Jump to content

UAC in der Domain


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich hab ein Problem mit der UAC Steuerung in der Domain.

Folgendes:

Wir haben ein Programm das eine RDP Session zu den Terminal Servern herstellt (nennt sich 2X). Als lokaler Admin fragt er halt ob er Änderungen am Computer vornehmen darf, also die Typische UAC abfrage halt. Ich hab dann den Trick gefunden das ganze als schedule task mit den höchsten Privilegien aus zu führen. Klappt auch ganz gut soweit. So jetzt melde ich mich mit dem Selben Rechner an der Domain an (Windows Server 2003 R2) und aus der einfachen UAC abfrage wird eine Komplexere abfrage, sprich ich muss Username und Passwort eingeben. Der schedule trick funtz auch nicht. Ich bin während ich in der Domain bin auch lokaler Hauptbenutzer.

 

Weitere Dinge die ich Probiert hab als lokaler Admin:

Ich hab versucht das Zertifikat der Herausgebers zu installieren -> Keine Änderung

Ich hab versucht das ganze über die Kompatibilität mit Admin rechten ausführen zu lassen -> Keine Änderung

 

Jemand noch ne Idee wie ich Windows beibringen kann das die Software ok ist, ich dem Hersteller vertraue und das Programm auch Änderungen am System vornehmen darf. Natürlich ohne die UAC zu deaktivieren und das die Benutzer auch Benutzer bleiben und keine Admins.

 

Gruß

Romeo

Link zu diesem Kommentar

Wir haben ein Programm das eine RDP Session zu den Terminal Servern herstellt (nennt sich 2X). Als lokaler Admin fragt er halt ob er Änderungen am Computer vornehmen darf, also die Typische UAC abfrage halt. Ich hab dann den Trick gefunden das ganze als schedule task mit den höchsten Privilegien aus zu führen. Klappt auch ganz gut soweit. So jetzt melde ich mich mit dem Selben Rechner an der Domain an (Windows Server 2003 R2) und aus der einfachen UAC abfrage wird eine Komplexere abfrage, sprich ich muss Username und Passwort eingeben. Der schedule trick funtz auch nicht.

 

Du kannst mit Hilfe einer GPO steuern wie die Abfrage bei UAC erfolgen soll.

 

Alternativ den Hersteller des Programmes an eine W7 taugliche Version erinnern. Das Programm ist vermutlich nur für W9x gemacht worden.

 

Ich bin während ich in der Domain bin auch lokaler Hauptbenutzer.

 

Dann bist Du eh schon fast Admin. Wie werde ich lokaler Administrator? Wie mache ich mich als Benutzer zum Administrator? faq-o-matic.net Wie Hauptbenutzer zu Admins werden

 

Jemand noch ne Idee wie ich Windows beibringen kann das die Software ok ist, ich dem Hersteller vertraue und das Programm auch Änderungen am System vornehmen darf. Natürlich ohne die UAC zu deaktivieren und das die Benutzer auch Benutzer bleiben und keine Admins.

 

Du mußt dem Benutzer die benötigte NTFS-Berechtigungen im Filesystem vergeben. Kann so aussehen: Setzten von Berechtigungen für Programme, die als Benutzer nicht ausgeführt werden können, aber als Administrator einwandfrei laufen

Eingeschränkte Gruppen

Link zu diesem Kommentar

Ich will ja die UAC nicht abschalten! Das das auch über eine GPO geht ist mir bewusst!

Die Anwendung ist definitiv W7 tauglich! Ich hab auch die neuste Version, laut Hersteller ist das mit der UAC abfrage nun mal so.

Lokal bin ich Admin, nur eben in der Domain lokal Hauptbenutzer im AD selber bin ich nur Remotedesktopbenutzer und Domainbenutzer komm also an die GPOs nicht ran bzw. kann nichts ändern. Außerdem gibt es auch Zweigstellen die nicht in der Domain sind und da hab ich als Benutzer das selbe Problem. Ich bin sozusagen dabei ein Windows 7 Image zu erschaffen das allgemein tauglich ist und auch Benutzern die sagen wir weniger Technisch begabt sind erlaubt eben dieses Programm auszuführen da sie hier ihr Outlook haben und auch alle anderen Anwendungen und wenn diese jedes mal beim Aufrufen ihr Benutzername und Passwort eingeben müssen ist das zuviel. Auf dem Laptop von meinem Chef scheint das Programm ohne UAC Abfrage klar zu kommen und er sei nur Benutzer und er hat die selben UAC Einstellungen und auch die selbe Version (Pro x86).

Link zu diesem Kommentar
Ich will ja die UAC nicht abschalten! Das das auch über eine GPO geht ist mir bewusst!

Die Anwendung ist definitiv W7 tauglich! Ich hab auch die neuste Version, laut Hersteller ist das mit der UAC abfrage nun mal so.

 

Dann ist Anwendung nicht für W7 gemacht. Hast Du denn mal mit dem ProcessMonitor nachgesehen, wo erhöhte NTFS-Berechtigungen benötigt werden? Bestimmt nicht, denn ansonsten hättest Du ja schon ein Lösung und könntest dem Hersteller der uns unbekannten Anwendung das Gegenteil zu seiner Aussage beweisen.

 

Lokal bin ich Admin, nur eben in der Domain lokal Hauptbenutzer im AD selber bin ich nur Remotedesktopbenutzer und Domainbenutzer komm also an die GPOs nicht ran bzw. kann nichts ändern.

