Benutzer als lokale Admins, DB-Software läuft sonst nicht

[blub 115]

Ich hab schon öfters mit Software zu tun gehabt, die Adminrechte vorausgesetzt hat. Zu 99,9% hat bisher ausgereicht, auf ein Verzeichnis oder auf eine Datei Schreibrechte zu setzen. Bin ich deshalb ein Bastler?

 

Und wenn er die SW länger testen muss, ist es immer noch besser an ein paar Stellen die Rechte 'anzupassen' als die unbedarften User mit Adminrechten auszustatten.

und was macht der Bäcker nach 3 Monaten, wenn plötzlich mitten im Betrieb irgendwas nicht mehr läuft (autom. Updates, Quartalsabrechnung, etc), weil es doch noch eine seltener benutzte 2.-te Datei oder Verzeichnis gibt, der die Rechte fehlen.

"Hilfe: Ich brauch wieder meinen Bastler!" :-)

[Mr_Marple 15]

Sorry dass ich jetzt erst antworte.

 

Es ist schon mal tröstlich, dass ich mit meinem Ärger nicht alleine bin. ;)

 

Es wird vermutlich mehr als nur diese Bäckereisoftware geben, oder?
 

 

Das schon, nur sind auch alle Kassensysteme damit ausgestattet und eine Umstellung des kompletten Systems werde ich dem Bäcker nicht einreden können.

Ich weiß schon, dann wäre er auch selber schuld wenn was passiert, aber man will ja trotzdem seine Schäfchen behüten, auch wenn sie zickig und unbelehrbar sind. :rolleyes:

 

 

Der Hersteller soll darlegen, welche Privileges sein Account warum braucht. Dann gib ihm einen User mit nur diesen Privileges in der LGPO.

Auch NTFS-Rechte können explizit gesetzt werden.

 

Frag den Hersteller, ob  ein "Power User" auch genügen würde :-)

 

blub

 

Auf Anfragen dieser Art wird im Regelfall nur mit Standardantworten Auskunft gegeben.

Und die lauten einfach nur, dass eben Adminrechte nötig sind und mit UAC nichts passieren kann.... :(

 

 

Die Bastelei mit Processmonitor hatte ich auch schon mal probiert, aber ich habe damals nichts zusammenbekommen. Ich weiß aber nicht mehr, welche Komponenten ich alle überprüft habe.

Das war auch meine private Zeit, die mir der Bäcker auch nicht bezahlt hätte und der Hersteller schon gar nicht, obwohl das seine Aufgabe wäre.

 

So wie ich das sehe, kann ich da anscheinend nicht viel Ausrichten, wenn der Hersteller stur bleibt.

 

Schade irgendwie.

Für jedes reelle Produkt das man kaufen kann, gibt es mittlwerweile fast längere Sicherheitshinweise als Bedienungsanleitungen.

Es gibt TÜV, Gesetze und sonstige Normen und Vorschriften.

 

Aber bei Software ist das egal, die darf auch gerne so sicher wie ein Häcksler ohne Gehäuse sein, da haben die Hersteller freien Lauf. :mad:

 

Danke jedenfalls.

 

LG

[zahni 566]

Nach meiner Erfahrung gibt es  nur eine Hürde, die man mit "basteln" nicht nehmen kann: Wenn eine Anwendung versucht dynamisch einen  Kerneltreiber  zu laden.

[Cybquest 36]

Ggf. könnte statt Adminrechten für den User auch sowas wie "Privilege Authority" als Krücke helfen?

http://privilegeforum.scriptlogic.com/Forum/aff/1/aft/228/afv/topic.aspx

[Sunny61 816]

Die Bastelei mit Processmonitor hatte ich auch schon mal probiert, aber ich habe damals nichts zusammenbekommen. Ich weiß aber nicht mehr, welche Komponenten ich alle überprüft habe.

Das war auch meine private Zeit, die mir der Bäcker auch nicht bezahlt hätte und der Hersteller schon gar nicht, obwohl das seine Aufgabe wäre.

Weißt Du denn wo und wann genau die SW aussteigt, wenn keine Adminrechte vorhanden sind? Ich hatte das schon bei mehreren Anwendungen erfolgreich zum Laufen gebracht. ProcessMonitor als Admin starten, Software als Benutzer starten. Im Process Monitor auf die EXE filtern, da solltest Du schon die ersten Fehler bekommen. Ja, das kann in Arbeit ausarten, aber IMHO besser eine Stunde arbeiten als alle Benutzer mit Adminrechten laufen lassen.

 

Schade irgendwie.

Für jedes reelle Produkt das man kaufen kann, gibt es mittlwerweile fast längere Sicherheitshinweise als Bedienungsanleitungen.

Es gibt TÜV, Gesetze und sonstige Normen und Vorschriften.

