Heyho,

ich richte hier gerade den "neuen" PC von meinem Vater ein. Da ich das schon mal gemacht habe und mein Vater das Windows innerhalb von 30 Tagen komplett zerlegt hat ("ich hab nichts gemacht") will ich es mal mit einem Standard-Account versuchen (ohne ihm das Admin-Kennwort zu geben).

So, so mit einer Ausnahme geht auch alles. Bei UPlay/Steam drückt man die gelegentliche Admin-Nachfrage einfach weg und es geht trotzdem.

Nun geht es um die Ausnahme. Ein Programm läuft ausschließlich mit Admin-Rechten. Startet man es als normaler Nutzer, dann kommt eine Fehlermeldung, man solle das Programm als Admin starten.

Gibt es unter Windows eine Möglichkeit einem Programm die Admin-Rechte zu erlauben, ohne dass dann nach einem Kennwort gefragt wird?

Ich wüsste nicht, dass sowas möglich ist. Andererseits wenn man das Programm nicht unter "C:\Program Files (x86)" installiert, kommt die Meldung auch?

Geht es konkreter? Was macht das Programm denn?

In der Ultimate-Version von Windows 7 konnte man das sehr wohl mit dem AppLocker einstellen. Das Feature wurde leider ab Windows 8 entfernt.

Ganon

runas verwenden mit PW

in einem Batch

BAT to Exe - fertig

Ich wüsste nicht, dass sowas möglich ist. Andererseits wenn man das Programm nicht unter "C:\Program Files (x86)" installiert, kommt die Meldung auch?

Ich habe auch schon Benutzerrechte auf dem Ordner vergeben (das macht z.B. Steam ja auch schon automatisch, bei UPlay muss man es selbst tun), jedoch:

Geht es konkreter? Was macht das Programm denn?

Das Programm (nicht Windows) sagt einfach "Programm konnte nicht gestartet werden: [...]Mögliche Ursachen: [...]- sie sind kein Administrator[...]"

Ganon
runas verwenden mit PW
in einem Batch
BAT to Exe - fertig

Danke, das gucke ich mir mal an :)

Das Programm (nicht Windows) sagt einfach "Programm konnte nicht gestartet werden: [...]Mögliche Ursachen: [...]- sie sind kein Administrator[...]"
Welches ist es denn? Oder macht das was, was wirklich Adminrechte erfordert? Gibt es kein Update?
Evtl kannst du mal mit Process Monitor schauen was das Programm versucht und scheitert. Es gibt ja auch RegistryRechte usw.
Es gibt (oder eigentlich gab) auch Programme, die man nur einmal mit Adminrechten starten muss. Ist UAC Virtualization für das Programm aktiviert?

Wenn ein Programm wirklich Adminrechte braucht sollte das eigentlich im Manifest stehen und Windows den Start verweigern bzw. nach Adminkennwort fragen.

Ganon

Falls den Bat to Exe Link brauchst müsst ich nachsehen. Der war damals ideal um das sql sa pw zu verbergen.

runas verwenden mit PW

in einem Batch

BAT to Exe - fertig
In diesem Fall vielleicht nicht wichtig, lässt sich doch aber recht leicht missbrauchen, indem man der Batch-Datei eine andere EXE (umbenannt) unterschiebt, oder?

Besser wäre da evtl. RunasSpc (http://www.robotronic.de/runasspc.html).

DerRob

Das ist ein bat to exe "Compiler" - es gibt danach keine bat mehr - nur ne Exe, aber dort ist kein Klartext drin.

DerRob

Das ist ein bat to exe "Compiler" - es gibt danach keine bat mehr - nur ne Exe, aber dort ist kein Klartext drin.Du kannst aber die aufgerufenen Exe-Dateien austauschen. Und auch ohne Klartext wäre das Passwort da wieder rauszuholen. Muss man halt mit Debugger/Decompiler ran.

Das ist ein bat to exe "Compiler" - es gibt danach keine bat mehr - nur ne Exe, aber dort ist kein Klartext drin.
Ja, das ist mir klar, aber diese BAT-EXE startet doch eine andere EXE als Admin. Ich könnte jetzt einfach beigehen, und der BAT-EXE irgend eine andere EXE-Datei unterschieben, welche dann ebenfalls als Admin ausgeführt wird. Oder prüft diese BAT-EXE vorher, ob es auch wirklich die richtige EXE ist, die da ausgeführt wird?

