Einzelnen Programme Lokale Admin Rechte vergeben
quake 09.03.2020 - 11:25 5402 10
quake
Here to stay
|
Hallo, ich brauche kurz eure Hilfe, wir haben bei uns ein Schüler Netzwerk wo sich die Schüler in unser Lokales Netzwerk anmelden können. Natürlich haben diese Nutzer eingeschränkte rechte. So jetzt habe ich aber das Problem, dass zb. einzelne Programme Admin Rechte zum starten benötigen. Gibt es da eine Möglichkeit dass ich einzelne Programme Admin Rechte zuweise (zumindest lokale admin rechte). Ich danke schonmal. Betriebssystem haben wir win10
|
chap
small gift, big smile
|
admin rechte zum starten weil er auf systemdateien zugreifen muss? oder warum ist admin notwendig? Teilweise umgehe ich das, wenn der "User" auf den kompletten Programmpfad zugreifen/schreiben darf - geht jedoch nicht immer.
|
enforcer
What?
|
du kannst mit procmon (sysinternals) schauen, was genau das programm braucht. meist sind es nur folder- oder registry rechte und diese dann granular vergeben. https://docs.microsoft.com/en-us/sy...wnloads/procmonBeim Filter einfach folgendes setzen if Process Name is <Programm> then Include
und if Result is Success then Exclude
Dann als normaler user starten und es sollte dir anzeigen, was genau das Programm machen will.
|
userohnenamen
leider kein name
|
https://robotronic.de/runasspc.htmlfunktioniert sehr gut für solche sachen problem ist halt, das sich jemand der sich auskennt rauselevaten könnte (durch z.b. hilfe aufmachen, daraus browser aufmachen, daraus cmd und dann steht dir die welt offen )
|
daisho
SHODAN
|
Ja, da steht die Tür normal Sperrangelweit offen wenn man irgendwelche Programme einfach als Admin startet. ProcMon ist wohl eine recht gute Idee, ist die Frage ob man die Anwendung damit soweit bringen kann dass sie auch mit normalen User-Rechten startet.
Was mich privat oft etwas nerft ist wenn Programme die man öfter braucht einen UAC Prompt verursachen weil sie aus irgendeinem Grund Administratorrechte brauchen und Windows per Default die Programme nur mit normalen Nutzerrechten ausführt (und bei Bedarf eben via UAC nachfragt), auch wenn dieser normal eh Rechte auf alles mögliche hat (wobei Windows eben sehr viele Folder selbst für Admins mittlerweile "aussperrt" ...).
Gibt es da einen einfachen "offiziellen" Weg (z.B. etwas wie eine Windows UAC Whitelist) wie man das für vereinzelte Programme verhindern kann ohne irgendwelche weirden Workarounds wie z.B. via Task Scheduler starten o.Ä. um die UAC zu umgehen?
|
mr.nice.
differential image maker
|
Gibt es da einen einfachen "offiziellen" Weg (z.B. etwas wie eine Windows UAC Whitelist) wie man das für vereinzelte Programme verhindern kann ohne irgendwelche weirden Workarounds wie z.B. via Task Scheduler starten o.Ä. um die UAC zu umgehen? RunAsInvoker App-Flag ist der offizielle Weg um einen UAC-Prompt zu verhindern, die Programme werden dann halt nicht mit erhöhten Rechten ausgeführt und funktionieren deshalb unter Umständen nicht richtig. Kann man entweder mit Microsoft Application Compatibility Tools als Teil der Windows ADK, oder per Regedit drüberbügeln. Habe ich schon ein paarmal gebraucht um legacy Programme in Windows 10 zum Laufen zu bekommen. Als Dienst laufen lassen kann auch funktionieren, wenn das Programm so entwickelt wurde. regedit als user aufmachen ohne UAC geht z.B. so: cmd.exe /c "set __COMPAT_LAYER=RunAsInvoker && regedit.exe"
|
Kirby
0x19
|
https://robotronic.de/runasspc.html
funktioniert sehr gut für solche sachen problem ist halt, das sich jemand der sich auskennt rauselevaten könnte (durch z.b. hilfe aufmachen, daraus browser aufmachen, daraus cmd und dann steht dir die welt offen ) @quake Das Risiko dass deine Schüler sowas schaffen ist imho nicht gegeben. Auser ein paar ausnahmefälle die sind aber gleich mal weg
|
daisho
SHODAN
|
Kommt darauf an in was für einer Schule er ist. In der Volks-/Mittelschule vermutlich nicht, in einer HTL schaut es da gleich ganz anders aus ...
|
enforcer
What?
|
Vor allem reicht es, wenn du einen hast, der das rausfindet. Dann machens bald alle. Wuerde so etwas in einer produktiven Umgebung niemals einsetzen. Schule vielleicht, aber auch nur wenn es segmentierte Rechner sind die aufs restliche Netzwerk keinen Zugriff haben und sehr einfach neu aufgestzt werden koennen.
Wenn moeglich wuerde ich immer den Weg mit procmon gehen, auch wenn er aufwendiger ist. Dafuer hast du deutlich weniger Risiko, dass jemand was kaputt macht.
|
that
Hoffnungsloser Optimist
|
Die Software gegen eine ohne Adminrechte korrekt funktionierende zu ersetzen ist keine Option?
|
Kirby
0x19
|
Die Software gegen eine ohne Adminrechte korrekt funktionierende zu ersetzen ist keine Option? In Schulen werden fast nie alternativ software genutzt da das etwas vom Lehrplan abweicht. (obwohl irgentwie die gleichen Funktionen da sind. nur wo anders) Bei uns damals ind der HS wurde noch mit OpenOffice gearbeitet anstatt mit MS-Office.
|