14
Win7: Programm als Domänenbenutzer mit Adminrechten ausführen
Hallo zusammen,
ich habe folgendes Problem: wir benutzen in der Firma einen Teilekatalog der Firma Softway. Nun sind seit letzter Woche alle Rechner in der Domäne und die Domänenbenutzer können das Programm nun nicht mehr starten, da es immer mit Adminrechten gestartet werden möchte. Bei einem Rechtsklick auf das Desktop-Icon wird mir der Punkt "Als Administrator ausführen" in den Einstellungen nur ausgegraut angezeigt (bin als Admin angemeldet). Kann das Häckchen also nicht entfernen.
Gibt es die Möglichkeit ein Programm im Konto eines Standardbenutzers mit Administratorrechten zu starten ohne das es eine Passwortabfage bedarf?
Danke
Gruß
Dirk
ich habe folgendes Problem: wir benutzen in der Firma einen Teilekatalog der Firma Softway. Nun sind seit letzter Woche alle Rechner in der Domäne und die Domänenbenutzer können das Programm nun nicht mehr starten, da es immer mit Adminrechten gestartet werden möchte. Bei einem Rechtsklick auf das Desktop-Icon wird mir der Punkt "Als Administrator ausführen" in den Einstellungen nur ausgegraut angezeigt (bin als Admin angemeldet). Kann das Häckchen also nicht entfernen.
Gibt es die Möglichkeit ein Programm im Konto eines Standardbenutzers mit Administratorrechten zu starten ohne das es eine Passwortabfage bedarf?
Danke
Gruß
Dirk
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 292777
Url: https://administrator.de/contentid/292777
Printed on: April 18, 2024 at 21:04 o'clock
14 Comments
Latest comment
Hallo Dirk,
eine Möglichkeit wäre per AutoIt: https://www.autoitscript.com/autoit3/docs/functions/RunAs.htm
Viele Grüße
eine Möglichkeit wäre per AutoIt: https://www.autoitscript.com/autoit3/docs/functions/RunAs.htm
Viele Grüße
1. Programm NICHT nach "C:\Program Files" installieren, falls in dieses Verzeichnis geschrieben werden soll
2. NTFS Berechtigungen anpassen, die Software/der Benutzer, der die Software ausführt muss auf alle benötigten Registry Schlüssel, Dienste, Dateien, Ordner, ... Zugriff haben.
3. Eine start.bat mit folgendem Inhalt erstellen:
Dadurch zwingt man Windows das Programm mit dem Shim "AsInvoker" auszuführen.
(Mehr zu Shims: technet.microsoft.com/de-de/library/dd837644(v=ws.10).aspx )
Und falls das nicht funktioniert, kann man noch das integrierte Administrator Konto dafür verwenden. Damit hab ich aber keine Erfahrung:
runas /user:%computername%\Administrator /savecred /env /noprofile "C:\PATH\Program.exe"
WICHTIG: ES GEHT NUR MIT DEM BENUTZER Administrator nicht mit einem anderem Benutzer der Gruppe "Administratoren".
2. NTFS Berechtigungen anpassen, die Software/der Benutzer, der die Software ausführt muss auf alle benötigten Registry Schlüssel, Dienste, Dateien, Ordner, ... Zugriff haben.
3. Eine start.bat mit folgendem Inhalt erstellen:
set __COMPAT_LAYER=RUNASINVOKER
C:\PATH\Program.exeDadurch zwingt man Windows das Programm mit dem Shim "AsInvoker" auszuführen.
(Mehr zu Shims: technet.microsoft.com/de-de/library/dd837644(v=ws.10).aspx )
Und falls das nicht funktioniert, kann man noch das integrierte Administrator Konto dafür verwenden. Damit hab ich aber keine Erfahrung:
runas /user:%computername%\Administrator /savecred /env /noprofile "C:\PATH\Program.exe"
WICHTIG: ES GEHT NUR MIT DEM BENUTZER Administrator nicht mit einem anderem Benutzer der Gruppe "Administratoren".
Kurz und Knapp: Nein
Was du in diesem Fall machen solltest, ist den Benutzern Berechtigung geben auf die Ordner (und evtl. Registry einträgen) die das Programm benötigt. wir haben auch ein Programm im Einsatz, dass Berechtigung vom Benutzer im %Programfiles% braucht. Dazu müssen explizite berechtigungen vergeben werden.
