Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RunAs Explorer.exe funktioniert mit Vista und Windows7 nicht mehr - aber wie dann?

Frage Microsoft Windows Userverwaltung

Mitglied: nike1972

nike1972 (Level 1) - Jetzt verbinden

14.10.2009, aktualisiert 10:54 Uhr, 9871 Aufrufe, 9 Kommentare

Seit Vista und somit auch im neuen Windows 7 kann man die Explorer.exe nicht mehr über "Run As" mit Adminrechten starten lassen. Was sind dann die Alternativen um in großen Unternehmen ausgewählten Benutzern zeitweise Adminrechte zu verschaffen?

Moinmoin,

wir müssen bei uns im "Amt" (eine wissenschaftliche Behörde mit ~1.400 PCs) früher oder später auf Windows 7 umsteigen. Momentan laufen die allermeisten Rechner allerdings noch auf Windows XP und wir testen grade Stück für Stück das neue Windows.

Als bislang grösste Hürde erscheint uns das Verhalten von "Run As". Bislang nutzten wir diese hübsche Möglichkeit um Benutzern auf Knopfdruck einen Explorer mit Adminrechten starten zu lassen. I.d.R. kennt der Benutzer auf diese Weise das lokale Adminpasswort nicht, da es beim ersten Runas per /savecred gespeichert wurde. Über diesen Admin-Explorer kann der Benutzer nun z.B. die Programme starten, die nur mit Adminrechten laufen, neue Software installieren, ACLs gradebiegen, Netzwerkeinstellungen anzupassen etc., ohne grundsätzlich mit Adminrechten zu arbeiten. Ganz ohne Adminrechte wenigstens für einen Teil der Benutzer geht es bei uns leider nicht, da die Struktur unserer Benutzer bzw. der von ihnen benötigten Anwendungen viel zu unterschiedlich ist (Wissenschaftler sind anstrengende Nutzer ;) ).

Fakt ist nun aber, daß sich die Exploer.exe schon seit Vista nicht mehr per "run as" als Admin starten lässt. Da frage ich mich: wie lösen andere Unternehmen dieses Problem? Soll der User das Adminpasswort jetzt doch wieder wissen und tausendfach tippen müssen? Muss ich (bzw. die jeweiligen Administratoren) "tausende" run-As-Links für die jeweiligen Anwendungen vorbereiten? Muss ich oder der jeweilige Admin jedesmal loslaufen, wenn Benutzer X das UAC-Fenster bekommt? Und was ist mit den viele unserer Wissenschaftler, die sich monatelang im Jemen oder in der Antarktis aufhalten? Da bleibt nur die Bekanntgabe des Adminpassworts und das tausendfache Tippen?!

Ich hab schon überlegt, einfach einen anderen Dateimanager zu installieren, und über diesen die für die "Power-User" gewohnte "run-As Explorer-Umgebung" wieder einzurichten. Aber ist das eine gute Lösung? Wie wird dieses Problem anderswo gelöst? Haben die Nutzer das Adminpasswort und tippen es? Haben nur die jeweiligen Admins das Passwort und laufen ständig los? Gibt es nur noch genormte Standardanwendungen? (Das ist bei uns einfach nicht möglich!)

Gruß - Nike
Mitglied: Chris85
14.10.2009 um 11:04 Uhr
Hi

Bin auch bei einer staatlichen Behörde. Wir setzen ein Fernwartungstool ein. Ich halte es für Falsch einfachen Benutzern auch nur im Explorer Admin-Rechte zu geben. Bei uns können Sich Personen selbst administrieren, jedoch können Sie dann keinen Support mehr in Anspruch nehmen.

Da ich wie schon erwähnt der Meinung bin, dass normale User überhaupt keine Admin-rechte bekommen sollen stellt sich für mich dieses Problem nicht.

