probleme tauchen erst im Betrieb auf, weil man eben keine Planung machte.

Dass das alles vom Sicherheitsaspekt gesehen alles andere als ideal ist, ist ja klar. Datenschutz ist ja generell ein Problem. Auf dem Papier. Aus meiner Erfahrung kommts aber bei kleineren Betrieben nicht wirklich zu angemahnten Verstößen. Verstöße ja, aber da schert sich kein Betroffener drum.
Bitte warten ..
Mitglied: Cloudy
12.01.2016 um 14:56 Uhr
Zitat von @xbast1x:

Es gibt von Microsoft ein Tool namens ApplicationCompatibilityToolkit. Damit kannst du simulieren, dass du das Programm z.B. als Admin ausführst (run as invoker heißt die Einstellung im Tool), hat mir schon bei einigen Programmen geholfen.

@xbast1x
Genau das macht auch mein obiges Batchscript, nur dass man nicht erst das ApplicationCompatibilityToolkit studieren muss ;-) face-wink

Bitte warten ..
Mitglied: DerWoWusste
12.01.2016 um 16:14 Uhr
Das mag ja alles richtig sein, nur nützt es einen nicht wirklich viel, wenn...
Jeder von uns hat schon mal ein Stück Sicherheit ad acta gelegt, damit etwas funktioniert, jeder kennt das - nicht schön, aber notwendig.
Mein Einwand hatte andere Gründe: Ich finde es schwach, wenn Admins Workarounds präsentieren, aber nicht auf die Gefahren hinweisen. Dass sie so eine Software verwenden müssen, mag Gründe haben, da will ich mich nicht einmischen, aber es wurde ja nicht einmal in Frage gestellt, warum das so ist, der ganze Sicherheitsaspekt wurde bei den Antworten ausgeklammert.
Und wenn dann vermeintlich richtige Aussagen wie
WICHTIG: ES GEHT NUR MIT DEM BENUTZER Administrator nicht mit einem anderem Benutzer der Gruppe "Administratoren"
oder
Damit kannst du simulieren, dass du das Programm z.B. als Admin ausführst (run as invoker heißt die Einstellung im Tool)
gemacht werden, dann schreib ich was dazu.
runasinvoker zwingt das Programm dazu, mit Userrechten zu starten - das heißt nicht, dass es dann läuft, aber der Versuch ist in der Tat sehr sinnvoll. Es "simuliert" jedoch keine Adminrechte.
Und savecred ist brandgefährlich, siehe mein erster Link - gerade mit dem eingebauten Adminkonto auf gar keinen Fall verwenden. Wenn sowas schon sein muss, dann nimmt man psexec -i unter Angabe des Nutzerkontos.
Bitte warten ..
Mitglied: agowa338
12.01.2016 um 17:56 Uhr
Was hältst du von Lösungen wie z. B. Turbo.net Studio oder Microsoft App-V?
Kostet zwar eine Stange Geld, ist aber zumindest aus Technischer siecht besser oder?
Bitte warten ..
Mitglied: DerWoWusste
13.01.2016, aktualisiert um 09:19 Uhr
@agowa338
Ich kenne turbo studio nicht, aber die Website verspricht, unter anderem dieses Problem lösen zu können. App-V ist meines Wissens nicht dazu geeignet, aber da mag ich mich irren.
Jedoch würde ich immer dafür stimmen, von Herstellern einzufordern, dass das ohne administrative Rechte gehen muss. Keine wirkliche Usersoftware braucht administrative Rechte, wenn sie richtig geschrieben ist.
Bitte warten ..
Mitglied: altmetaller
13.01.2016 um 13:18 Uhr
Würde es in so einem Fall nicht eher Sinn machen, die Anwendung zu virtualisieren?

http://www.pcwelt.de/ratgeber/Anwendungen-virtualisieren-8919639.html

Man stelle sich nur mal den extrem unwarscheinlichen Fall vor, dass die Software eine Sicherheitslücke hat. Wer nicht einmal einen Teilekatalog zu zusammengeklimpert bekommt, dass er nach erfolgter Installation ohne Admin-Rechte läuft, der versagt u.U. noch an ganz anderer Stelle...

Just my 2C.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 1 TagFrageOff Topic19 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Windows 10
Windows 10 Geschwindigkeitprobleme trotz viel mehr Gb Ram
Matthes88Vor 1 TagFrageWindows 1045 Kommentare

Hallo ihr lieben aaaalso : Da mein neuer Arbeitsspeicher (32gb) von meiner alten Windows 7 version (max mit 8gb kompatibel) nicht angenommen wurde, habe ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 1 TagTippHumor (lol)12 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

Windows Server
GPU Passthrough HYPER-V 2019
bintesVor 1 TagFrageWindows Server8 Kommentare

Hallo, ich habe ein ein Problem mit der Bereitstellung einer Grafikkarte an eine virtuelle Maschine. Hardware: - HPE ProLiant DL380 Gen9 V4 Rack Server ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 1 TagFrageVideo & Streaming11 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...

Windows Server
Windows Admin Center DC
maximidVor 1 TagFrageWindows Server3 Kommentare

Hallo, ich hätte mal eine Frage zu Windows Admin Center und zwar schaue ich es mir aktuell etwas an da mir die zentrale Verwaltung ...

Grafikkarten & Monitore
Monitorhalterung mit 80cm Armlänge
ben1300Vor 22 StundenFrageGrafikkarten & Monitore7 Kommentare

Guten Abend ! ich bin auf der Suche nach einer Monitorhalterung, im besten Fall ohne Bohrung für einen 28" Monitor (Vesa Halterung). Nun kommt ...

SAN, NAS, DAS
Synology DS213j - Volume nach HDD Austausch vergrößern
gelöst JasperBeardleyVor 1 TagFrageSAN, NAS, DAS4 Kommentare

Moin, ich hab meinem NAS zwei neue 8TB spendiert, da die 3TB Platten jetzt 6 Jahre alt sind. Da die beiden Platten im JBOD ...