15
Als Standarduser Programme als Admin starten
Hallo zusammen,
im Unternehmen haben wir eine kleine Hürde. Undzwar möchten wir aus Sicherheitsgründen dass jeder User Standarduser ist. Allerdings benötigen paar Programme Adminrechte um zu starten. Der momentane Zustand ist, dass wir jedes mal zum Kollegen hingehen und unsere Daten eingeben müssen der die Rechte benötigt. Manche mussten wir auch wieder lokale Adminrechte geben.
Unsere Vorstellung ist das ganze aus der ferne zu steuern und freizugeben. Da alle Benutzer im AD sind, sollte es ein Tool sein das man zentral steuern kann.
Leider suche ich schon seit längeren nach einer Lösung und hoffe das ihr mir weiterhelfen könnt.
Gruß
im Unternehmen haben wir eine kleine Hürde. Undzwar möchten wir aus Sicherheitsgründen dass jeder User Standarduser ist. Allerdings benötigen paar Programme Adminrechte um zu starten. Der momentane Zustand ist, dass wir jedes mal zum Kollegen hingehen und unsere Daten eingeben müssen der die Rechte benötigt. Manche mussten wir auch wieder lokale Adminrechte geben.
Unsere Vorstellung ist das ganze aus der ferne zu steuern und freizugeben. Da alle Benutzer im AD sind, sollte es ein Tool sein das man zentral steuern kann.
Leider suche ich schon seit längeren nach einer Lösung und hoffe das ihr mir weiterhelfen könnt.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 263984
Url: https://administrator.de/contentid/263984
Printed on: April 23, 2024 at 22:04 o'clock
15 Comments
Latest comment
Hi,
die Lösung ist, herauszubekommen, warum das Programm nicht funktioniert, wenn man kein Administrator ist. Also wo es schreiben will aber nicht darf.
Das wurde hier schon oft gefragt und beantwortet. z.B. hier
E.
die Lösung ist, herauszubekommen, warum das Programm nicht funktioniert, wenn man kein Administrator ist. Also wo es schreiben will aber nicht darf.
Das wurde hier schon oft gefragt und beantwortet. z.B. hier
E.
Huhu,
gibt mehrere Möglichkeiten. Wenn es immer das gleiche Programm ist: pcwRunAs von PCWelt. Das kannst du einmal installieren und dem User damit einen Link auf dem Desktop anlegen womit er das Programm als Admin startet, das Admin-Pw aber nicht sehen kann.
Eine Lösung mit der man ein spez. Programm als Admin starten kann ohne Adminrechte zu haben die über das AD gesteuert wird, ist mir nicht bekannt.
Gruß
BBfreak
gibt mehrere Möglichkeiten. Wenn es immer das gleiche Programm ist: pcwRunAs von PCWelt. Das kannst du einmal installieren und dem User damit einen Link auf dem Desktop anlegen womit er das Programm als Admin startet, das Admin-Pw aber nicht sehen kann.
Eine Lösung mit der man ein spez. Programm als Admin starten kann ohne Adminrechte zu haben die über das AD gesteuert wird, ist mir nicht bekannt.
Gruß
BBfreak
Guten Abend,
Gruß,
Dani
Allerdings benötigen paar Programme Adminrechte um zu starten.
Kannst du die Programme nennen. Vllt. hat der eine oder andere hier schon einen Lösung parat und kennt noch einen anderen Weg.Gruß,
Dani
Hi.
3 Wege:
A Programm durch ordentliches Programm, welches keine Adminrechte benötigt, ersetzen.
B Anmeldeinformationen eines Admins übergeben (runas /savecred, diverse Tools, die meinen, dieses Kennwort verschleiern zu müssen) - alles unsicher... nur einsetzen, wenn auf Sicherheit kein Wert gelegt wird
C Ein Produkt wie Powerbroker Desktop kaufen, das in der Tat einzelne Programme mit anderen Rechten und dennoch abgeschirmt gegen den Rest starten kann. www.beyondtrust.com/Products/PowerBrokerforWindows/
3 Wege:
A Programm durch ordentliches Programm, welches keine Adminrechte benötigt, ersetzen.
B Anmeldeinformationen eines Admins übergeben (runas /savecred, diverse Tools, die meinen, dieses Kennwort verschleiern zu müssen) - alles unsicher... nur einsetzen, wenn auf Sicherheit kein Wert gelegt wird
C Ein Produkt wie Powerbroker Desktop kaufen, das in der Tat einzelne Programme mit anderen Rechten und dennoch abgeschirmt gegen den Rest starten kann. www.beyondtrust.com/Products/PowerBrokerforWindows/
Guten Abend,
Prüf' doch mal ob dieses Programm ggf. nur Schreibrechte in einem Systemordner (z.B. C:\Programme (x86)\Programmname\ ) benötigt. Dann kannst Du diesen Ordner mit Schreibrechten für den/die User versehen.
Ja leider gibt es solche ver... Programme. Sind teilweise den Auftragnehmern von Behörden bundesweit vorgeschrieben. Haben wir auch. Oder: Müssen wir auch haben. Bis zur Vorletzten Version war der Programmpfad = C:\Programmname\ . hat Windows nicht gestört. Jetzt: C:\Programme (x86)\Programmname\
Gruß
Holger
Prüf' doch mal ob dieses Programm ggf. nur Schreibrechte in einem Systemordner (z.B. C:\Programme (x86)\Programmname\ ) benötigt. Dann kannst Du diesen Ordner mit Schreibrechten für den/die User versehen.
