torstenv 10 Geschrieben 13. Dezember 2008 Melden Teilen Geschrieben 13. Dezember 2008 Hi! Ich habe ein kleines Tool geschrieben, das wie "runas" Software unter einem bestimmten (admin) Benutzer startet. So ähnlich wie "runasspc", das hier vielleicht bekannt ist. Ich verwende das zur Softwareverteilung, indem ich im Ad ein GPO Computerkonfiguration/Administrative Vorlagen/System/Diese Programme bei der Benutzeranmeldung ausführen anlege, was bisher (Win2k, XP) korrekt dazu geführt hat, dass, immer wenn ein Benutzer sich eingeloggt hat, mein Tool startet und mit Admin-Rechten prüft, ob die Software, die der Computer haben soll, auch installiert ist und falls nötig ein unattended setup nachzieht. Dabei habe ich die GPO außerdem per Sicherheitsfilterung an die Mitgliedschaft einer bestimmten Gruppe gebunden, was dazu führt, dass ich einen Rechner in die Gruppe aufnehmen kann, dadurch wird die GPO angewendet und die Software installiert. So eine Art Software-Verteilung für Arme. Dies funktioniert nun unter Vista nicht mehr. Beim Aufruf des runas-ähnlichen Tools zur Privilegieneskalation bekomme ich die Meldung "Der Vorgang erfordert erhöhte Rechte". Nun vermute ich, dass ich dies der UAC verdanke. Bleibt die Frage, wie ich das wieder zum Laufen bekommen kann, und zwar, ohne dass ich jeden Rechner von Hand anfassen muss, sondern über eine Gruppenrichtlinie oder (temporäre) Änderung eines Registry-Keys. Mein Versuch unter "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin " auf 0 zu stellen hat auch nichts gebracht. Über Hilfe würde ich mich echt freuen! Gruß, T. ----------------- Nur als Anmerkung, um Hinweise wie "mach das doch ganz anders, indem du ..." oder so zu vermeiden: Beim Ausrollen mancher Software-Pakete wird zwingend sofort ein Reboot benötigt. Da ich dem Benutzer den Rechner nicht während der Arbeit an seinen Dokumenten wegreißen kann, muss der automatisch durch die Installation angestoßene Reboot zu einem Zeitpunkt erfolgen, bei dem der Benutzer noch nichts Wichtiges gemacht haben kann. Daher habe ich "Diese Programme bei der Benutzeranmeldung ausführen" gewählt, denn das ist immer zu einem Zeitpunkt, bei dem der Benutzer den Reboot problemlos verkraften kann. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. Dezember 2008 Melden Teilen Geschrieben 13. Dezember 2008 Da vermutest Du richtig, es hängt mit der UAC zusammen ... Wahrscheinlich erfolgt nach dem Aufruf Deines Tools kein "Elevation Prompt" (beim Microsoft RUNAS im Übrigen auch nicht), so dass keine Privileganhebung erfolgt. Die UAC kann man via GPO an- bzw. ausschalten, ebenso kann man ihr Verhalten beeinflussen und diese Einstellungen findest Du in den Sicherheitsoptionen des GPOs. Erstelle die Richtlinie von einer Vista-Maschine aus ... Zitieren Link zu diesem Kommentar
torstenv 10 Geschrieben 13. Dezember 2008 Autor Melden Teilen Geschrieben 13. Dezember 2008 Ich probiere noch mal rum und melde mich hier noch mal. Zitieren Link zu diesem Kommentar
torstenv 10 Geschrieben 13. Dezember 2008 Autor Melden Teilen Geschrieben 13. Dezember 2008 Alles toll! Klappt jetzt! Da ist der Papa aber froh! ;-) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. Dezember 2008 Melden Teilen Geschrieben 13. Dezember 2008 UAC abgeschaltet ? Zitieren Link zu diesem Kommentar
torstenv 10 Geschrieben 14. Dezember 2008 Autor Melden Teilen Geschrieben 14. Dezember 2008 UAC abgeschaltet ? Ich habe mal alles Mögliche abgeschaltet (siehe Screenshot in meinem Posting von oben), vermutlich mehr als ich gemusst hätte, was aber an sich kein Risiko darstellt, da die GPO nicht permanent gilt, sondern nur kurzzeitig während der Prüfung / Installation der Software. Ist das erfolgreich durchgelaufen, wird der Rechner wieder aus der Gruppe rausgenommen und damit gilt die GPO nicht mehr und alles ist wie vorher. Gruß, T. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.