Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RunAs Explorer.exe funktioniert mit Vista und Windows7 nicht mehr - aber wie dann?

Mitglied: nike1972

nike1972 (Level 1) - Jetzt verbinden

14.10.2009, aktualisiert 10:54 Uhr, 10146 Aufrufe, 9 Kommentare

Seit Vista und somit auch im neuen Windows 7 kann man die Explorer.exe nicht mehr über "Run As" mit Adminrechten starten lassen. Was sind dann die Alternativen um in großen Unternehmen ausgewählten Benutzern zeitweise Adminrechte zu verschaffen?

Moinmoin,

wir müssen bei uns im "Amt" (eine wissenschaftliche Behörde mit ~1.400 PCs) früher oder später auf Windows 7 umsteigen. Momentan laufen die allermeisten Rechner allerdings noch auf Windows XP und wir testen grade Stück für Stück das neue Windows.

Als bislang grösste Hürde erscheint uns das Verhalten von "Run As". Bislang nutzten wir diese hübsche Möglichkeit um Benutzern auf Knopfdruck einen Explorer mit Adminrechten starten zu lassen. I.d.R. kennt der Benutzer auf diese Weise das lokale Adminpasswort nicht, da es beim ersten Runas per /savecred gespeichert wurde. Über diesen Admin-Explorer kann der Benutzer nun z.B. die Programme starten, die nur mit Adminrechten laufen, neue Software installieren, ACLs gradebiegen, Netzwerkeinstellungen anzupassen etc., ohne grundsätzlich mit Adminrechten zu arbeiten. Ganz ohne Adminrechte wenigstens für einen Teil der Benutzer geht es bei uns leider nicht, da die Struktur unserer Benutzer bzw. der von ihnen benötigten Anwendungen viel zu unterschiedlich ist (Wissenschaftler sind anstrengende Nutzer ;) ).

Fakt ist nun aber, daß sich die Exploer.exe schon seit Vista nicht mehr per "run as" als Admin starten lässt. Da frage ich mich: wie lösen andere Unternehmen dieses Problem? Soll der User das Adminpasswort jetzt doch wieder wissen und tausendfach tippen müssen? Muss ich (bzw. die jeweiligen Administratoren) "tausende" run-As-Links für die jeweiligen Anwendungen vorbereiten? Muss ich oder der jeweilige Admin jedesmal loslaufen, wenn Benutzer X das UAC-Fenster bekommt? Und was ist mit den viele unserer Wissenschaftler, die sich monatelang im Jemen oder in der Antarktis aufhalten? Da bleibt nur die Bekanntgabe des Adminpassworts und das tausendfache Tippen?!

Ich hab schon überlegt, einfach einen anderen Dateimanager zu installieren, und über diesen die für die "Power-User" gewohnte "run-As Explorer-Umgebung" wieder einzurichten. Aber ist das eine gute Lösung? Wie wird dieses Problem anderswo gelöst? Haben die Nutzer das Adminpasswort und tippen es? Haben nur die jeweiligen Admins das Passwort und laufen ständig los? Gibt es nur noch genormte Standardanwendungen? (Das ist bei uns einfach nicht möglich!)

Gruß - Nike
Mitglied: Chris85
14.10.2009 um 11:04 Uhr
Hi

Bin auch bei einer staatlichen Behörde. Wir setzen ein Fernwartungstool ein. Ich halte es für Falsch einfachen Benutzern auch nur im Explorer Admin-Rechte zu geben. Bei uns können Sich Personen selbst administrieren, jedoch können Sie dann keinen Support mehr in Anspruch nehmen.

Da ich wie schon erwähnt der Meinung bin, dass normale User überhaupt keine Admin-rechte bekommen sollen stellt sich für mich dieses Problem nicht.

Gruß

Chris
Bitte warten ..
Mitglied: Tommy70
14.10.2009 um 11:59 Uhr
Hallo,

wir arbeiten auch mit Fernwartungstools. Adminrechte hat bei uns kein User und wir haben auch viele unterschiedliche Anwendungen im Einsatz.
Wir haben es auch bisher immer geschafft Anwendungen, auch solche die laut Hersteller Adminrechte brauchen, mit normalen Benutzerrechten zum Laufen zu bringen.