Gruß

Chris
Bitte warten ..
Mitglied: Tommy70
14.10.2009 um 11:59 Uhr
Hallo,

wir arbeiten auch mit Fernwartungstools. Adminrechte hat bei uns kein User und wir haben auch viele unterschiedliche Anwendungen im Einsatz.
Wir haben es auch bisher immer geschafft Anwendungen, auch solche die laut Hersteller Adminrechte brauchen, mit normalen Benutzerrechten zum Laufen zu bringen.

Gruß
Tom
Bitte warten ..
Mitglied: DerWoWusste
20.10.2009 um 02:39 Uhr
Guten Morgen.
Bislang nutzten wir diese hübsche Möglichkeit um Benutzern auf Knopfdruck einen Explorer mit Adminrechten starten zu lassen. I.d.R. kennt der Benutzer auf diese Weise das lokale Adminpasswort nicht, da es beim ersten Runas per /savecred gespeichert wurde
Sicherheit ade. Über Euer savecred kann der Benutzer nun immer für alle beliebigen Programme Adminrechte nutzen, siehe http://www.derkeiler.com/Mailing-Lists/NT-Bugtraq/2003-07/0069.html - auch ohne dies Wissen ist das indiskutabel, denn der Explorer vererbt seine Rechte an alles, was Du über ihn startest. Spart Euch die Mühe, mit dem Sicherheitsbedarf scheint es ja nicht weit her zu sein, gebt doch allen Adminrechte.
Soviel zum Spott. Ich würde sagen, mit Adminrechten auf W7 fahrt Ihr wirklich besser als vorher ohne mit der "Krüppellösung" über den Explorer, denn Windows 7 und Vista haben die UAC - es wird grundsätzlich ohne Adminrechte gearbeitet.
Lass die Nutzer unterschreiben, dass Sie Adminrechte bekommen haben und Sie nur zu einem vorgesehenen Zweck nutzen werden.

Willst Du wirklich etwas Sauberes, dann musst Du erhebliche Klimmzüge machen. Installationen gemanagter Software userzugewiesen sind ja kein Thema, wie aber verfahren bei ungemanagter Software (reingereichte CDs)? Keine Chance.
Netzwerkeinstellungen verändern geht seit xp auch als User über die Gruppe Netzwerkkonfigurationsoperatoren.
Außerdem sollte man den Taskplaner kennen. Mit dem kann man gesichert hohe Rechte an den Nutzer übergeben - jedoch niemals interaktiv (sichtbar)! Somit nur in Skripten nutzbar.
Bitte warten ..
Mitglied: Indy06
10.11.2009 um 13:49 Uhr
Hallo!

Der Thread ist zwar schon ein bischen älter, aber ich finde das Thema schon noch interessant. Ich habe Vista ausgelassen und arbeite mich gerade in Windows 7 ein. Das man den Windows-Explorer hier nicht mehr mit administrativen Rechten starten kann (wie in Windows XP) empfinde ich schon als gewaltige Einschränkung. Nicht, dass ich meinen eingeschränkten Benutzern die Möglichkeit geben möchte, den Explorer mit Administratorrechten zu starten, aber gesetzt den Fall ich sitze als Administrator mit einem Anwender vor Ort an dessen PC, an den er sich als eingeschränkter Benutzer angemeldet hat. Wie kann ich jetzt auf Dateien zugreifen, die in einem lokalen Administratorprofil liegen, ohne den Benutzer extra abzumelden!? Und mehr noch: Gesetzt den Fall, ich habe den Benutzer jetzt abgemeldet und mich mit einem Administratorkonto im Administratorbestätigungsmodus angemeldet; wie kann ich jetzt Dateien in das Profil des Benutzers kopieren, ohne dass die UAC mein Administratorkonto extra in die ACL des Profilverzeichnisses des eingeschränkten Benutzer hinzufügt (sinngemäß: "Klicken Sie hier um *permanent* Zugriff zu erhalten"). Dieser zusätzliche Eintrag in die ACL ist nämlich total überflüssig, weil die Gruppe der Administratoren (zu denen jeder Administrator gehört) bereits Zugriff auf alle Profilverzeichnisse unterhalb von c:\users hat. Weil man den Explorer aber nicht mit Administratorrechten starten kann tritt man nicht als Mitglied dieser Gruppe auf und kann folglich auch nicht auf die Profilverzeichnisse anderer Benutzer zugreifen, ohne das die UAC den zusätzlichen Berechtigungseintrag in ACL schreibt.

