Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Group Policy und UAC, Probleme bei Softwareinstallation

Mitglied: PhilippSt

PhilippSt (Level 1) - Jetzt verbinden

12.10.2011 um 12:59 Uhr, 4803 Aufrufe, 3 Kommentare

Hallo zusammen

Ich muss gerade ein bisschen Windows 7 in unserer Firmenumgebung testen.

Leider kämpfe ich noch mit einer Softwareinstallation. Die Installation ist leider viel zu kompliziert aufgebaut, aber leider nicht anders möglich. Ein bat File ruft ein anderes bat File auf, dort gehts dann irgendwie mit Java weiter... Die Installation wird eigentlich von unserem Softwareverteiler durchgeführt, dieser installiert die Software mit Adminrechten auf den Clients. Adminrechte, da drängt sich bei Windows 7 die UAC auf, vorallem wenn die Installation nicht tut wie sie soll...

Ich hab dann mal mit folgenden Einstellungen in der Gruppenrichtlinie herumprobiert:

1. User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode --> Elevate without prompting
2. User Account Control: Behavior of the elevation prompt for standard users --> Prompt for credentials on the secure desktop
3. User Account Control: Detect application installations and prompt for elevation --> Disabled
4. User Account Control: Only elevate UIAccess applications that are installed in secure locations --> Disabled
5. User Account Control: Run all administrators in Admin Approval Mode --> Enabled

Ich erwarte bei diesen Einstellungen eigentlich, dass bei einem normalen Benutzer nach einem Adminkonto gefragt wird wenn benötigt und bei einem Benutzer mit Adminrechten nicht nach Ja, Bestätigen oder Fortsetzen gefragt wird, ich hab ja "Elevate without prompting" beim Admin Mode gewählt. Somit müsste auch meine Installation klappen.

ABER, die Installation klappt nicht. Ausserdem, wenn ich z.B. auf dem Laufwerk C einen Ordner löschen will, erhalte ich eine Abfrage (zwar nicht auf dem SecureDesktop, aber er sagt mir "Zugriff verweigert", "Sie müssen Administratorberechtigungen angeben" und ich muss Fortsetzen klicken) Und genau das ist wohl das Problem für die Installation, denn er müsste auf dem C einen Ordner erstellen... An anderen Orten (z.B. Systemsteuerung) werd ich nicht gefragt, wie gewünscht. Eigentlich könnte ich ja als Admin damit leben, im Explorer bestätigen zu müssen, aber dass das Script keine Adminrechte hat, das ist natürlich ganz schlecht. Also, eigentlich meine erste Frage, kann ich dem Script irgendwie richtige Adminrechte geben mit diesen UAC Einstellungen?

Also gut, dann setz ich halt mal "Run all administrator in Admin Approval Mode" auf Disabled, vielleicht wird dann der Admin auch im Explorer nicht mehr gefragt. Das ist dann auch tatsächlich so! Wunderbar! Die Installation über den Softwareverteiler funktioniert zwar noch nicht, aber manuell das Batch starten geht. Da muss ich evt. im Softwareverteiler noch nach dem Fehler suchen, aber manuell klappts ja immerhin.

Das Problem ist nun, mit den obigen Einstellungen (Behavior of the elevation prompt for standard users --> Prompt for credentials on the secure desktop) erwarte ich eigentlich, dass ein eingeloggter Benutzer dann nach den Logindaten gefragt wird. Doch wenn ich eine Aktion ausführen möchte, die Adminrechte benötigt, passiert einfach nichts oder ich erhalte die Access Denied Meldung! Das ist doch absolut unlogisch? Was mache ich hier falsch?

Ich habe also die Wahl zwischen Software installieren funktioniert oder Angenehmes Arbeiten als Admin... Warum geht nicht beides? Die Einstellung dazu gäbe es ja eigentlich?

Danke schonmal für eure Bemühungen und Antworten.

