Einzelnen Programme Lokale Admin Rechte vergeben

quake

Here to stay

Registered: Mar 2006
Location: Kärnten
Posts: 4916

09.03.2020 - 11:25

Hallo,
ich brauche kurz eure Hilfe, wir haben bei uns ein Schüler Netzwerk wo sich die Schüler in unser Lokales Netzwerk anmelden können. Natürlich haben diese Nutzer eingeschränkte rechte. So jetzt habe ich aber das Problem, dass zb. einzelne Programme Admin Rechte zum starten benötigen.
Gibt es da eine Möglichkeit dass ich einzelne Programme Admin Rechte zuweise (zumindest lokale admin rechte).
Ich danke schonmal.
Betriebssystem haben wir win10

chap

small gift, big smile

Registered: Jul 2008
Location: aut.graz
Posts: 2057

09.03.2020 - 11:34

admin rechte zum starten weil er auf systemdateien zugreifen muss? oder warum ist admin notwendig?
Teilweise umgehe ich das, wenn der "User" auf den kompletten Programmpfad zugreifen/schreiben darf - geht jedoch nicht immer.

enforcer

What?

Registered: Apr 2001
Location: Mäder / Vlbg
Posts: 2422

09.03.2020 - 12:46

du kannst mit procmon (sysinternals) schauen, was genau das programm braucht. meist sind es nur folder- oder registry rechte und diese dann granular vergeben.

https://docs.microsoft.com/en-us/sy...wnloads/procmon

Beim Filter einfach folgendes setzen

Code:

if Process Name is <Programm> then Include

und

Code:

if Result is Success then Exclude

Dann als normaler user starten und es sollte dir anzeigen, was genau das Programm machen will.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15857

09.03.2020 - 12:48

https://robotronic.de/runasspc.html

funktioniert sehr gut für solche sachen
problem ist halt, das sich jemand der sich auskennt rauselevaten könnte (durch z.b. hilfe aufmachen, daraus browser aufmachen, daraus cmd und dann steht dir die welt offen

)

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19689

09.03.2020 - 14:27

Ja, da steht die Tür normal Sperrangelweit offen wenn man irgendwelche Programme einfach als Admin startet. ProcMon ist wohl eine recht gute Idee, ist die Frage ob man die Anwendung damit soweit bringen kann dass sie auch mit normalen User-Rechten startet.

Was mich privat oft etwas nerft ist wenn Programme die man öfter braucht einen UAC Prompt verursachen weil sie aus irgendeinem Grund Administratorrechte brauchen und Windows per Default die Programme nur mit normalen Nutzerrechten ausführt (und bei Bedarf eben via UAC nachfragt), auch wenn dieser normal eh Rechte auf alles mögliche hat (wobei Windows eben sehr viele Folder selbst für Admins mittlerweile "aussperrt" ...).

Gibt es da einen einfachen "offiziellen" Weg (z.B. etwas wie eine Windows UAC Whitelist) wie man das für vereinzelte Programme verhindern kann ohne irgendwelche weirden Workarounds wie z.B. via Task Scheduler starten o.Ä. um die UAC zu umgehen?

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6454

09.03.2020 - 14:50

Zitat aus einem Post von daisho
Gibt es da einen einfachen "offiziellen" Weg (z.B. etwas wie eine Windows UAC Whitelist) wie man das für vereinzelte Programme verhindern kann ohne irgendwelche weirden Workarounds wie z.B. via Task Scheduler starten o.Ä. um die UAC zu umgehen?

RunAsInvoker App-Flag ist der offizielle Weg um einen UAC-Prompt zu verhindern, die Programme werden dann halt nicht mit erhöhten Rechten ausgeführt und funktionieren deshalb unter Umständen nicht richtig.
Kann man entweder mit Microsoft Application Compatibility Tools als Teil der Windows ADK, oder per Regedit drüberbügeln. Habe ich schon ein paarmal gebraucht um legacy Programme in Windows 10 zum Laufen zu bekommen.
Als Dienst laufen lassen kann auch funktionieren, wenn das Programm so entwickelt wurde.

regedit als user aufmachen ohne UAC geht z.B. so:

Code:

cmd.exe /c "set __COMPAT_LAYER=RunAsInvoker && regedit.exe"