 

Aber bei Software ist das egal, die darf auch gerne so sicher wie ein Häcksler ohne Gehäuse sein, da haben die Hersteller freien Lauf. :mad:

Man müsste es einfach mal drauf ankommen lassen, denn im Falle des Falles müsste ich den Hersteller in Regress nehmen können, wenn sich ein Benutzer/Firma wegen diesem 'Sicherheitsmangel' einen Virus (Locky) einfängt und deshalb ein paar Tage nicht mehr Arbeiten kann.

[testperson 1.758]

Man müsste es einfach mal drauf ankommen lassen, denn im Falle des Falles müsste ich den Hersteller in Regress nehmen können, wenn sich ein Benutzer/Firma wegen diesem 'Sicherheitsmangel' einen Virus (Locky) einfängt und deshalb ein paar Tage nicht mehr Arbeiten kann.

Nicht nur in diesem Fall könnte es wie gesagt vielleicht helfen, wenn man seine "Wünsche" einmal der GF des Bäckers vorforumilert, sodass die dann ein Schreiben aufsetzen könnten, indem schriftlich um Bestätigung dieser Umstände gebeten werden könnte. Notfalls setzt sich noch ein Rechtsanwalt mit der Bäcker GF an den Tisch und greift beim formulieren unter die Arme. Du hast ja scheinbar schon alles andere versucht.

[Sunny61 816]

Nicht nur in diesem Fall könnte es wie gesagt vielleicht helfen, wenn man seine "Wünsche" einmal der GF des Bäckers vorforumilert, sodass die dann ein Schreiben aufsetzen könnten, indem schriftlich um Bestätigung dieser Umstände gebeten werden könnte. Notfalls setzt sich noch ein Rechtsanwalt mit der Bäcker GF an den Tisch und greift beim formulieren unter die Arme. Du hast ja scheinbar schon alles andere versucht.

Ich kann mir allerdings die Reaktion des SW-Herstellers vorstellen: Bisher lief es bei allen, bisher gab es noch keine Probleme, weshalb dann ändern? So einen Hersteller kriegt man nicht umgedreht, man kann ihn nur durch Kündigung strafen.

[Nobbyaushb 1.506]

Ich bin für einen Flashmob vor der Firmenzentrale... :D

bearbeitet 18. April 2016 von Nobbyaushb

[zahni 566]

Ich fordere Adminrechte  für das Bürogebäude ;)

[testperson 1.758]

Daher soll sich das Software Haus ja schriftlich äußern. Wird das verweigert, dürfte auch der Bäckerei klar werden, dass da was nicht stimmt. Und wenns ja unbedenklich ist, wird das SW Haus ja alles absegnen.

 

Besser keinen Flash Mob, nachher gibts die nächste "Staatsaffäre" :D

[lefg 276]

Bei XP solch einen Fall gelöst:

 

- eine Lösung war, den Benutzer in die Sicherheitsgrupe der Hauptbenutzer aufzumehmen

- die andere war, dem Benutzer Schreibrecht zu geben auf eine Datei der Software.

 

Begonnen wurde mit Rechten auf das ganze Verzeichnis, dann fein granuliert, bis die Datei gefunden. Ich gestehe es, ich konnte nicht mit dem Prozessmonitor umgehen.

 

Es handelte sich um ein Lexware financial office pro. Die Software war installiert für Einzelrechner, die Datenhaltung(DB) auf dem Rechner, der Rechner war aber Member einer Domäne. Im Normalfall wäre die Datenhaltung aber auf einem Server geschehen.

bearbeitet 18. April 2016 von lefg

[zahni 566]

Bei XP solch einen Fall gelöst:

 

- eine Lösung war, den Benutzer in die Sicherheitsgrupe der Hauptbenutzer aufzumehmen

 

 Schlechte Idee.  Power User haben Admin-Rechte, wissen das nur nicht.

Daher hat der Power User seit Vista die gleichen Rechte wie der Standard-User. Er wurde quasi abgeschafft.

[testperson 1.758]

Daher hat der Power User seit Vista die gleichen Rechte wie der Standard-User. Er wurde quasi abgeschafft.

Man kann das alte Verhalten aber auch in neuen Windows Versionen wieder aktivieren ;) Wobei MS doch früher™ die Aussage getroffen hat "Do not use Power Users". Oder irre ich mich grade.

[zahni 566]

Hier steht was dazu:

 

https://technet.microsoft.com/en-us/library/cc771990.aspx

 

Man wenn man das alte Verhalten wirklich wieder aktiviert, muss man wissen was man tut. Das macht man nicht aus versehen.

[lefg 276]

 Schlechte Idee.  Power User haben Admin-Rechte, wissen das nur nicht.

Daher hat der Power User seit Vista die gleichen Rechte wie der Standard-User. Er wurde quasi abgeschafft.

 

Jan, es ist keine Idee, isi nicht als Anregung zum Machen gedacht, es ist lediglich Teil einer Schilderung.

bearbeitet 18. April 2016 von lefg