Übersehe ich da etwas, oder wie kann man einfach Daten zwischen einem administrativen und einem eingeschränkten Profil austauschen?

Alles Gute,
Indy06
Bitte warten ..
Mitglied: DerWoWusste
10.11.2009 um 21:25 Uhr
Wie kann ich jetzt auf Dateien zugreifen, die in einem lokalen Administratorprofil liegen, ohne den Benutzer extra abzumelden!?
Einfach: Schreib \\client\c$ in die Adresszeile.
...Dieser zusätzliche Eintrag in die ACL ist nämlich total überflüssig...
Ja und? Er schadet aber auch niemandem. Willst Du ihn vermeiden, musst Du mit dem Konto Administrator arbeiten. Das hat auch bei eingeschalteter UAC keine Beschränkung.
Bitte warten ..
Mitglied: Indy06
11.11.2009 um 09:50 Uhr
Zitat von DerWoWusste:
Ja und? Er schadet aber auch niemandem.

Bist Du Dir da so sicher? Stell Dir mal vor der Benutzer "hans" ist ein Administrator und hat auf diesem Wege Zugriff auf das Profilverzeichnis des Benutzers "franz" bekommen (also durch einen zusätzlichen Eintrag in der ACL von c:\users\franz für den Benutzer "hans"). Jetzt hat "hans" aber Mist gebaut und ein anderer oder "der" Administrator stuft das Konto von "hans" zu einem eingeschränkten Benutzer herunter. Rate mal, worauf "hans" nun immer noch Zugriff hat, obwohl er kein Administrator mehr ist! Richtig, auf c:\users\franz! Findest Du das sinnvoll?

Gruß,
Inddy06
Bitte warten ..
Mitglied: DerWoWusste
11.11.2009 um 10:26 Uhr
Du hast Recht, das habe ich nicht bedacht, da wir nie Admins degradiert haben bislang.
Nun gut, es gibt ja den genannten Umweg. Ein weiterer Umweg wäre ein hochgestufter Dateiexplorer, wie zum Beispiel Total Commander. Als letzter, wenn auch unschöner Umweg: Nimm ein x-beliebiges Programm und stuf das hoch und nutze den Datei-Öffnen-Dialog als Dateibrowser.
Bitte warten ..
Mitglied: Indy06
11.11.2009 um 10:40 Uhr
Zitat von DerWoWusste:
Du hast Recht, das habe ich nicht bedacht, da wir nie Admins
degradiert haben bislang.

Sicher, ist ein konstruierter Fall, aber wahrscheinlich fangen alle Sicherheitslücken so an. Dagegen ist mir unklar welchen Sicherheitsgewinn es bringt, wenn der Explorer nicht mehr unter einem anderen Benutzer gestartet werden kann....

Gruß,
Indy06
Bitte warten ..
Mitglied: DerWoWusste
11.11.2009 um 11:33 Uhr
Dagegen ist mir unklar welchen Sicherheitsgewinn es bringt, wenn der Explorer nicht mehr unter einem anderen Benutzer gestartet werden kann....
Kannst Du bei MS nachlesen - sie wollen somit keine elevation of privilege erleichtern. Das gleiche gilt auch für den IE.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 10
Explorer.exe stürzt bei Win 10 1607 ständig ab (5)

Frage von fluluk zum Thema Windows 10 ...

Windows 7
Bei einem User kommt immer Explorer.exe hat einen Fehler (5)

Frage von Stefan007 zum Thema Windows 7 ...

Windows 10
gelöst Windows 10 Explorer.exe friert bei aufruf von Netzlaufwerken ein (6)

Frage von Hanuta zum Thema Windows 10 ...

Windows Server
gelöst Windows-Explorer funktioniert nicht mehr Windows Server 2008 R2 (4)

Frage von Zeus0815 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...