Gruß
Tom
Bitte warten ..
Mitglied: DerWoWusste
20.10.2009 um 02:39 Uhr
Guten Morgen.
Bislang nutzten wir diese hübsche Möglichkeit um Benutzern auf Knopfdruck einen Explorer mit Adminrechten starten zu lassen. I.d.R. kennt der Benutzer auf diese Weise das lokale Adminpasswort nicht, da es beim ersten Runas per /savecred gespeichert wurde
Sicherheit ade. Über Euer savecred kann der Benutzer nun immer für alle beliebigen Programme Adminrechte nutzen, siehe http://www.derkeiler.com/Mailing-Lists/NT-Bugtraq/2003-07/0069.html - auch ohne dies Wissen ist das indiskutabel, denn der Explorer vererbt seine Rechte an alles, was Du über ihn startest. Spart Euch die Mühe, mit dem Sicherheitsbedarf scheint es ja nicht weit her zu sein, gebt doch allen Adminrechte.
Soviel zum Spott. Ich würde sagen, mit Adminrechten auf W7 fahrt Ihr wirklich besser als vorher ohne mit der "Krüppellösung" über den Explorer, denn Windows 7 und Vista haben die UAC - es wird grundsätzlich ohne Adminrechte gearbeitet.
Lass die Nutzer unterschreiben, dass Sie Adminrechte bekommen haben und Sie nur zu einem vorgesehenen Zweck nutzen werden.

Willst Du wirklich etwas Sauberes, dann musst Du erhebliche Klimmzüge machen. Installationen gemanagter Software userzugewiesen sind ja kein Thema, wie aber verfahren bei ungemanagter Software (reingereichte CDs)? Keine Chance.
Netzwerkeinstellungen verändern geht seit xp auch als User über die Gruppe Netzwerkkonfigurationsoperatoren.
Außerdem sollte man den Taskplaner kennen. Mit dem kann man gesichert hohe Rechte an den Nutzer übergeben - jedoch niemals interaktiv (sichtbar)! Somit nur in Skripten nutzbar.
Bitte warten ..
Mitglied: Indy06
10.11.2009 um 13:49 Uhr
Hallo!

Der Thread ist zwar schon ein bischen älter, aber ich finde das Thema schon noch interessant. Ich habe Vista ausgelassen und arbeite mich gerade in Windows 7 ein. Das man den Windows-Explorer hier nicht mehr mit administrativen Rechten starten kann (wie in Windows XP) empfinde ich schon als gewaltige Einschränkung. Nicht, dass ich meinen eingeschränkten Benutzern die Möglichkeit geben möchte, den Explorer mit Administratorrechten zu starten, aber gesetzt den Fall ich sitze als Administrator mit einem Anwender vor Ort an dessen PC, an den er sich als eingeschränkter Benutzer angemeldet hat. Wie kann ich jetzt auf Dateien zugreifen, die in einem lokalen Administratorprofil liegen, ohne den Benutzer extra abzumelden!? Und mehr noch: Gesetzt den Fall, ich habe den Benutzer jetzt abgemeldet und mich mit einem Administratorkonto im Administratorbestätigungsmodus angemeldet; wie kann ich jetzt Dateien in das Profil des Benutzers kopieren, ohne dass die UAC mein Administratorkonto extra in die ACL des Profilverzeichnisses des eingeschränkten Benutzer hinzufügt (sinngemäß: "Klicken Sie hier um *permanent* Zugriff zu erhalten"). Dieser zusätzliche Eintrag in die ACL ist nämlich total überflüssig, weil die Gruppe der Administratoren (zu denen jeder Administrator gehört) bereits Zugriff auf alle Profilverzeichnisse unterhalb von c:\users hat. Weil man den Explorer aber nicht mit Administratorrechten starten kann tritt man nicht als Mitglied dieser Gruppe auf und kann folglich auch nicht auf die Profilverzeichnisse anderer Benutzer zugreifen, ohne das die UAC den zusätzlichen Berechtigungseintrag in ACL schreibt.

Übersehe ich da etwas, oder wie kann man einfach Daten zwischen einem administrativen und einem eingeschränkten Profil austauschen?

