"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Einzelnen Programme Lokale Admin Rechte vergeben

quake 09.03.2020 - 11:25 5402 10
Posts

quake

Here to stay
Avatar
Registered: Mar 2006
Location: Kärnten
Posts: 4916
Hallo,
ich brauche kurz eure Hilfe, wir haben bei uns ein Schüler Netzwerk wo sich die Schüler in unser Lokales Netzwerk anmelden können. Natürlich haben diese Nutzer eingeschränkte rechte. So jetzt habe ich aber das Problem, dass zb. einzelne Programme Admin Rechte zum starten benötigen.
Gibt es da eine Möglichkeit dass ich einzelne Programme Admin Rechte zuweise (zumindest lokale admin rechte).
Ich danke schonmal.
Betriebssystem haben wir win10

chap

small gift, big smile
Avatar
Registered: Jul 2008
Location: aut.graz
Posts: 2057
admin rechte zum starten weil er auf systemdateien zugreifen muss? oder warum ist admin notwendig?
Teilweise umgehe ich das, wenn der "User" auf den kompletten Programmpfad zugreifen/schreiben darf - geht jedoch nicht immer.

enforcer

What?
Avatar
Registered: Apr 2001
Location: Mäder / Vlbg
Posts: 2422
du kannst mit procmon (sysinternals) schauen, was genau das programm braucht. meist sind es nur folder- oder registry rechte und diese dann granular vergeben.

https://docs.microsoft.com/en-us/sy...wnloads/procmon

Beim Filter einfach folgendes setzen
Code:
if Process Name is <Programm> then Include
und
Code:
if Result is Success then Exclude

Dann als normaler user starten und es sollte dir anzeigen, was genau das Programm machen will.

userohnenamen

leider kein name
Avatar
Registered: Feb 2004
Location: -
Posts: 15857
https://robotronic.de/runasspc.html

funktioniert sehr gut für solche sachen
problem ist halt, das sich jemand der sich auskennt rauselevaten könnte (durch z.b. hilfe aufmachen, daraus browser aufmachen, daraus cmd und dann steht dir die welt offen ;) )

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19689
Ja, da steht die Tür normal Sperrangelweit offen wenn man irgendwelche Programme einfach als Admin startet. ProcMon ist wohl eine recht gute Idee, ist die Frage ob man die Anwendung damit soweit bringen kann dass sie auch mit normalen User-Rechten startet.



Was mich privat oft etwas nerft ist wenn Programme die man öfter braucht einen UAC Prompt verursachen weil sie aus irgendeinem Grund Administratorrechte brauchen und Windows per Default die Programme nur mit normalen Nutzerrechten ausführt (und bei Bedarf eben via UAC nachfragt), auch wenn dieser normal eh Rechte auf alles mögliche hat (wobei Windows eben sehr viele Folder selbst für Admins mittlerweile "aussperrt" ...).

Gibt es da einen einfachen "offiziellen" Weg (z.B. etwas wie eine Windows UAC Whitelist) wie man das für vereinzelte Programme verhindern kann ohne irgendwelche weirden Workarounds wie z.B. via Task Scheduler starten o.Ä. um die UAC zu umgehen?

mr.nice.

differential image maker
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6454
Zitat aus einem Post von daisho
Gibt es da einen einfachen "offiziellen" Weg (z.B. etwas wie eine Windows UAC Whitelist) wie man das für vereinzelte Programme verhindern kann ohne irgendwelche weirden Workarounds wie z.B. via Task Scheduler starten o.Ä. um die UAC zu umgehen?

RunAsInvoker App-Flag ist der offizielle Weg um einen UAC-Prompt zu verhindern, die Programme werden dann halt nicht mit erhöhten Rechten ausgeführt und funktionieren deshalb unter Umständen nicht richtig.
Kann man entweder mit Microsoft Application Compatibility Tools als Teil der Windows ADK, oder per Regedit drüberbügeln. Habe ich schon ein paarmal gebraucht um legacy Programme in Windows 10 zum Laufen zu bekommen.
Als Dienst laufen lassen kann auch funktionieren, wenn das Programm so entwickelt wurde.

regedit als user aufmachen ohne UAC geht z.B. so:
Code:
cmd.exe /c "set __COMPAT_LAYER=RunAsInvoker && regedit.exe"

Kirby

0x19
Avatar
Registered: Jun 2017
Location: Lesachtal/Villac..
Posts: 896
Zitat aus einem Post von userohnenamen
https://robotronic.de/runasspc.html

funktioniert sehr gut für solche sachen
problem ist halt, das sich jemand der sich auskennt rauselevaten könnte (durch z.b. hilfe aufmachen, daraus browser aufmachen, daraus cmd und dann steht dir die welt offen ;) )

@quake

Das Risiko dass deine Schüler sowas schaffen ist imho nicht gegeben. Auser ein paar ausnahmefälle die sind aber gleich mal weg ;)

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19689
Kommt darauf an in was für einer Schule er ist. In der Volks-/Mittelschule vermutlich nicht, in einer HTL schaut es da gleich ganz anders aus ...

enforcer

What?
Avatar
Registered: Apr 2001
Location: Mäder / Vlbg
Posts: 2422
Vor allem reicht es, wenn du einen hast, der das rausfindet. Dann machens bald alle.
Wuerde so etwas in einer produktiven Umgebung niemals einsetzen. Schule vielleicht, aber auch nur wenn es segmentierte Rechner sind die aufs restliche Netzwerk keinen Zugriff haben und sehr einfach neu aufgestzt werden koennen.

Wenn moeglich wuerde ich immer den Weg mit procmon gehen, auch wenn er aufwendiger ist. Dafuer hast du deutlich weniger Risiko, dass jemand was kaputt macht.

that

Hoffnungsloser Optimist
Avatar
Registered: Mar 2000
Location: MeidLing
Posts: 11338
Die Software gegen eine ohne Adminrechte korrekt funktionierende zu ersetzen ist keine Option?

Kirby

0x19
Avatar
Registered: Jun 2017
Location: Lesachtal/Villac..
Posts: 896
Zitat aus einem Post von that
Die Software gegen eine ohne Adminrechte korrekt funktionierende zu ersetzen ist keine Option?

In Schulen werden fast nie alternativ software genutzt da das etwas vom Lehrplan abweicht. (obwohl irgentwie die gleichen Funktionen da sind. nur wo anders)

Bei uns damals ind der HS wurde noch mit OpenOffice gearbeitet anstatt mit MS-Office.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz