Jump to content

Windows 2012R2 Programm mit mehr Rechten unter eigenem Nutzerkontext starten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo, gibt es eine Möglichkeit ein Programm mit Adminrechten im eigenen Nutzerkontext auszuführen?

Mit der Möglichkeit als Administrator ausführen wird das Programm leider auch im Administrator Kontext ausgeführt und lässt sich nur einmal starten.

Jeden Benutzer deshalb zum Administrator zu machen finde ich keine gute Lösung.

 

Unter Windows XP ging das wohl mit einem Script von Heise -> MachMichAdmin.

Laut Beschreibung funktioniert aber nicht mehr.

 

Gut wäre es wenn das gezielt für bestimmte Programme Funktionieren würde.

Mit procmon habe ich schon versucht das Problem zu lösen, dort finde ich leider keine Hinweise darauf warum es nicht geht.

Link zu diesem Kommentar

Was meint denn der Hersteller des uns unbekannten Programmes zu dem Problem? Vielleicht reicht es ja aus, den Benutzern an bestimmten Stellen die Rechte zu erhöhen? Der ProcessMonitor ist schon das richtige Werkzeug, Du musst ihn allerdings auch richtig einsetzen können.

 

Als Admin den Procmon starten, als Benutzer das Programm starten und jetzt im Procmon nach der Programm.EXE filtern. Findest Du dort Access Denied oder ACC DENIED? Diese Arbeit können wir dir nicht abnehmen.

Link zu diesem Kommentar

Moin

 

Und wo ist das Programm installiert, wo soll es ausgeführt werden, unter welchem Betriebssystem? In der Überschrift wird erwähnt 2012R2, im Text wird erwähnt XP.

 

Um welches Programm handelt es sich? Um eine uralte WaWi?

 

Für welche Installation war das Programm ursprünglich gedacht? Für einen Einzelrechner?

 

Was sagt der Hersteller?

 

Edit: Man schaue sich die Berchtigungen des Pfades an, in dem das Programm installiert ist, auch die des Datenpfades.

bearbeitet von lefg
Link zu diesem Kommentar

Moin,

 

ergänzend zu Sunny solltest du im Blick behalten, dass auch die c't-Lösung "MachMichAdmin" (die nebenbei bemerkt immer noch funktionieren sollte) faktisch den User zum Administrator macht. Es startet ein CMD-Fenster, in dem der User Adminrechte hat. Von da aus kann er tun, was er will.

 

Eigentlich ist das Skript ein Vorläufer der UAC, wobei UAC dann in den meisten Situationen noch die bessere Wahl wäre.

 

Also: Nicht den User zum Admin machen, sondern das Programm als User lauffähig machen. Gelingt fast immer.

 

Gruß, Nils

Link zu diesem Kommentar

@lefg

XP hatte ich genannt weil dort MachMichAdmin noch lief. Im Script von MachMichAdmin wird die Windows Version abgefragt. Mit Windows 2012R2 läuft es deshalb nicht.

Ob das begründet ist kann ich natürlich nicht sagen.

 

@all

Der Hersteller sagt dass das Programm keine Admin Rechte benötigt.

 

Das Icon hat wenn ich als Benutzer angemeldet bin ein kleines Blau Gelbes Schild. Das bedeutet doch das es Admin Rechte benötigt.

Wenn ich auf die EXE auf die Eigenschaften / Kompatibilität gehe ist Als Administrator ausführen nicht angehakt.

 

Wieso werden dann Administrator Rechte angefordert?

Link zu diesem Kommentar

@all

Der Hersteller sagt dass das Programm keine Admin Rechte benötigt.

Was passiert wenn Du es einfach so startest? Fängt der Kühlschrank an zu Tango zu tanzen?

 

 

Das Icon hat wenn ich als Benutzer angemeldet bin ein kleines Blau Gelbes Schild. Das bedeutet doch das es Admin Rechte benötigt.

Wenn ich auf die EXE auf die Eigenschaften / Kompatibilität gehe ist Als Administrator ausführen nicht angehakt.

 

Wieso werden dann Administrator Rechte angefordert?

Woher sollen wir wissen, welches uns unbekannte Programm bei dir Adminrechte anfordert? Lass es doch den Hersteller erklären, der soll über TemaViewer drauf schauen und dich unterstützen.

Link zu diesem Kommentar

Moin,

 

melde dich als normaler User an und starte das Programm. Kommt ein UAC-Aufruf? Dann ist Windows der Meinung, dass das Programm Adminrechte braucht. Kommt keiner, und das Programm läuft? Dann braucht es keine.

 

Das UAC-Icon blendet Windows manchmal bei Altsoftware ein. Das heißt aber nicht unbedingt, dass das Programm Adminrechte braucht. Also lieber testen statt nur zu vermuten.