 

Und du bist dir sicher, hier nie etwas Durcheinander zu bringen? Lt. dem obigen Satz bist Du lokaler Admin, lokaler Hauptbenutzer und nur lokaler Benutzer, denn die Domainbenutzer sind lokal nur Benutzer.

 

Ich bin sozusagen dabei ein Windows 7 Image zu erschaffen das allgemein tauglich ist und auch Benutzern die sagen wir weniger Technisch begabt sind erlaubt eben dieses Programm auszuführen da sie hier ihr Outlook haben und auch alle anderen Anwendungen.

 

Dann nützt es aber nichts, wenn Du dich als lokaler Admin, als lokaler Hauptbenutzer anmeldest. Nur mit einem ordentlichen Domänenbenutzerkonto sollst Du dich anmelden um vernünftig testen zu können.

 

Auf dem Laptop von meinem Chef scheint das Programm ohne UAC Abfrage klar zu kommen und er sei nur Benutzer und er hat die selben UAC Einstellungen und auch die selbe Version (Pro x86).

 

Hast Du das überprüft ob er nur Benutzer ist? Glaube nie einem Chef, überprüfe solche Aussage immer selbst.

Link zu diesem Kommentar
Dann ist Anwendung nicht für W7 gemacht. Hast Du denn mal mit dem ProcessMonitor nachgesehen, wo erhöhte NTFS-Berechtigungen benötigt werden? Bestimmt nicht, denn ansonsten hättest Du ja schon ein Lösung und könntest dem Hersteller der uns unbekannten Anwendung das Gegenteil zu seiner Aussage beweisen.

 

Der Hersteller

Wirbt jedenfalls mit Kompatibilität zu Windows Server 2008 R2 und Windows 7.

Ich hab NTFS Vollzugriff auf das Programm.

 

 

Und du bist dir sicher, hier nie etwas Durcheinander zu bringen? Lt. dem obigen Satz bist Du lokaler Admin, lokaler Hauptbenutzer und nur lokaler Benutzer, denn die Domainbenutzer sind lokal nur Benutzer.

 

Ist bissele doof erklärt:

PC-Lokal - Benutzer Ich = Admin

PC-Lokal - Benutzer Zwei = Benutzer

Domain\PC-Lokal - Benutzer Ich \ PC-Lokal = Hauptbenutzer

Domain\PC-Lokal - Benutzer Ich \ Domain = Benutzer

 

 

Dann nützt es aber nichts, wenn Du dich als lokaler Admin, als lokaler Hauptbenutzer anmeldest. Nur mit einem ordentlichen Domänenbenutzerkonto sollst Du dich anmelden um vernünftig testen zu können.

 

Auch das ist Kompliziert. Das Unternehmen besteht aus einer Hauptgeschäftsstelle und mehreren kleinen Zweigstellen. Lediglich die Benutzer der Hauptgeschäftsstelle melden sich an der Domain an. Alle anderen melden sich lokal an und über besagte Application Server Software eben an der Domain.

 

 

Hast Du das überprüft ob er nur Benutzer ist? Glaube nie einem Chef, überprüfe solche Aussage immer selbst.

 

Stimmt auch wieder! :) Aber ich vertrau meinem Chef da schon, werd aber noch mal genau Nachhacken.

Link zu diesem Kommentar
Der Hersteller

Wirbt jedenfalls mit Kompatibilität zu Windows Server 2008 R2 und Windows 7.

 

Ein Zigarettenkonzern wirbt auch nicht für Lungenkrebs. :(

 

Ich hab NTFS Vollzugriff auf das Programm.

 

Schön, Du hast mein Anliegen trotzdem noch nicht verstanden. Lies einfach meine Antworten erneut durch, dann wirst Du sehen was ich meine.

 

Auch das ist Kompliziert. Das Unternehmen besteht aus einer Hauptgeschäftsstelle und mehreren kleinen Zweigstellen. Lediglich die Benutzer der Hauptgeschäftsstelle melden sich an der Domain an. Alle anderen melden sich lokal an und über besagte Application Server Software eben an der Domain.

 

Und welche Berechtigungen haben die Benutzer wenn sie sich Lokal anmelden? Weshalb werden nicht alle Clients in die Domain gehoben?

 

Stimmt auch wieder! :) Aber ich vertrau meinem Chef da schon, werd aber noch mal genau Nachhacken.

 

Du brauchst ihm nichts in die Hacken zu werfen, nachhaken bzw. manuell überprüfen würde schon ausreichen. ;)

Link zu diesem Kommentar

*kopf-tisch-kopf-tisch*

 

Der Fehler war ein Haken und ich mein jetzt nicht den Rechtschreibfehler. ;)

In den Eigenschaften der exe den Haken bei "Programm als Administrator ausführen" raus machen und schon gehts.

 

 

Und die Benutzer sind lokal auch nur Benutzer. Das ganze mit dem Application Server hat wohl damit zu tun das die Mitarbeiter oft den Arbeitsplatz wechseln und Anwendungen haben die andere nicht sehen dürfen. Ich weis lässt sich alles auch über GPOs regeln, aber mein Chef hat sich das damals so ausgedacht als eine art Form von Virtuell Desktop. Die Außenstellen, teilweise nur 1 Rechner, melden sich eben lokal als Benutzer an und stellen über die Anwendung eine Verbindung, die IPSec verschlüsselt ist, zu einem von zwei Load Balance Terminal Server her.

Momentan läuft das alles noch mit XP und Server 2003 R2. Eine Migration zu Windows Server 2008 R2 und Windows 7 ist in Planung.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...