16
Ausführen von .exe ohne Admin-Rechte unter Windows 7
Wir stellen im Unternehmen auf Windows 7 um. Die Mitarbeiter sollen keine Adminberechtigungen mehr bekommen, wie dies noch unter Windows XP der Fall war. Unser Problem besteht jetzt noch beim ausführen von benötigten .exe Dateien, welche keine Installation durchführen, sondern einfach nur die Anwendung direkt startet.
Guten Tag
Unser Ziel mit der Migration auf Windows 7 ist v.a. die Rechte der Mitarbeiter einzuschränken. Leider besteht hierbei ein Problem, wobei gewisse .exe Dateien sowie eine Java-Anwendung nicht gestartet werden kann, da dies ohne Admin-Rechte nicht zu funktionieren scheint. Bei der Java-Anwendung erscheint die Fehlermeldung "java.io.ioexception:zugriff verweigert".
Die Frage ist nun; Kann man bestimmte .exe Dateien über GPO so zulassen, dass diese vom Benutzer ohne Admin-Rechte ausgeführt werden kann? Mit Hashregeln haben wir's nicht hingekriegt, gibt es da etwas bestimmtes wo man drauf achten sollte? Oder hat sonst jemand schonmal Erfahrungen zu diesem Thema gesammelt?
Wir sind für eine rasche Antwort sehr dankbar.
Besten Dank und freundliche Grüsse
one0yet
Unser Ziel mit der Migration auf Windows 7 ist v.a. die Rechte der Mitarbeiter einzuschränken. Leider besteht hierbei ein Problem, wobei gewisse .exe Dateien sowie eine Java-Anwendung nicht gestartet werden kann, da dies ohne Admin-Rechte nicht zu funktionieren scheint. Bei der Java-Anwendung erscheint die Fehlermeldung "java.io.ioexception:zugriff verweigert".
Die Frage ist nun; Kann man bestimmte .exe Dateien über GPO so zulassen, dass diese vom Benutzer ohne Admin-Rechte ausgeführt werden kann? Mit Hashregeln haben wir's nicht hingekriegt, gibt es da etwas bestimmtes wo man drauf achten sollte? Oder hat sonst jemand schonmal Erfahrungen zu diesem Thema gesammelt?
Wir sind für eine rasche Antwort sehr dankbar.
Besten Dank und freundliche Grüsse
one0yet
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 176968
Url: https://administrator.de/contentid/176968
Printed on: April 16, 2024 at 20:04 o'clock
16 Comments
Latest comment
Moin,
ich verstehe das Problem nicht so ganz....
Wenn das Programm einmal installiert ist, dann können deine User das ganz normal starten...Und das sind in den meisten Fällen .exe-Dateien
Oder denkst du jeder MS Office-Nutzer muss Adminrechte haben, damit er es benutzen kann?
Und ganz ehrlich....Wenn ein Programm (für Nicht-Admins bestimmt) wirklich Adminrechte zwingend für die Ausführung benötigt, dann würde ich mich aber ganz schnell von dieser Fehlkonstruktion trennen...
Gruß
ich verstehe das Problem nicht so ganz....
Wenn das Programm einmal installiert ist, dann können deine User das ganz normal starten...Und das sind in den meisten Fällen .exe-Dateien
Oder denkst du jeder MS Office-Nutzer muss Adminrechte haben, damit er es benutzen kann?
Und ganz ehrlich....Wenn ein Programm (für Nicht-Admins bestimmt) wirklich Adminrechte zwingend für die Ausführung benötigt, dann würde ich mich aber ganz schnell von dieser Fehlkonstruktion trennen...
Gruß
Hallo nikoatit, danke für die Antwort.
Das Problem ist, dass diese .exe Anwendung keine Installation durchführt, sondern die gesamte Anwendung besteht aus diese .exe. Es handelt sich um ein Firmware-Update Tool für Drucker.
Unter folgendem Link ist das Tool verfügbar: http://welcome.solutions.brother.com/bsc/public/eu/ch/de/dlf/dlf/000000 ...
Wir sind mittlerweile mit unserem Latein am Ende.