Kirby

0x19

Registered: Jun 2017
Location: Lesachtal/Villac..
Posts: 896

10.03.2020 - 09:14

Zitat aus einem Post von userohnenamen
https://robotronic.de/runasspc.html

funktioniert sehr gut für solche sachen
problem ist halt, das sich jemand der sich auskennt rauselevaten könnte (durch z.b. hilfe aufmachen, daraus browser aufmachen, daraus cmd und dann steht dir die welt offen )

@quake

Das Risiko dass deine Schüler sowas schaffen ist imho nicht gegeben. Auser ein paar ausnahmefälle die sind aber gleich mal weg

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19689

10.03.2020 - 09:45

Kommt darauf an in was für einer Schule er ist. In der Volks-/Mittelschule vermutlich nicht, in einer HTL schaut es da gleich ganz anders aus ...

enforcer

What?

Registered: Apr 2001
Location: Mäder / Vlbg
Posts: 2422

10.03.2020 - 11:21

Vor allem reicht es, wenn du einen hast, der das rausfindet. Dann machens bald alle.
Wuerde so etwas in einer produktiven Umgebung niemals einsetzen. Schule vielleicht, aber auch nur wenn es segmentierte Rechner sind die aufs restliche Netzwerk keinen Zugriff haben und sehr einfach neu aufgestzt werden koennen.

Wenn moeglich wuerde ich immer den Weg mit procmon gehen, auch wenn er aufwendiger ist. Dafuer hast du deutlich weniger Risiko, dass jemand was kaputt macht.

that

Hoffnungsloser Optimist

Registered: Mar 2000
Location: MeidLing
Posts: 11338

10.03.2020 - 12:26

Die Software gegen eine ohne Adminrechte korrekt funktionierende zu ersetzen ist keine Option?

Kirby

0x19

Registered: Jun 2017
Location: Lesachtal/Villac..
Posts: 896

10.03.2020 - 12:34

Zitat aus einem Post von that
Die Software gegen eine ohne Adminrechte korrekt funktionierende zu ersetzen ist keine Option?

In Schulen werden fast nie alternativ software genutzt da das etwas vom Lehrplan abweicht. (obwohl irgentwie die gleichen Funktionen da sind. nur wo anders)

Bei uns damals ind der HS wurde noch mit OpenOffice gearbeitet anstatt mit MS-Office.