Gruss
Mitglied: DerWoWusste
14.10.2011 um 01:14 Uhr
Moin.
Das ist doch absolut unlogisch? Was mache ich hier falsch?
Nee, ist logisch. Detect application installations and prompt for elevation --> Disabled ist falsch, stell es auf enabled, wenn Du möchtest, dass beim Erkennen von benötigten hohen Rechten ein elevation prompt kommt.
Bitte warten ..
Mitglied: PhilippSt
31.10.2011 um 18:20 Uhr
Zitat von DerWoWusste:
Moin.
> Das ist doch absolut unlogisch? Was mache ich hier falsch?
Nee, ist logisch. Detect application installations and prompt for elevation --> Disabled ist falsch, stell es auf enabled, wenn
Du möchtest, dass beim Erkennen von benötigten hohen Rechten ein elevation prompt kommt.

Danke für deine Antwort und sorry für meine späte Rückmeldung.

MS empfiehlt doch, bei Umgebungen mit Softwareverteilserver diese Einstellung zu Disablen? Und es ist ja eigentlich auch keine Installation wenn ich im Control Panel auf was drücke, was Admin Rechte verlangt?

Vielleicht nochmals etwas kürzer das schlussendliche Hauptproblem:

Wenn ich z.B. auf dem Laufwerk C einen Ordner löschen will, erhalte ich eine Abfrage (zwar nicht auf dem SecureDesktop, aber er sagt mir "Zugriff verweigert", "Sie müssen Administratorberechtigungen angeben" und ich muss Fortsetzen klicken) Und genau das ist wohl das Problem für die Installation, denn er müsste auf dem C einen Ordner erstellen... An anderen Orten (z.B. Systemsteuerung) werd ich nicht gefragt, wie gewünscht. Eigentlich könnte ich ja als Admin damit leben, im Explorer bestätigen zu müssen, aber dass das Script keine Adminrechte hat, das ist natürlich ganz schlecht. Also, eigentlich meine erste Frage, kann ich dem Script irgendwie richtige Adminrechte geben mit diesen UAC Einstellungen?

Also gut, dann setz ich halt mal "Run all administrator in Admin Approval Mode" auf Disabled, vielleicht wird dann der Admin auch im Explorer nicht mehr gefragt. Das ist dann auch tatsächlich so! Wunderbar! Die Installation über den Softwareverteiler funktioniert zwar noch nicht, aber manuell das Batch starten geht. Da muss ich evt. im Softwareverteiler noch nach dem Fehler suchen, aber manuell klappts ja immerhin.

Das Problem ist nun, mit den obigen Einstellungen (Behavior of the elevation prompt for standard users --> Prompt for credentials on the secure desktop) erwarte ich eigentlich, dass ein eingeloggter Benutzer dann nach den Logindaten gefragt wird. Doch wenn ich eine Aktion ausführen möchte, die Adminrechte benötigt, passiert einfach nichts oder ich erhalte die Access Denied Meldung! Das ist doch absolut unlogisch? Was mache ich hier falsch?
Bitte warten ..
Mitglied: DerWoWusste
01.11.2011 um 00:23 Uhr
Ok, nochmal sortieren.

Du hast Recht (ich Unrecht), was die Policy "Detect application installations and prompt for elevation" angeht: bei der geht es nur um Installationen, mit genereller Elevation von Aktionen, die hohe Rechte anfordern (wie Öffnen des Taskmanagers zum Bsp.) hat dies nichts zu tun.
Sinn dieser Policy: Sie will einem bei angeschalteter UAC die Möglichkeit geben, den Rechtsklick samt "Ausführen als Administrator" zu ersparen. MS empfiehlt zu disablen, wenn überhaupt nichts manuell installiert wird. Soviel dazu.