Beste Grüsse
Das Problem ist, dass diese .exe Anwendung keine Installation durchführt, sondern die gesamte Anwendung besteht aus diese .exe. Es handelt sich um ein Firmware-Update Tool für Drucker.
Unter folgendem Link ist das Tool verfügbar: http://welcome.solutions.brother.com/bsc/public/eu/ch/de/dlf/dlf/000000 ...
Wir sind mittlerweile mit unserem Latein am Ende.
Beste Grüsse
Hi,
manchmal genügt es ein Programm einmalig als Administrator zu starten, damit bestimmte Registry-Einträge geschrieben oder Dateien manipuliert werden, manchmal muss man für die Registry Einträge oder Dateien, die für dieses Programm benötigt werden, aber auch dauerhaft die Rechte anpassen. Hier würde ich ansetzen und mal schauen, was denn genau benötigt wird.
Als letztes bliebe noch diese .exe Dateien über den Aufgabenplaner als Administrator zu starten, dann brauchen die Mitarbeiter keine Passwörter zu erfahren, ist aber auch nicht ganz unkritisch.
Grüße
manchmal genügt es ein Programm einmalig als Administrator zu starten, damit bestimmte Registry-Einträge geschrieben oder Dateien manipuliert werden, manchmal muss man für die Registry Einträge oder Dateien, die für dieses Programm benötigt werden, aber auch dauerhaft die Rechte anpassen. Hier würde ich ansetzen und mal schauen, was denn genau benötigt wird.
Als letztes bliebe noch diese .exe Dateien über den Aufgabenplaner als Administrator zu starten, dann brauchen die Mitarbeiter keine Passwörter zu erfahren, ist aber auch nicht ganz unkritisch.
Grüße
Eine Frage noch...Braucht ihr das Tool auf jedem Rechner?
Ich meine ihr werdet doch nicht an jedem Rechner tagtäglich ein Update einer Druckerfirmware durchführen oder?
Wenn nicht, dann könntet ihr auch einen Stand-Alone-PC mit lokalen Admin betreiben, der für die Updates zuständig ist.
Der solltet natürlich vom restlichen Netz abgeschirmt werden mit z.B. VLAN oder besser eigenem Internetzugang oder oder oder...
Ich meine ihr werdet doch nicht an jedem Rechner tagtäglich ein Update einer Druckerfirmware durchführen oder?
Wenn nicht, dann könntet ihr auch einen Stand-Alone-PC mit lokalen Admin betreiben, der für die Updates zuständig ist.
Der solltet natürlich vom restlichen Netz abgeschirmt werden mit z.B. VLAN oder besser eigenem Internetzugang oder oder oder...
Hallo zusammen
Danke für die Inputs.
Leider benötigt das Tool bei jedem Start das Admin-Kennwort. Den Tipp mit dem Registry-Eintrag werde ich verfolgen, mal schauen ob ich einen solchen Eintrag dazu finde.
Ich habe bereits die Anwendung mit runas /savecred ohne Nachfrage vom Admin-Kennwort starten können, jedoch ist dies, wie beim Aufgabenplaner, nicht ganz unkritisch, da das Admin-Passwort im System hinterlegt wird und jemand der einigermassen gute mit CMD hat, jede .exe als Administrator starten könnte.
@nikoatit: Die PC's werden im Service-Center eingesetzt, wo Druckergeräte etc. repariert werden. Jedes Gerät wird dann auch jeweils auf die neueste Firmware aktualisiert, daher benötigt jede Arbeitsstation die Anwendung mehrmals täglich. Es wäre ein zu grosser Umtrieb, wenn alle Techniker jeweils am Stand-Alone-PC ein Firmware-Update durchführen müssten.
Kennt sich einer von euch mit Hashregeln aus?
Grüsse
Danke für die Inputs.
Leider benötigt das Tool bei jedem Start das Admin-Kennwort. Den Tipp mit dem Registry-Eintrag werde ich verfolgen, mal schauen ob ich einen solchen Eintrag dazu finde.
Ich habe bereits die Anwendung mit runas /savecred ohne Nachfrage vom Admin-Kennwort starten können, jedoch ist dies, wie beim Aufgabenplaner, nicht ganz unkritisch, da das Admin-Passwort im System hinterlegt wird und jemand der einigermassen gute mit CMD hat, jede .exe als Administrator starten könnte.