 

Gruß, Nils

Link zu diesem Kommentar

@lefg

 

Es handelt sich um ein Windows2012R2 der als DC und Terminalserver läuft.

Ist eine sehr kleine Firma mit wenigen Mitarbeitern.

 

Alle (3) Melden sich per RDP an.

Wenn der erste das Programm als Administrator gestartet hat lässt es sich kein 2. Mal starten weil es sich pro Nutzer nur einmal starten lässt.

 

Ich frage ich, woher weiss Windows dass das Programm Admin Rechte benötigt wenn es in den Eigenschaften ausgewählt ist.

Zu der Exe Datei gibt es auch keine Zusatzdatei die das auslösen kann.


Ok ich denke ich habe den Grund gefunden.

Benutzer die sich per RDP anmelden haben eine Aktive Benutzerkontensteuerung obwohl diese als Administrator ausgeschaltet ist.

Also vermute ich mal das dafür eine Richtlinie gemacht werden muss?


Es könnte sein das ich den Fehler gefunden habe.

Der Hersteller sagt das die Benutzerkontensteuerung ausgeschaltet werden muss.

Das dachte ich auch das ich das gemacht habe, bzw. habe ich auch.

Aber ab Win 8 bzw. 2012 musst das über die Polsec.msc ausgeschaltet werden.

Ich habe es gemacht und muss den Server heute Abend neustarten dann werde ich sehen ob es die Lösung ist.

Link zu diesem Kommentar

So ein Murks, wenn ein Programm als Benutzer läuft, ist es egal ob UAC eingeschaltet ist oder nicht. Wenn Du UAC abgeschaltet hast, gefährdest Du dein System, die Firma und die Zukunft der Mitarbeiter. Einen TS/RDS auf einem DC laufen zu lassen, ist ebenfalls ein Sicherheitsproblem und dann noch mit abgeschalteter UAC.

 

Der Hersteller soll lieber eine W2012R2-konforme Lösung bringen, anstatt Sicherheitssysteme auszuhebeln. Das ist im Grunde genauso, als würde dir der Hersteller von deinen neuen Sommerreifen auf dem Auto vorschreiben, Du mußt das ABS abschalten.

Link zu diesem Kommentar

Moin,

 

Sven, du vergreifst dich im Ton.

 

Der Hinweis von Sunny ist insgesamt richtig. Allerdings ist das Abschalten von UAC nur dann eine Gefährdung, wenn Anwender über Adminrechte verfügen, denn in dem Fall werden sie eben nicht mehr geschützt. Sind die Anwender normale User, dann macht das Abschalten der UAC keinen Unterschied. Der Hinweis des Herstellers deutet also eher darauf hin, dass er selbst das Konzept nicht versteht.

 

Hast du denn nun mal geprüft, ob sich das Programm ohne Adminrechte ausführen lässt? Wenn du das nicht prüfst, können wir uns die Diskussion hier sparen.

 

Gruß, Nils

Link zu diesem Kommentar

@lefg

 

Es handelt sich um ein Windows2012R2 der als DC und Terminalserver läuft.

Ist eine sehr kleine Firma mit wenigen Mitarbeitern.

 

Alle (3) Melden sich per RDP an.

Wenn der erste das Programm als Administrator gestartet hat lässt es sich kein 2. Mal starten weil es sich pro Nutzer nur einmal starten lässt.

Hier würde ich mal testen, in welchem Modus das Programm installiert wurde. Wurde es im Execute Modus des TS installiert kommt dieses Verhalten gerne mal hoch. Also als Admin den TS in den Installationsmodus versetzen, installieren, TS in den Ausführungsmodus versetzen und testen.

 

Gruß

Link zu diesem Kommentar

Also ohne UAC gehts und alles läuft.

Wurde ja auch vom Hersteller so bestätigt.

 

@NilsK

Im Ton vergreifen? Naja mag sein, aber solch Klugscheißer Sprüche und wenn Sie 100 Mal richtig sind, bringen mich und sicher auch andere hier nicht weiter.

Ich hatte Sunny61 ja Recht gegeben. Ich bin ja auch der Meinung das die Softwareentwickler ihre Hausaufgaben machen sollen.

Nur die Realität sieht nun einmal anders aus.

Ich hatte dem Support auch gesagt das es ja wohl auch anders gehen muss.

Die Antwort war, wir arbeiten dran. Er hätte auch LMAA sagen können.

Das Problem hat übrigens auch eine andere Software die dort installiert ist. Nun startet alles ohne Passwortabfrage.

 

Der Hinweis auf die UAC und das sich Windows 2012R2 als ältere Server Versionen wäre für mich Hilfreich gewesen.

Vielleicht liest das ja einmal jemand der auch davor steht.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...