Hier noch ein Link dazu:
Gruppenrichtlinien.de
Was du in diesem Fall machen solltest, ist den Benutzern Berechtigung geben auf die Ordner (und evtl. Registry einträgen) die das Programm benötigt. wir haben auch ein Programm im Einsatz, dass Berechtigung vom Benutzer im %Programfiles% braucht. Dazu müssen explizite berechtigungen vergeben werden.
Hier noch ein Link dazu:
Gruppenrichtlinien.de
Hi.
Seltsam. Das Problem kommt hier immer wieder auf und niemand, wirklich niemand scheint irgendeinen Keks auf den Sicherheitsaspekt bei der Sache zu geben.
Hier ein Tool mit verschlüsselter Kennwortübergabe, da ein runas /savecred, dort ein Anpassen der Ordnerrechte (ok, das ist noch unter Umständen zu verantworten, aber diese Umstände sollte man benennen) - alles sicherheitstechnische No-Gos.
Ist es denn den meisten Teilnehmern eines Administratorforums wirklich so egal mit der Sicherheit, Hauptsache es läuft?
Keiner hier, den als erstes durchzuckt "was ist das denn bitte für eine 'Teilekatalogssoftware', die nicht ohne Adminrechte läuft, was sagt der Hersteller zu seiner Verteidigung?"?
Klar, davon gab es tonnenweise Softwares zu Zeiten vor dem NTFS-Dateisystem, aber sowas muss heute wirklich nicht mehr sein. Das unterstützt man nicht mit Umwegen, zumal die die Sicherheit kräftig in Mitleidenschaft ziehen, siehe zum Beispiel hier oder hier
Seltsam. Das Problem kommt hier immer wieder auf und niemand, wirklich niemand scheint irgendeinen Keks auf den Sicherheitsaspekt bei der Sache zu geben.
Hier ein Tool mit verschlüsselter Kennwortübergabe, da ein runas /savecred, dort ein Anpassen der Ordnerrechte (ok, das ist noch unter Umständen zu verantworten, aber diese Umstände sollte man benennen) - alles sicherheitstechnische No-Gos.
Ist es denn den meisten Teilnehmern eines Administratorforums wirklich so egal mit der Sicherheit, Hauptsache es läuft?
Keiner hier, den als erstes durchzuckt "was ist das denn bitte für eine 'Teilekatalogssoftware', die nicht ohne Adminrechte läuft, was sagt der Hersteller zu seiner Verteidigung?"?
Klar, davon gab es tonnenweise Softwares zu Zeiten vor dem NTFS-Dateisystem, aber sowas muss heute wirklich nicht mehr sein. Das unterstützt man nicht mit Umwegen, zumal die die Sicherheit kräftig in Mitleidenschaft ziehen, siehe zum Beispiel hier oder hier
Das mag ja alles richtig sein, nur nützt es einen nicht wirklich viel, wenn man da eine Grundsatzdiskussion mit einem Softwareanbieter (von dem man im Moment völlig abhängig ist) zu führen, während sich vor der Tür die Arbeiter und auch die Chefs versammeln, wieso denn "der ###" jetzt nicht geht, obwohl das vorher immer einwandfrei funktioniert hat.
Außerdem dürfte die Umgebung auch keine extrem sicherheitsanfällige Forschungseinrichtung sein, wo die pöhsen Chinahacker nur darauf warten, bis die drölfmillionen bereits überwachter möglichen Einfallspunkte mal auf sind.
Die Realität sieht so aus: stell die Produktivität wieder her und kümmere dich dann darum, dass das auch sicher ist.
Außerdem dürfte die Umgebung auch keine extrem sicherheitsanfällige Forschungseinrichtung sein, wo die pöhsen Chinahacker nur darauf warten, bis die drölfmillionen bereits überwachter möglichen Einfallspunkte mal auf sind.
Die Realität sieht so aus: stell die Produktivität wieder her und kümmere dich dann darum, dass das auch sicher ist.
1
Es gibt von Microsoft ein Tool namens ApplicationCompatibilityToolkit. Damit kannst du simulieren, dass du das Programm z.B. als Admin ausführst (run as invoker heißt die Einstellung im Tool), hat mir schon bei einigen Programmen geholfen.
Zitat von @Qugart:
Das mag ja alles richtig sein, nur nützt es einen nicht wirklich viel, wenn man da eine Grundsatzdiskussion mit einem Softwareanbieter (von dem man im Moment völlig abhängig ist) zu führen, während sich vor der Tür die Arbeiter und auch die Chefs versammeln, wieso denn "der ###" jetzt nicht geht, obwohl das vorher immer einwandfrei funktioniert hat.