@nikoatit: Die PC's werden im Service-Center eingesetzt, wo Druckergeräte etc. repariert werden. Jedes Gerät wird dann auch jeweils auf die neueste Firmware aktualisiert, daher benötigt jede Arbeitsstation die Anwendung mehrmals täglich. Es wäre ein zu grosser Umtrieb, wenn alle Techniker jeweils am Stand-Alone-PC ein Firmware-Update durchführen müssten.
Kennt sich einer von euch mit Hashregeln aus?
Grüsse
Hi.
Du solltest über den Einsatz von http://www.beyondtrust.com/Products/PowerBroker-Desktops-Windows-Editio ... nachdenken. Mit Bordmitteln gibt es keinen Weg, wirklich gar keinen, der sicher ist, es sei denn, Du kannst rausfinden, was das Programm denn benötigt (Schreibzugriff auf Registrypfade/Dateipfade) und kannst das für den User anpassen. Dabei hilft einem procmon oft weiter (Monitoren und das Log nach "access denied" durchsuchen).
Versuche auch die Hersteller der Programme dazu zu befragen oder deren FAQs zu lesen.
Kennt sich einer von euch mit Hashregeln aus?
Sag, wovon Du sprichst. Es gibt keinen offiziellen Sprachgebrauch "Hashregeln" unter Windows. Du könntest Softwareeinschränkungsrichtlinien/Applocker meinen, da gibt es Hashregeln, aber die haben mit der Lösung Deines Problems nichts zu tun.Du solltest über den Einsatz von http://www.beyondtrust.com/Products/PowerBroker-Desktops-Windows-Editio ... nachdenken. Mit Bordmitteln gibt es keinen Weg, wirklich gar keinen, der sicher ist, es sei denn, Du kannst rausfinden, was das Programm denn benötigt (Schreibzugriff auf Registrypfade/Dateipfade) und kannst das für den User anpassen. Dabei hilft einem procmon oft weiter (Monitoren und das Log nach "access denied" durchsuchen).
Versuche auch die Hersteller der Programme dazu zu befragen oder deren FAQs zu lesen.
Hey
Ich spreche von dem hier:http://social.technet.microsoft.com/Forums/en-SG/winserverGP/thread/8e0 ...
"Scenario 1:
Assuming there is only one specific .exe that published on all clients.
1. In Group Policy Editor, expand to Computer Configuration->Windows Settings->Security Settings->Software Restriction Policies.
2. Right-click Additional Rules, and then click New Hash Rule.
3. Click Browse to find a file, or paste a precalculated hash in the File hash box.
4. In the Security level box, click Unrestricted.
5. In the Description box, type a description for this rule, and then click OK."
Diese Prozedur schien perfekt, nur funktioniert sie bis anhin noch nicht..
Ich suche noch nach den Registry Einträgen.
Gruss
Ich spreche von dem hier:http://social.technet.microsoft.com/Forums/en-SG/winserverGP/thread/8e0 ...
"Scenario 1:
Assuming there is only one specific .exe that published on all clients.
1. In Group Policy Editor, expand to Computer Configuration->Windows Settings->Security Settings->Software Restriction Policies.
2. Right-click Additional Rules, and then click New Hash Rule.
3. Click Browse to find a file, or paste a precalculated hash in the File hash box.
4. In the Security level box, click Unrestricted.
5. In the Description box, type a description for this rule, and then click OK."
Diese Prozedur schien perfekt, nur funktioniert sie bis anhin noch nicht..
Ich suche noch nach den Registry Einträgen.
Gruss
Was hat denn diese Prozedur (ist genau die, an die ich dachte) mit Deinem Problem zu tun? Das ist restriction=Einschränkung und nicht eine Erlaubnis.
Nein, das sollte diese Prozedur ja eben umgehen.
=> "Under Domain Controller Group Policies, the execute program ".exe" is not allowed in the domain.
Are there any ways to RUN the program ".exe" without admin right?"
Antwort vom Admin:
"From your description, I understand that the execute program is not allowed to run in the domain, but you would like to run some burning disc program without administrator privilege.