Ja, das ist mir klar, aber diese BAT-EXE startet doch eine andere EXE als Admin. Ich könnte jetzt einfach beigehen, und der BAT-EXE irgend eine andere EXE-Datei unterschieben, welche dann ebenfalls als Admin ausgeführt wird. Oder prüft diese BAT-EXE vorher, ob es auch wirklich die richtige EXE ist, die da ausgeführt wird?


sicher, aber für einen DAU dem man von dieser Möglichkeit nichts verrät reicht das.

Ist der Taskplaner/die Aufgabenplanung denn keine Alternative, d.h. reicht es wenn die Anwendung immer direkt nach der Anmeldung gestartet wird?

In der Ultimate-Version von Windows 7 konnte man das sehr wohl mit dem AppLocker einstellen. Das Feature wurde leider ab Windows 8 entfernt. Ob der bei Windows 8 fehlte kann ich nicht sagen aber Windows 8.1 Pro hat den AppLocker auf jeden Fall.

P.S. das ist die eleganteste und zuverlässigste Lösung für das Problem.

Also das Teil muss jetzt echt nicht "Hacker-Sicher" sein. Das ist für meinen Vater. Der klickt prinzipiell auf jeden scheiß und somit ist dann der ganze Rechner in Nullkommanichts verseucht. Den Rechner muss man deshalb eher vor ihm selbst schützen xD

Und bevor ich hier jetzt Stunden investiere und das Programm analysiere, mache ich das lieber so. Welches das ist, ist jetzt auch nicht relevant (Google Suchindex lässt grüßen ;))

Ich will hier einfach nur meine Ruhe und nicht immer alle Nase lang Windows neu installieren müssen, weil wieder Tonnen von Spy-, Ad- und Sonstwas-ware drauf ist.

Laut meinem Vater kommt das ja immer alles von alleine... Er macht ja nie was. Brain 1.0 hilft hier also nicht. Das Windows dürfte übrigens keine Pro Variante sein. Das ist eine die bei einem Notebook mit dabei war und laut TechNet Artikel braucht AppLocker Windows 8 Enterprise. :ugly:

Also Runas geht doch dafür gut und ist ausreichend, aber wird das nicht eh noch verschlüsselt soweit ich weiß, also das PW?

Grüße

Runas nimmt keine Passwörter an. Bei XP ging das afaik noch. Ich bin der Meinung dass man es mit Windows-Bordmitteln nicht hinbekommt. Aber Tools wurden ja schon empfohlen.

Ganon: wenn du noch etwas rumprobieren willst, kannst du ja mal mit der Aufgabenplanung rumspielen. Man Kann Tasks erstellen und diese über die schtask.exe via command/shortcut starten

Achso, na ich meinte nicht das von XP, also das ist ja ein Extra Tool oder es war das RunasPC oder so, schon lange nicht mehr genutzt!!

War das nicht das hier?

http://www.robotronic.de/runasspc.html

Was spräche den dagegen, doch wieder ein Win 7 Ultimate zu verwenden?

Hallo Ganon,

Die PC-Welt bietet auch so ein RunAs-Tool an, womit man auch einen Batch-Link erstellen kann, wo das Admin-PW nicht mehr im Klartext ersichtlich ist!
» pcwRunAs - Download - - PC-WELT (http://www.pcwelt.de/downloads/pcwRunAs-1215998.html)

Verwende ich selber auch, da ich mir selber nur Standardrechte zugestehe ( ;) ) und z.B. FRAPS aber Admin-Rechte will.

@FOE

Das Programm scheint bei mir nicht richtig zu funktionieren. Jedenfalls geht bloß kurz die Konsole auf und das war's dann (also wenn ich den generierten Shortcut anklicke).

Ich werde das jetzt aber wohl mit RunasSpc machen und einem speziellen Admin-Account nur für das Programm (damit der Öffnen-Dialog nicht den "richtigen" Admin-Account zeigt). Ist zwar lästig, aber MS ist sich ja für vernünftige Out-Of-The-Box Nutzerverwaltung anscheinend zu fein und einige Windows-Programm Entwickler zu doof Standard-Nutzer zu berücksichtigen.

- In der Aufgabenplanung eine Task anlegen.
- Gewünschte Anwendung unter Aktionen eintragen.
- "Unabhängig von der Benutzeranmeldung ausführen" aktivieren
- "Kennwort nicht speichern" deaktivieren
- "Mit höchsten Privilegien ausführen" aktivieren

Beim Schließen mit "OK" wird Benutzername und Passwort abgefragt. Hier muss man einen Adminaccount verwenden.