Da muss ich DWW zustimmen und recht geben. Man hätte VOR Einführung bzw. Inbetriebnahme des Softwareproduktes den Softwareanbieter hinterfragen sollen, WARUM administrative Berechtigungen nötig sein müssen.Das mag ja alles richtig sein, nur nützt es einen nicht wirklich viel, wenn man da eine Grundsatzdiskussion mit einem Softwareanbieter (von dem man im Moment völlig abhängig ist) zu führen, während sich vor der Tür die Arbeiter und auch die Chefs versammeln, wieso denn "der ###" jetzt nicht geht, obwohl das vorher immer einwandfrei funktioniert hat.
Dann soll der Anbeiter dies begründen. Und wenn der Anbieter NICHT in der Lage ist das Softwareprodukt so zu entwickeln, das es mit normalen Benutzerberechtigungen funktioniert, dann soll er gefälligst für den entstehenden Schaden haften.
Außerdem dürfte die Umgebung auch keine extrem sicherheitsanfällige Forschungseinrichtung sein, wo die pöhsen Chinahacker nur darauf warten, bis die drölfmillionen bereits überwachter möglichen Einfallspunkte mal auf sind.
Und was ist mit Kundendaten? Oder generell den Daten? Schon mal was von Datenschutz gehört? Es ist schon öfters bekannt geworden, daß durch Sicherheitsrisiken Daten kopiert wurden. Und dann ist das Geschrei groß.Die Realität sieht so aus: stell die Produktivität wieder her und kümmere dich dann darum, dass das auch sicher ist.
Gruss Penny
@DerWoWusste
Ich gebe dir recht, es ist nicht das Optimum Ordnerrechte anzupassen. Aber in einem Fall wo man ältere Software hat, die leider noch in seinem eigenen Ordner schreibt, wie möchte man das den Umgehen (ok, nur Berechtigung auf die Dateien die geschrieben werden müssen sind deutlich besser)? Dürfte ja deutlich besser sein, wie Adminrechte zu vergeben.
Ich rede natürlich von älterer Software. Bei neuer darf das unter keine Umständen sein!
Ich gebe dir recht, es ist nicht das Optimum Ordnerrechte anzupassen. Aber in einem Fall wo man ältere Software hat, die leider noch in seinem eigenen Ordner schreibt, wie möchte man das den Umgehen (ok, nur Berechtigung auf die Dateien die geschrieben werden müssen sind deutlich besser)? Dürfte ja deutlich besser sein, wie Adminrechte zu vergeben.
Ich rede natürlich von älterer Software. Bei neuer darf das unter keine Umständen sein!
@Penny.Cilin
Das ist ja klar, dass man das machen hätte müssen. Nur das Kind ist eben schon in den Brunnen gefallen. Da kann man jetzt lange drüber diskutieren, was man noch alles machen hätte können. das bringt nur nix, weil vorbei ist vorbei.
Und Tatsache ist es ja auch, dass vor allem in kleineren Betrieben die IT eben nur ein notwendiges Übel ist. Oftmals werden die IT-Menschen (die ja auch sehr oft nicht mal ausgebildete IT-Menschen sind) vor vollendeten Tatsachen gestellt. Oder aber die Probleme tauchen erst im Betrieb auf, weil man eben keine Planung machte.
Dass das alles vom Sicherheitsaspekt gesehen alles andere als ideal ist, ist ja klar. Datenschutz ist ja generell ein Problem. Auf dem Papier. Aus meiner Erfahrung kommts aber bei kleineren Betrieben nicht wirklich zu angemahnten Verstößen. Verstöße ja, aber da schert sich kein Betroffener drum.
Das ist ja klar, dass man das machen hätte müssen. Nur das Kind ist eben schon in den Brunnen gefallen. Da kann man jetzt lange drüber diskutieren, was man noch alles machen hätte können. das bringt nur nix, weil vorbei ist vorbei.
Und Tatsache ist es ja auch, dass vor allem in kleineren Betrieben die IT eben nur ein notwendiges Übel ist. Oftmals werden die IT-Menschen (die ja auch sehr oft nicht mal ausgebildete IT-Menschen sind) vor vollendeten Tatsachen gestellt. Oder aber die Probleme tauchen erst im Betrieb auf, weil man eben keine Planung machte.
Dass das alles vom Sicherheitsaspekt gesehen alles andere als ideal ist, ist ja klar. Datenschutz ist ja generell ein Problem. Auf dem Papier. Aus meiner Erfahrung kommts aber bei kleineren Betrieben nicht wirklich zu angemahnten Verstößen. Verstöße ja, aber da schert sich kein Betroffener drum.