4. In the Security level box, click Unrestricted."
Dies sollte ja eben dazu führen, dass die .exe ohne Admin-Rechte ausgeführt werden kann. Aber kann sein, dass dies nur bis WinXP funktioniert.
=> "Under Domain Controller Group Policies, the execute program ".exe" is not allowed in the domain.
Are there any ways to RUN the program ".exe" without admin right?"
Antwort vom Admin:
"From your description, I understand that the execute program is not allowed to run in the domain, but you would like to run some burning disc program without administrator privilege.
4. In the Security level box, click Unrestricted."
Dies sollte ja eben dazu führen, dass die .exe ohne Admin-Rechte ausgeführt werden kann. Aber kann sein, dass dies nur bis WinXP funktioniert.
Glaub mir ruhig. Unrestricted heißt hier "nicht noch weiter als ohnehin schon eingeschränkt" und nicht etwa erlaubt. Lass die Finger von den Restrictions, Du verschwendest Deine Zeit.
Okay.. Mal schauen ob wir sonst eine gescheite Lösung finden. Das Problem ist, dass hier viele Computer vorbereitet werden müssen und daher eine lokale Registryanpassung etwas umständlich wäre.
Danke trotzdem für die Tipp's
Grüsse
Danke trotzdem für die Tipp's
Grüsse
Das Problem ist, dass hier viele Computer vorbereitet werden müssen und daher eine lokale Registryanpassung etwas umständlich wäre.
Das ist doch mit GPO-Einstellungen kein Problem mehr. Schau Dir auch mal das verlinkte Powerbroker-Produkt an, es kann mehr als Windows selbst bietet: einzelne Programme können vom Nutzer mit erweiterten Rechten gestartet werden und dennoch kann der Nutzer nicht aus ihnen ausbrechen.
Beim vorbeischauen, ist mir aufgefallen, dass ich unsere Lösung nicht mehr mitgeteilt habe. Hier trotzdem noch für Googler etc.
Ohne zusätzlichen Kostenaufwand war es leider nicht möglich, unser Wunsch .exe Files freizugeben zu erfüllen. Nach einer Evaluation von Powerbrooker haben wir uns dagegen entschieden (danke Trotzdem DerWoWusste). Nun haben wir der dem SC als einzige Abteilung Admin-Rechte gegeben, jedoch mit entsprechendem Report. Nun erhalten wir jede Woche einen Report von Spiceworks, welche Programme wo installiert wurden. Auf diese Weise können wir das geschehen trotzdem noch im Auge behalten. Ja, uns ist bewusst das Portable-Apps nicht aufgeführt werden.
Sollte nur als Info dienen, falls dies noch jemanden interessieren sollte.
Beste Grüsse
Ohne zusätzlichen Kostenaufwand war es leider nicht möglich, unser Wunsch .exe Files freizugeben zu erfüllen. Nach einer Evaluation von Powerbrooker haben wir uns dagegen entschieden (danke Trotzdem DerWoWusste). Nun haben wir der dem SC als einzige Abteilung Admin-Rechte gegeben, jedoch mit entsprechendem Report. Nun erhalten wir jede Woche einen Report von Spiceworks, welche Programme wo installiert wurden. Auf diese Weise können wir das geschehen trotzdem noch im Auge behalten. Ja, uns ist bewusst das Portable-Apps nicht aufgeführt werden.
Sollte nur als Info dienen, falls dies noch jemanden interessieren sollte.
Beste Grüsse
Besser spät als nie... ;)
Und warum habt Ihr PB nicht gewollt?
Und warum habt Ihr PB nicht gewollt?
Diese Frage kann ich dir ehrlichgesagt nicht genau beantworten. Die Evaluation ist nicht bei uns selbst, sondern bei unserem europäischen Hauptsitz durchgeführt worden. Die Software wurde dort abgelehnt. Da europaweit alle DC replizieren, ist eine einheitliche Infrastruktur erwünscht. Ich vermute, dass der Aufwand zu gross gewesen wäre, PB in allen Ländern europaweit zu integrieren. Stattdessen haben wir nun mit Admin-Rechte und entsprechender Überwachung das Ganze umgehen können.
wie hast du das genau geregelt habe leider das gleiche problem.
Danke für deine Antwort
Danke für deine Antwort
