Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ausführen von .exe ohne Admin-Rechte unter Windows 7

Frage Microsoft Windows Installation

Mitglied: one0yet

one0yet (Level 1) - Jetzt verbinden

29.11.2011 um 08:48 Uhr, 21138 Aufrufe, 16 Kommentare

Wir stellen im Unternehmen auf Windows 7 um. Die Mitarbeiter sollen keine Adminberechtigungen mehr bekommen, wie dies noch unter Windows XP der Fall war. Unser Problem besteht jetzt noch beim ausführen von benötigten .exe Dateien, welche keine Installation durchführen, sondern einfach nur die Anwendung direkt startet.

Guten Tag

Unser Ziel mit der Migration auf Windows 7 ist v.a. die Rechte der Mitarbeiter einzuschränken. Leider besteht hierbei ein Problem, wobei gewisse .exe Dateien sowie eine Java-Anwendung nicht gestartet werden kann, da dies ohne Admin-Rechte nicht zu funktionieren scheint. Bei der Java-Anwendung erscheint die Fehlermeldung "java.io.ioexception:zugriff verweigert".

Die Frage ist nun; Kann man bestimmte .exe Dateien über GPO so zulassen, dass diese vom Benutzer ohne Admin-Rechte ausgeführt werden kann? Mit Hashregeln haben wir's nicht hingekriegt, gibt es da etwas bestimmtes wo man drauf achten sollte? Oder hat sonst jemand schonmal Erfahrungen zu diesem Thema gesammelt?

Wir sind für eine rasche Antwort sehr dankbar.

Besten Dank und freundliche Grüsse

one0yet
Mitglied: nikoatit
29.11.2011 um 09:22 Uhr
Moin,

ich verstehe das Problem nicht so ganz....
Wenn das Programm einmal installiert ist, dann können deine User das ganz normal starten...Und das sind in den meisten Fällen .exe-Dateien
Oder denkst du jeder MS Office-Nutzer muss Adminrechte haben, damit er es benutzen kann?
Und ganz ehrlich....Wenn ein Programm (für Nicht-Admins bestimmt) wirklich Adminrechte zwingend für die Ausführung benötigt, dann würde ich mich aber ganz schnell von dieser Fehlkonstruktion trennen...

Gruß
Bitte warten ..
Mitglied: one0yet
29.11.2011 um 09:34 Uhr
Hallo nikoatit, danke für die Antwort.

Das Problem ist, dass diese .exe Anwendung keine Installation durchführt, sondern die gesamte Anwendung besteht aus diese .exe. Es handelt sich um ein Firmware-Update Tool für Drucker.

Unter folgendem Link ist das Tool verfügbar: http://welcome.solutions.brother.com/bsc/public/eu/ch/de/dlf/dlf/000000 ...

Wir sind mittlerweile mit unserem Latein am Ende.

Beste Grüsse
Bitte warten ..
Mitglied: Connor1980
29.11.2011 um 09:36 Uhr
Hi,

manchmal genügt es ein Programm einmalig als Administrator zu starten, damit bestimmte Registry-Einträge geschrieben oder Dateien manipuliert werden, manchmal muss man für die Registry Einträge oder Dateien, die für dieses Programm benötigt werden, aber auch dauerhaft die Rechte anpassen. Hier würde ich ansetzen und mal schauen, was denn genau benötigt wird.

Als letztes bliebe noch diese .exe Dateien über den Aufgabenplaner als Administrator zu starten, dann brauchen die Mitarbeiter keine Passwörter zu erfahren, ist aber auch nicht ganz unkritisch.

Grüße
Bitte warten ..
Mitglied: nikoatit
29.11.2011 um 09:50 Uhr
Eine Frage noch...Braucht ihr das Tool auf jedem Rechner?
Ich meine ihr werdet doch nicht an jedem Rechner tagtäglich ein Update einer Druckerfirmware durchführen oder?
Wenn nicht, dann könntet ihr auch einen Stand-Alone-PC mit lokalen Admin betreiben, der für die Updates zuständig ist.
Der solltet natürlich vom restlichen Netz abgeschirmt werden mit z.B. VLAN oder besser eigenem Internetzugang oder oder oder...
Bitte warten ..
Mitglied: one0yet
29.11.2011 um 10:16 Uhr
Hallo zusammen

Danke für die Inputs.