Zu den Skripten: Startskripte laufen mit dem Systemkonto - hier ist die UAC außen vor, diese Skripte bekommen also immer alle Rechte. Will man ein solches Skript interaktiv starten, dann muss per Rechtsklick "ausführen als Admin" gewählt werden. Dazu muss der Dateityp des Skriptes natürlich den genannten Kontextmenüeintrag besitzen, sonst klappt es nicht. Soviel hierzu.

mit den obigen Einstellungen (Behavior of the elevation prompt for standard users --> Prompt for credentials on the secure desktop) erwarte ich eigentlich, dass ein eingeloggter Benutzer dann nach den Logindaten gefragt wird.
Das hängt davon ab, was für eine Aktion Du ausführst und ob die UAC generell an und auf höchster Stufe ist. Natürlich hast Du Recht, es sollte gehen. Beschreib mal zum Nachstellen, was Du in diesem Fall meinst/machst.
Bitte warten ..
Ähnliche Inhalte
Windows 10
Windows 10 - Group Policy Printer
gelöst Frage von gmossinWindows 104 Kommentare

Hallo zusammen Wir verwenden Windows 10 (1511) in Verbindung mit VMware Horizon 6.2 für unsere Schule. Wir haben nun ...

Windows Server
AGPM - Advanced Group Policy Manager
Frage von makaroniWindows Server1 Kommentar

Hallo zusammen, ich habe mir bzgl. der Delegierung von GPO Rechten einmal den AGPM installiert. Nun habe ich diverse ...

Windows 10
UAC Benutzersteuerung macht Probleme
gelöst Frage von MadzylinderWindows 105 Kommentare

Moin, ich habe einen Benutzer (Betriebsleiter) der, wenn es klingelt das Bild der Überwachungskamera angezeigt bekommt. Seit einigen Tagen ...

Microsoft Office

Office 2016 Oberfläche anpassen per Group Policy

Frage von johndeMicrosoft Office2 Kommentare

Guten Tag Ich bin dran, die Benutzeroberfläche anzupassen für unsere Benutzer im Netzwerk. Sehr gute Infos dazu gibt es ...

Neue Wissensbeiträge
Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 23 StundenSonstige Systeme4 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Datenschutz

Microsoft und DSGVO - ob das wohl jemals klappt (Probleme beim Datenabfluss für Office Pro Plus)?

Tipp von VGem-e vor 1 TagDatenschutz3 Kommentare

Servus Kollegen, siehe Aber wer setzt schon MS Office Pro Plus ein? Wie dann der Stand beim "normalen" MS ...

Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 1 TagWindows 103 Kommentare

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Humor (lol)

Das neue Miniatur Wunderland OFFICIAL VIDEO - worlds largest model railway - railroad

Information von StefanKittel vor 1 TagHumor (lol)2 Kommentare

Hallo, wer noch nie im Miniatur Wunderland war, sollte es dringend mal nachholen. Es gibt eine neues Video. Viele ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL Monitoring Tool - Quick and dirty?
Frage von george44DSL, VDSL15 Kommentare

Liebe Gemeinde, ich suche ein einfaches und vor allem schnell zu installierendes Monitoring-Tool zur kontinuierlichen Dokumentation (nur) der Internetanbindung. ...

Netzwerkgrundlagen
Werksreset HP 1920S-24G
gelöst Frage von HenereNetzwerkgrundlagen14 Kommentare

Servus zusammen, ich habe mir 2 neue Switche zugelegt, doch ich komme damit nicht ganz klar. Waren Vorführgeräte zum ...

LAN, WAN, Wireless
Gäste-WLAN durch DD-WRT AP nach einem MikroTik Routerboard
Frage von NukolarLAN, WAN, Wireless13 Kommentare

Hallo, wie der Titel schon sagt möchte ich gerne ein Gäste-WLAN innerhalb eines bestehenden LANs einrichten. Dass die Gäste ...

Firewall
Sophos UTM 9.5 Firewall Log-File durchsuchen
gelöst Frage von Leo-leFirewall13 Kommentare

Hallo zusammen, weiß jemand von Euch, ob man bei der Sophos die Firewall logs noch etwas besser filtern kann? ...