Nun kann man mit "schtasks /run /tn <Name der Task>" die Anwendung mit dem in der Task hinterlegten Account starten. Hierfür werden keine Adminrechte benötigt.

Gegenprüfung: Ruft man eine Task auf, die Adminrechte benötigt und deaktiviert "Mit höchsten Privilegien ausführen", wird ein Fehler gemeldet.

PatkIllA und DerRob

Ist sein Vater und kein Massenmörder...

Sowas richte ich für Leute auch so ein, die nett sind... die haben Freude daran ;).

PatkIllA und DerRob

Ist sein Vater und kein Massenmörder...
Ich hab doch selbst geschrieben "in diesem Fall nicht wichtig" (Ganons Vater), sondern bezog mich dadrauf, dass man das nicht immer so machen sollte (in einem Firmennetzwerk z.B.).

Ich hab doch selbst geschrieben "in diesem Fall nicht wichtig" (Ganons Vater), sondern bezog mich dadrauf, dass man das nicht immer so machen sollte (in einem Firmennetzwerk z.B.).

In nem Firmennetzwerk NTFS Rechte nutzen. Ausführen ja - lesen nein ;).

@Ganon
Echt? Schade! :(

Hatte bis jetzt keine Probleme damit ...

//Edit

Hab's gerade nochmals getestet und bei mir funktioniert es problemlos!? (Als BAT-Datei)

@Ganon
Echt? Schade! :(

Hatte bis jetzt keine Probleme damit ...

Es kommt sowas in der Art:

"Error: Anforderung erfordert erhöhte Rechte"

oder sowas. Geht immer wieder so schnell weg

@Ganon
Hmm, liegt vielleicht an Win8? Ich benutze ja noch win7.

Schon probiert, das Tool mit Admin-Rechte zu starten?

Ob der bei Windows 8 fehlte kann ich nicht sagen aber Windows 8.1 Pro hat den AppLocker auf jeden Fall.

P.S. das ist die eleganteste und zuverlässigste Lösung für das Problem.
Wo? AppLocker gibt es nur noch in der Enterprise Version, nicht in der Pro!

http://windowsitpro.com/windows-8/differences-between-windows-81-windows-81-pro-and-windows-81-enterprise

Lösung:

Update: Sieh an, es geht doch. Und zwar über

Start - Suchen

Gruppenrichtlinie bearbeiten
dort dann weiter über
Windowseinstellungen - Sicherheitseinstellungen - Anwendungssteuerungsrichtlinien - AppLocker

und dort einfach eine neue Regel bauen.

Danke vanila, wieder was gelernt heute.

@Ganon

Hast Du eine normale oder Pro-Version? Mit der Pro gehts dann ganz einfach.

Update 2:

Hier gibts auch ein Video dazu:

Msbh56Iirbk

Das ist hier nur eine Normale Version. Das sagte ich oben ja schon mal.

Wie gesagt, ich hab das jetzt mit runasspc und einem zweiten "leeren" Admin-Account gemacht.

Keine schöne Lösung, aber geht. Ich bin dann eh erst mal bis Weihnachten wieder weg xD

Hab's gerade nochmals getestet und bei mir funktioniert es problemlos!? (Als BAT-Datei)UAC noch aktiv oder ausgestellt?

Das ist hier nur eine Normale Version. Das sagte ich oben ja schon mal.

Wie gesagt, ich hab das jetzt mit runasspc und einem zweiten "leeren" Admin-Account gemacht.

Keine schöne Lösung, aber geht. Ich bin dann eh erst mal bis Weihnachten wieder weg xD
Teste doch mal, ob Du hier auch AppLocker verwenden kannst.

Oder kann jemand hier das mal testen? Ich habe leider nur Pro-Versionen.

Teste doch mal, ob Du hier auch AppLocker verwenden kannst.

gpedit.msc fehlt komplett. Also der Editor für Lokale Gruppenrichtlinien.

Aber meine Freundin hat ein Windows 8.1 Pro. Das werde ich mir dann mal die Tage ansehen. Vllt. kriege ich da ihren PC etwas sicherer...

@Ganon
Hmm, liegt vielleicht an Win8? Ich benutze ja noch win7.
Schon probiert, das Tool mit Admin-Rechte zu starten?

Das Tool selbst läuft. Nur die bat-Datei die es erzeugt gibt dann die Meldung aus.

UAC noch aktiv oder ausgestellt?
Ist Aktiv!


Das Tool selbst läuft. Nur die bat-Datei die es erzeugt gibt dann die Meldung aus.
Tja, dann liegt es vielleicht an Win8?!