Leider benötigt das Tool bei jedem Start das Admin-Kennwort. Den Tipp mit dem Registry-Eintrag werde ich verfolgen, mal schauen ob ich einen solchen Eintrag dazu finde.
Ich habe bereits die Anwendung mit runas /savecred ohne Nachfrage vom Admin-Kennwort starten können, jedoch ist dies, wie beim Aufgabenplaner, nicht ganz unkritisch, da das Admin-Passwort im System hinterlegt wird und jemand der einigermassen gute mit CMD hat, jede .exe als Administrator starten könnte.

@nikoatit: Die PC's werden im Service-Center eingesetzt, wo Druckergeräte etc. repariert werden. Jedes Gerät wird dann auch jeweils auf die neueste Firmware aktualisiert, daher benötigt jede Arbeitsstation die Anwendung mehrmals täglich. Es wäre ein zu grosser Umtrieb, wenn alle Techniker jeweils am Stand-Alone-PC ein Firmware-Update durchführen müssten.

Kennt sich einer von euch mit Hashregeln aus?

Grüsse
Bitte warten ..
Mitglied: DerWoWusste
29.11.2011 um 10:22 Uhr
Hi.
Kennt sich einer von euch mit Hashregeln aus?
Sag, wovon Du sprichst. Es gibt keinen offiziellen Sprachgebrauch "Hashregeln" unter Windows. Du könntest Softwareeinschränkungsrichtlinien/Applocker meinen, da gibt es Hashregeln, aber die haben mit der Lösung Deines Problems nichts zu tun.

Du solltest über den Einsatz von http://www.beyondtrust.com/Products/PowerBroker-Desktops-Windows-Editio ... nachdenken. Mit Bordmitteln gibt es keinen Weg, wirklich gar keinen, der sicher ist, es sei denn, Du kannst rausfinden, was das Programm denn benötigt (Schreibzugriff auf Registrypfade/Dateipfade) und kannst das für den User anpassen. Dabei hilft einem procmon oft weiter (Monitoren und das Log nach "access denied" durchsuchen).
Versuche auch die Hersteller der Programme dazu zu befragen oder deren FAQs zu lesen.
Bitte warten ..
Mitglied: one0yet
29.11.2011 um 10:33 Uhr
Hey

Ich spreche von dem hier:http://social.technet.microsoft.com/Forums/en-SG/winserverGP/thread/8e0 ...

"Scenario 1:
Assuming there is only one specific .exe that published on all clients.

1. In Group Policy Editor, expand to Computer Configuration->Windows Settings->Security Settings->Software Restriction Policies.
2. Right-click Additional Rules, and then click New Hash Rule.
3. Click Browse to find a file, or paste a precalculated hash in the File hash box.
4. In the Security level box, click Unrestricted.
5. In the Description box, type a description for this rule, and then click OK."

Diese Prozedur schien perfekt, nur funktioniert sie bis anhin noch nicht..
Ich suche noch nach den Registry Einträgen.

Gruss
Bitte warten ..
Mitglied: DerWoWusste
29.11.2011 um 10:43 Uhr
Was hat denn diese Prozedur (ist genau die, an die ich dachte) mit Deinem Problem zu tun? Das ist restriction=Einschränkung und nicht eine Erlaubnis.
Bitte warten ..
Mitglied: one0yet
29.11.2011 um 10:46 Uhr
Nein, das sollte diese Prozedur ja eben umgehen.

=> "Under Domain Controller Group Policies, the execute program ".exe" is not allowed in the domain.
Are there any ways to RUN the program ".exe" without admin right?"