Alles Gute,
Indy06
Bitte warten ..
Mitglied: DerWoWusste
10.11.2009 um 21:25 Uhr
Wie kann ich jetzt auf Dateien zugreifen, die in einem lokalen Administratorprofil liegen, ohne den Benutzer extra abzumelden!?
Einfach: Schreib \\client\c$ in die Adresszeile.
...Dieser zusätzliche Eintrag in die ACL ist nämlich total überflüssig...
Ja und? Er schadet aber auch niemandem. Willst Du ihn vermeiden, musst Du mit dem Konto Administrator arbeiten. Das hat auch bei eingeschalteter UAC keine Beschränkung.
Bitte warten ..
Mitglied: Indy06
11.11.2009 um 09:50 Uhr
Zitat von DerWoWusste:
Ja und? Er schadet aber auch niemandem.

Bist Du Dir da so sicher? Stell Dir mal vor der Benutzer "hans" ist ein Administrator und hat auf diesem Wege Zugriff auf das Profilverzeichnis des Benutzers "franz" bekommen (also durch einen zusätzlichen Eintrag in der ACL von c:\users\franz für den Benutzer "hans"). Jetzt hat "hans" aber Mist gebaut und ein anderer oder "der" Administrator stuft das Konto von "hans" zu einem eingeschränkten Benutzer herunter. Rate mal, worauf "hans" nun immer noch Zugriff hat, obwohl er kein Administrator mehr ist! Richtig, auf c:\users\franz! Findest Du das sinnvoll?

Gruß,
Inddy06
Bitte warten ..
Mitglied: DerWoWusste
11.11.2009 um 10:26 Uhr
Du hast Recht, das habe ich nicht bedacht, da wir nie Admins degradiert haben bislang.
Nun gut, es gibt ja den genannten Umweg. Ein weiterer Umweg wäre ein hochgestufter Dateiexplorer, wie zum Beispiel Total Commander. Als letzter, wenn auch unschöner Umweg: Nimm ein x-beliebiges Programm und stuf das hoch und nutze den Datei-Öffnen-Dialog als Dateibrowser.
Bitte warten ..
Mitglied: Indy06
11.11.2009 um 10:40 Uhr
Zitat von DerWoWusste:
Du hast Recht, das habe ich nicht bedacht, da wir nie Admins
degradiert haben bislang.

Sicher, ist ein konstruierter Fall, aber wahrscheinlich fangen alle Sicherheitslücken so an. Dagegen ist mir unklar welchen Sicherheitsgewinn es bringt, wenn der Explorer nicht mehr unter einem anderen Benutzer gestartet werden kann....

Gruß,
Indy06
Bitte warten ..
Mitglied: DerWoWusste
11.11.2009 um 11:33 Uhr
Dagegen ist mir unklar welchen Sicherheitsgewinn es bringt, wenn der Explorer nicht mehr unter einem anderen Benutzer gestartet werden kann....
Kannst Du bei MS nachlesen - sie wollen somit keine elevation of privilege erleichtern. Das gleiche gilt auch für den IE.
Bitte warten ..
Ähnliche Inhalte
Batch & Shell

CMD Mit runas explorer.exe ohne lokale ADM Rechte starten

gelöst Frage von Borob14Batch & Shell5 Kommentare

Hi zusammen, gibt es einen Syntax für Runas um den Explorer ohne lokale ADM Rechte zu starten? Habe einiges ...

Windows 7

Windows Prozess explorer.exe funktioniert nicht mehr

gelöst Frage von Syber07Windows 76 Kommentare

Hallo, ich habe folgendes Problem: der Prozess "explorer.exe" funktioniert nicht mehr. Sobald ich mich einlogge erscheint nur ein schwarzer ...

Windows Server

Audit RunAS Administrator

Frage von Woznafi01Windows Server7 Kommentare

Hallo, ich möchte gerne in meinem Unternehmen das Protokollieren des RunAS Administrator/RunAS anderen Benutzer aktivieren bzw. filtern. Mein Ziel: ...

Windows 10

Phänomen von Windows 10 runas

gelöst Frage von DerWoWussteWindows 1012 Kommentare

Moin Kollegen. Eigentlich zu früh am Nachmittag für Denksport, ich versuch's trotzdem: Ich habe hier meine administrative Workstation, (Win10 ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 11 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 22 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 22 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 22 StundenHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux25 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server14 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

Hardware
Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall
Information von kgbornHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...