quake Here to stay Registered: Mar 2006 Location: Kärnten Posts: 4916	09.03.2020 - 11:25 Hallo, ich brauche kurz eure Hilfe, wir haben bei uns ein Schüler Netzwerk wo sich die Schüler in unser Lokales Netzwerk anmelden können. Natürlich haben diese Nutzer eingeschränkte rechte. So jetzt habe ich aber das Problem, dass zb. einzelne Programme Admin Rechte zum starten benötigen. Gibt es da eine Möglichkeit dass ich einzelne Programme Admin Rechte zuweise (zumindest lokale admin rechte). Ich danke schonmal. Betriebssystem haben wir win10
chap small gift, big smile Registered: Jul 2008 Location: aut.graz Posts: 2057	09.03.2020 - 11:34 admin rechte zum starten weil er auf systemdateien zugreifen muss? oder warum ist admin notwendig? Teilweise umgehe ich das, wenn der "User" auf den kompletten Programmpfad zugreifen/schreiben darf - geht jedoch nicht immer.
enforcer What? Registered: Apr 2001 Location: Mäder / Vlbg Posts: 2422	09.03.2020 - 12:46 du kannst mit procmon (sysinternals) schauen, was genau das programm braucht. meist sind es nur folder- oder registry rechte und diese dann granular vergeben. https://docs.microsoft.com/en-us/sy...wnloads/procmon Beim Filter einfach folgendes setzen Code: `if Process Name is <Programm> then Include` und Code: `if Result is Success then Exclude` Dann als normaler user starten und es sollte dir anzeigen, was genau das Programm machen will.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15857	09.03.2020 - 12:48 https://robotronic.de/runasspc.html funktioniert sehr gut für solche sachen problem ist halt, das sich jemand der sich auskennt rauselevaten könnte (durch z.b. hilfe aufmachen, daraus browser aufmachen, daraus cmd und dann steht dir die welt offen )
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19689	09.03.2020 - 14:27 Ja, da steht die Tür normal Sperrangelweit offen wenn man irgendwelche Programme einfach als Admin startet. ProcMon ist wohl eine recht gute Idee, ist die Frage ob man die Anwendung damit soweit bringen kann dass sie auch mit normalen User-Rechten startet. Was mich privat oft etwas nerft ist wenn Programme die man öfter braucht einen UAC Prompt verursachen weil sie aus irgendeinem Grund Administratorrechte brauchen und Windows per Default die Programme nur mit normalen Nutzerrechten ausführt (und bei Bedarf eben via UAC nachfragt), auch wenn dieser normal eh Rechte auf alles mögliche hat (wobei Windows eben sehr viele Folder selbst für Admins mittlerweile "aussperrt" ...). Gibt es da einen einfachen "offiziellen" Weg (z.B. etwas wie eine Windows UAC Whitelist) wie man das für vereinzelte Programme verhindern kann ohne irgendwelche weirden Workarounds wie z.B. via Task Scheduler starten o.Ä. um die UAC zu umgehen?
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6454	09.03.2020 - 14:50 Zitat aus einem Post von daisho Gibt es da einen einfachen "offiziellen" Weg (z.B. etwas wie eine Windows UAC Whitelist) wie man das für vereinzelte Programme verhindern kann ohne irgendwelche weirden Workarounds wie z.B. via Task Scheduler starten o.Ä. um die UAC zu umgehen? RunAsInvoker App-Flag ist der offizielle Weg um einen UAC-Prompt zu verhindern, die Programme werden dann halt nicht mit erhöhten Rechten ausgeführt und funktionieren deshalb unter Umständen nicht richtig. Kann man entweder mit Microsoft Application Compatibility Tools als Teil der Windows ADK, oder per Regedit drüberbügeln. Habe ich schon ein paarmal gebraucht um legacy Programme in Windows 10 zum Laufen zu bekommen. Als Dienst laufen lassen kann auch funktionieren, wenn das Programm so entwickelt wurde. regedit als user aufmachen ohne UAC geht z.B. so: Code: `cmd.exe /c "set __COMPAT_LAYER=RunAsInvoker && regedit.exe"`
Kirby 0x19 Registered: Jun 2017 Location: Lesachtal/Villac.. Posts: 896	10.03.2020 - 09:14 Zitat aus einem Post von userohnenamen https://robotronic.de/runasspc.html funktioniert sehr gut für solche sachen problem ist halt, das sich jemand der sich auskennt rauselevaten könnte (durch z.b. hilfe aufmachen, daraus browser aufmachen, daraus cmd und dann steht dir die welt offen ) @quake Das Risiko dass deine Schüler sowas schaffen ist imho nicht gegeben. Auser ein paar ausnahmefälle die sind aber gleich mal weg
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19689	10.03.2020 - 09:45 Kommt darauf an in was für einer Schule er ist. In der Volks-/Mittelschule vermutlich nicht, in einer HTL schaut es da gleich ganz anders aus ...
enforcer What? Registered: Apr 2001 Location: Mäder / Vlbg Posts: 2422	10.03.2020 - 11:21 Vor allem reicht es, wenn du einen hast, der das rausfindet. Dann machens bald alle. Wuerde so etwas in einer produktiven Umgebung niemals einsetzen. Schule vielleicht, aber auch nur wenn es segmentierte Rechner sind die aufs restliche Netzwerk keinen Zugriff haben und sehr einfach neu aufgestzt werden koennen. Wenn moeglich wuerde ich immer den Weg mit procmon gehen, auch wenn er aufwendiger ist. Dafuer hast du deutlich weniger Risiko, dass jemand was kaputt macht.
that Hoffnungsloser Optimist Registered: Mar 2000 Location: MeidLing Posts: 11338	10.03.2020 - 12:26 Die Software gegen eine ohne Adminrechte korrekt funktionierende zu ersetzen ist keine Option?
Kirby 0x19 Registered: Jun 2017 Location: Lesachtal/Villac.. Posts: 896	10.03.2020 - 12:34 Zitat aus einem Post von that Die Software gegen eine ohne Adminrechte korrekt funktionierende zu ersetzen ist keine Option? In Schulen werden fast nie alternativ software genutzt da das etwas vom Lehrplan abweicht. (obwohl irgentwie die gleichen Funktionen da sind. nur wo anders) Bei uns damals ind der HS wurde noch mit OpenOffice gearbeitet anstatt mit MS-Office.

Einzelnen Programme Lokale Admin Rechte vergeben

Forum Index > Software > Windows

quake

chap

enforcer

userohnenamen

daisho

mr.nice.

Kirby

daisho

enforcer

that

Kirby