Zitat von @xbast1x:
Es gibt von Microsoft ein Tool namens ApplicationCompatibilityToolkit. Damit kannst du simulieren, dass du das Programm z.B. als Admin ausführst (run as invoker heißt die Einstellung im Tool), hat mir schon bei einigen Programmen geholfen.
Es gibt von Microsoft ein Tool namens ApplicationCompatibilityToolkit. Damit kannst du simulieren, dass du das Programm z.B. als Admin ausführst (run as invoker heißt die Einstellung im Tool), hat mir schon bei einigen Programmen geholfen.
@xbast1x
Genau das macht auch mein obiges Batchscript, nur dass man nicht erst das ApplicationCompatibilityToolkit studieren muss
set __COMPAT_LAYER=RUNASINVOKER
C:\PATH\Program.exeDas mag ja alles richtig sein, nur nützt es einen nicht wirklich viel, wenn...
Jeder von uns hat schon mal ein Stück Sicherheit ad acta gelegt, damit etwas funktioniert, jeder kennt das - nicht schön, aber notwendig.Mein Einwand hatte andere Gründe: Ich finde es schwach, wenn Admins Workarounds präsentieren, aber nicht auf die Gefahren hinweisen. Dass sie so eine Software verwenden müssen, mag Gründe haben, da will ich mich nicht einmischen, aber es wurde ja nicht einmal in Frage gestellt, warum das so ist, der ganze Sicherheitsaspekt wurde bei den Antworten ausgeklammert.
Und wenn dann vermeintlich richtige Aussagen wie
WICHTIG: ES GEHT NUR MIT DEM BENUTZER Administrator nicht mit einem anderem Benutzer der Gruppe "Administratoren"
oderDamit kannst du simulieren, dass du das Programm z.B. als Admin ausführst (run as invoker heißt die Einstellung im Tool)
gemacht werden, dann schreib ich was dazu.runasinvoker zwingt das Programm dazu, mit Userrechten zu starten - das heißt nicht, dass es dann läuft, aber der Versuch ist in der Tat sehr sinnvoll. Es "simuliert" jedoch keine Adminrechte.
Und savecred ist brandgefährlich, siehe mein erster Link - gerade mit dem eingebauten Adminkonto auf gar keinen Fall verwenden. Wenn sowas schon sein muss, dann nimmt man psexec -i unter Angabe des Nutzerkontos.
Was hältst du von Lösungen wie z. B. Turbo.net Studio oder Microsoft App-V?
Kostet zwar eine Stange Geld, ist aber zumindest aus Technischer siecht besser oder?
Kostet zwar eine Stange Geld, ist aber zumindest aus Technischer siecht besser oder?
@agowa338
Ich kenne turbo studio nicht, aber die Website verspricht, unter anderem dieses Problem lösen zu können. App-V ist meines Wissens nicht dazu geeignet, aber da mag ich mich irren.
Jedoch würde ich immer dafür stimmen, von Herstellern einzufordern, dass das ohne administrative Rechte gehen muss. Keine wirkliche Usersoftware braucht administrative Rechte, wenn sie richtig geschrieben ist.
Ich kenne turbo studio nicht, aber die Website verspricht, unter anderem dieses Problem lösen zu können. App-V ist meines Wissens nicht dazu geeignet, aber da mag ich mich irren.
Jedoch würde ich immer dafür stimmen, von Herstellern einzufordern, dass das ohne administrative Rechte gehen muss. Keine wirkliche Usersoftware braucht administrative Rechte, wenn sie richtig geschrieben ist.
Würde es in so einem Fall nicht eher Sinn machen, die Anwendung zu virtualisieren?
http://www.pcwelt.de/ratgeber/Anwendungen-virtualisieren-8919639.html
Man stelle sich nur mal den extrem unwarscheinlichen Fall vor, dass die Software eine Sicherheitslücke hat. Wer nicht einmal einen Teilekatalog zu zusammengeklimpert bekommt, dass er nach erfolgter Installation ohne Admin-Rechte läuft, der versagt u.U. noch an ganz anderer Stelle...
Just my 2C.
http://www.pcwelt.de/ratgeber/Anwendungen-virtualisieren-8919639.html
Man stelle sich nur mal den extrem unwarscheinlichen Fall vor, dass die Software eine Sicherheitslücke hat. Wer nicht einmal einen Teilekatalog zu zusammengeklimpert bekommt, dass er nach erfolgter Installation ohne Admin-Rechte läuft, der versagt u.U. noch an ganz anderer Stelle...
Just my 2C.
