Einzelnen Programme Lokale Admin Rechte vergeben

Seite 1 von 1 - Forum: Windows auf overclockers.at

URL: https://www.overclockers.at/windows/einzelnen-programme-lokale-admin-rechte-vergeben_255352/page_1 - zur Vollversion wechseln!

quake schrieb am 09.03.2020 um 11:25

Hallo,
ich brauche kurz eure Hilfe, wir haben bei uns ein Schüler Netzwerk wo sich die Schüler in unser Lokales Netzwerk anmelden können. Natürlich haben diese Nutzer eingeschränkte rechte. So jetzt habe ich aber das Problem, dass zb. einzelne Programme Admin Rechte zum starten benötigen.
Gibt es da eine Möglichkeit dass ich einzelne Programme Admin Rechte zuweise (zumindest lokale admin rechte).
Ich danke schonmal.
Betriebssystem haben wir win10

chap schrieb am 09.03.2020 um 11:34

admin rechte zum starten weil er auf systemdateien zugreifen muss? oder warum ist admin notwendig?
Teilweise umgehe ich das, wenn der "User" auf den kompletten Programmpfad zugreifen/schreiben darf - geht jedoch nicht immer.

enforcer schrieb am 09.03.2020 um 12:46

du kannst mit procmon (sysinternals) schauen, was genau das programm braucht. meist sind es nur folder- oder registry rechte und diese dann granular vergeben.

https://docs.microsoft.com/en-us/sy...wnloads/procmon

Beim Filter einfach folgendes setzen

Code:
if Process Name is <Programm> then Include
und
Code:
if Result is Success then Exclude

Dann als normaler user starten und es sollte dir anzeigen, was genau das Programm machen will.

userohnenamen schrieb am 09.03.2020 um 12:48

https://robotronic.de/runasspc.html

funktioniert sehr gut für solche sachen
problem ist halt, das sich jemand der sich auskennt rauselevaten könnte (durch z.b. hilfe aufmachen, daraus browser aufmachen, daraus cmd und dann steht dir die welt offen ;) )

daisho schrieb am 09.03.2020 um 14:27

Ja, da steht die Tür normal Sperrangelweit offen wenn man irgendwelche Programme einfach als Admin startet. ProcMon ist wohl eine recht gute Idee, ist die Frage ob man die Anwendung damit soweit bringen kann dass sie auch mit normalen User-Rechten startet.



Was mich privat oft etwas nerft ist wenn Programme die man öfter braucht einen UAC Prompt verursachen weil sie aus irgendeinem Grund Administratorrechte brauchen und Windows per Default die Programme nur mit normalen Nutzerrechten ausführt (und bei Bedarf eben via UAC nachfragt), auch wenn dieser normal eh Rechte auf alles mögliche hat (wobei Windows eben sehr viele Folder selbst für Admins mittlerweile "aussperrt" ...).

Gibt es da einen einfachen "offiziellen" Weg (z.B. etwas wie eine Windows UAC Whitelist) wie man das für vereinzelte Programme verhindern kann ohne irgendwelche weirden Workarounds wie z.B. via Task Scheduler starten o.Ä. um die UAC zu umgehen?

mr.nice. schrieb am 09.03.2020 um 14:50

Zitat aus einem Post von daisho
Gibt es da einen einfachen "offiziellen" Weg (z.B. etwas wie eine Windows UAC Whitelist) wie man das für vereinzelte Programme verhindern kann ohne irgendwelche weirden Workarounds wie z.B. via Task Scheduler starten o.Ä. um die UAC zu umgehen?

RunAsInvoker App-Flag ist der offizielle Weg um einen UAC-Prompt zu verhindern, die Programme werden dann halt nicht mit erhöhten Rechten ausgeführt und funktionieren deshalb unter Umständen nicht richtig.
Kann man entweder mit Microsoft Application Compatibility Tools als Teil der Windows ADK, oder per Regedit drüberbügeln. Habe ich schon ein paarmal gebraucht um legacy Programme in Windows 10 zum Laufen zu bekommen.
Als Dienst laufen lassen kann auch funktionieren, wenn das Programm so entwickelt wurde.

regedit als user aufmachen ohne UAC geht z.B. so:
Code:
cmd.exe /c "set __COMPAT_LAYER=RunAsInvoker && regedit.exe"

Kirby schrieb am 10.03.2020 um 09:14

Zitat aus einem Post von userohnenamen
https://robotronic.de/runasspc.html

funktioniert sehr gut für solche sachen
problem ist halt, das sich jemand der sich auskennt rauselevaten könnte (durch z.b. hilfe aufmachen, daraus browser aufmachen, daraus cmd und dann steht dir die welt offen ;) )

@quake

Das Risiko dass deine Schüler sowas schaffen ist imho nicht gegeben. Auser ein paar ausnahmefälle die sind aber gleich mal weg ;)

daisho schrieb am 10.03.2020 um 09:45

Kommt darauf an in was für einer Schule er ist. In der Volks-/Mittelschule vermutlich nicht, in einer HTL schaut es da gleich ganz anders aus ...

enforcer schrieb am 10.03.2020 um 11:21

Vor allem reicht es, wenn du einen hast, der das rausfindet. Dann machens bald alle.
Wuerde so etwas in einer produktiven Umgebung niemals einsetzen. Schule vielleicht, aber auch nur wenn es segmentierte Rechner sind die aufs restliche Netzwerk keinen Zugriff haben und sehr einfach neu aufgestzt werden koennen.

Wenn moeglich wuerde ich immer den Weg mit procmon gehen, auch wenn er aufwendiger ist. Dafuer hast du deutlich weniger Risiko, dass jemand was kaputt macht.

that schrieb am 10.03.2020 um 12:26

Die Software gegen eine ohne Adminrechte korrekt funktionierende zu ersetzen ist keine Option?

Kirby schrieb am 10.03.2020 um 12:34

Zitat aus einem Post von that
Die Software gegen eine ohne Adminrechte korrekt funktionierende zu ersetzen ist keine Option?

In Schulen werden fast nie alternativ software genutzt da das etwas vom Lehrplan abweicht. (obwohl irgentwie die gleichen Funktionen da sind. nur wo anders)

Bei uns damals ind der HS wurde noch mit OpenOffice gearbeitet anstatt mit MS-Office.



overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025