Antwort vom Admin:
"From your description, I understand that the execute program is not allowed to run in the domain, but you would like to run some burning disc program without administrator privilege.

..... 4. In the Security level box, click Unrestricted."

Dies sollte ja eben dazu führen, dass die .exe ohne Admin-Rechte ausgeführt werden kann. Aber kann sein, dass dies nur bis WinXP funktioniert.
Bitte warten ..
Mitglied: DerWoWusste
29.11.2011 um 11:04 Uhr
Glaub mir ruhig. Unrestricted heißt hier "nicht noch weiter als ohnehin schon eingeschränkt" und nicht etwa erlaubt. Lass die Finger von den Restrictions, Du verschwendest Deine Zeit.
Bitte warten ..
Mitglied: one0yet
29.11.2011 um 13:43 Uhr
Okay.. Mal schauen ob wir sonst eine gescheite Lösung finden. Das Problem ist, dass hier viele Computer vorbereitet werden müssen und daher eine lokale Registryanpassung etwas umständlich wäre.

Danke trotzdem für die Tipp's

Grüsse
Bitte warten ..
Mitglied: DerWoWusste
29.11.2011 um 14:12 Uhr
Das Problem ist, dass hier viele Computer vorbereitet werden müssen und daher eine lokale Registryanpassung etwas umständlich wäre.
Das ist doch mit GPO-Einstellungen kein Problem mehr. Schau Dir auch mal das verlinkte Powerbroker-Produkt an, es kann mehr als Windows selbst bietet: einzelne Programme können vom Nutzer mit erweiterten Rechten gestartet werden und dennoch kann der Nutzer nicht aus ihnen ausbrechen.
Bitte warten ..
Mitglied: one0yet
28.08.2012 um 09:43 Uhr
Beim vorbeischauen, ist mir aufgefallen, dass ich unsere Lösung nicht mehr mitgeteilt habe. Hier trotzdem noch für Googler etc.

Ohne zusätzlichen Kostenaufwand war es leider nicht möglich, unser Wunsch .exe Files freizugeben zu erfüllen. Nach einer Evaluation von Powerbrooker haben wir uns dagegen entschieden (danke Trotzdem DerWoWusste). Nun haben wir der dem SC als einzige Abteilung Admin-Rechte gegeben, jedoch mit entsprechendem Report. Nun erhalten wir jede Woche einen Report von Spiceworks, welche Programme wo installiert wurden. Auf diese Weise können wir das geschehen trotzdem noch im Auge behalten. Ja, uns ist bewusst das Portable-Apps nicht aufgeführt werden.

Sollte nur als Info dienen, falls dies noch jemanden interessieren sollte.

Beste Grüsse
Bitte warten ..
Mitglied: DerWoWusste
28.08.2012 um 11:03 Uhr
Besser spät als nie... ;)

Und warum habt Ihr PB nicht gewollt?
Bitte warten ..
Mitglied: one0yet
30.08.2012 um 14:26 Uhr
Diese Frage kann ich dir ehrlichgesagt nicht genau beantworten. Die Evaluation ist nicht bei uns selbst, sondern bei unserem europäischen Hauptsitz durchgeführt worden. Die Software wurde dort abgelehnt. Da europaweit alle DC replizieren, ist eine einheitliche Infrastruktur erwünscht. Ich vermute, dass der Aufwand zu gross gewesen wäre, PB in allen Ländern europaweit zu integrieren. Stattdessen haben wir nun mit Admin-Rechte und entsprechender Überwachung das Ganze umgehen können.
Bitte warten ..
Mitglied: andreassch
08.06.2016 um 09:30 Uhr
wie hast du das genau geregelt habe leider das gleiche problem.
Danke für deine Antwort
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows 7
Dataline Office benötigt zum starten Admin-Rechte (3)

Frage von ingoue zum Thema Windows 7 ...

Windows Userverwaltung
Domain Admin Rechte auf FileServer (3)

Frage von BlueShadow9 zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...