Ja leider gibt es solche ver... Programme. Sind teilweise den Auftragnehmern von Behörden bundesweit vorgeschrieben. Haben wir auch. Oder: Müssen wir auch haben. Bis zur Vorletzten Version war der Programmpfad = C:\Programmname\ . hat Windows nicht gestört. Jetzt: C:\Programme (x86)\Programmname\
Gruß
Holger
Zitat von @DerWoWusste:
[...]
C Ein Produkt wie Powerbroker Desktop kaufen, das in der Tat einzelne Programme mit anderen Rechten und dennoch abgeschirmt gegen
den Rest starten kann. www.beyondtrust.com/Products/PowerBrokerforWindows/
[...]
C Ein Produkt wie Powerbroker Desktop kaufen, das in der Tat einzelne Programme mit anderen Rechten und dennoch abgeschirmt gegen
den Rest starten kann. www.beyondtrust.com/Products/PowerBrokerforWindows/
Hi,
den Tipp bzgl. Powerbroker habe ich aus anderen Forenbeiträgen bereits erhalten. In der Tat habe ich schon bereits Testlizensen angefordert und das ganze in meine virtuelle Testumgebung eingesetzt. Nur kam ich dann nicht mehr so wirklich weiter wie man das ganze umsetzt.
Hast du damit schonmal gearbeitet? Ist das Zentral steuerbar, oder muss das ganze bei jedem installiert und eingerichtet werden?
Danke schonmal für die Antwort, Gruß
Habe damit mal gearbeitet und konnte ohne große Doku binnen kürzester Zeit sehen, dass es das kann, was es verspricht. Ja, ist per GPO steuerbar.
Ok, dann versuche ich mich weiter dran. Bin erst im ersten Ausbildungsjahr, weshalb ich mich da noch ein wenig schwer tue 
Hi FishermansFriend
hi Dilbert , hi DerWoWusste,
manche der für frühere Windowsversionen gemachten und für Vista aufwärts ungeigneten Programme lassen sich relativ einfach ohne Änderung (=Ausweitung) der Userrechte betreiben, wenn man sie statt in den Defaultpfad C:\Programs (x86)\ ... in einem Pfad wie C:\OLDAPPS\... installiert. Dort hält Windows rechtemäßig nicht den Daumen drauf und die Programme können dort schön lesen und schreiben.
Damit sind wir zwar wieder gefühlsmäßig in die Ordnerstruktur der 386er Ära zurückgekehrt, aber der Vorteil hiervon ist klar:
- Installation als Admin durch den Admin (und nur durch den)
- Betrieb durch den User ohne Adminrechte möglich
- kein unnötiges Verbiegen der Sicherheitsrichtlinien
- wenn nicht anderweitig erforderlich auch keine Notwendigkeit von Virtuellen Maschinen .
Gruß Peter
hi Dilbert , hi DerWoWusste,
manche der für frühere Windowsversionen gemachten und für Vista aufwärts ungeigneten Programme lassen sich relativ einfach ohne Änderung (=Ausweitung) der Userrechte betreiben, wenn man sie statt in den Defaultpfad C:\Programs (x86)\ ... in einem Pfad wie C:\OLDAPPS\... installiert. Dort hält Windows rechtemäßig nicht den Daumen drauf und die Programme können dort schön lesen und schreiben.
Damit sind wir zwar wieder gefühlsmäßig in die Ordnerstruktur der 386er Ära zurückgekehrt, aber der Vorteil hiervon ist klar:
- Installation als Admin durch den Admin (und nur durch den)
- Betrieb durch den User ohne Adminrechte möglich
- kein unnötiges Verbiegen der Sicherheitsrichtlinien
- wenn nicht anderweitig erforderlich auch keine Notwendigkeit von Virtuellen Maschinen .
Gruß Peter
Hi,
Du widersprichst Dir selbst!
Indem Du einen "anderen" Ordner wählst, mit der Absicht, dort andre ACLs zu haben, nimmst Du Einfluss auf die Rechte des Users.
Und - es macht keinen Unterschied, ob mein einen neuen Stamm für Programme anfängt, und dann dort passende ACLs vergibt, oder diese ACL im C:\ProgramFiles(x86)\BlaBlaBla
E.
Du widersprichst Dir selbst!
Indem Du einen "anderen" Ordner wählst, mit der Absicht, dort andre ACLs zu haben, nimmst Du Einfluss auf die Rechte des Users.
Und - es macht keinen Unterschied, ob mein einen neuen Stamm für Programme anfängt, und dann dort passende ACLs vergibt, oder diese ACL im C:\ProgramFiles(x86)\BlaBlaBla
E.
Hi, danke,
na ich verwende dort keine anderen Rechte. Nur Windows sperrt nicht von vorneherein den Zugriff wie in (x86) etc.
Gruß P.
na ich verwende dort keine anderen Rechte. Nur Windows sperrt nicht von vorneherein den Zugriff wie in (x86) etc.
Gruß P.
Nur Windows sperrt nicht von vorneherein den Zugriff wie in (x86) etc.
Wo hast Du denn das her?E.
Hallo E.
Alte 32 bit Beispielanwendung für NT, 2000, XP entwickelt landet unter XP oder 2003 in C:\program files (x86)\
Dort will das Programm lesen und schreiben. Bis XP / 2003 incl. kein Problem, auch für Standardbenutzer.
Wenn der Entwickler seine Software nicht auf Vista aufwärts angepaßt hat, kann es vorkommen, daß bei einer Installation in den Default Pfad (x86) das Schreiben in dort abgelegte Programmeinstellungen (INI ...) aufgrund mangelnder Rechte nicht funktioniert. Es war ausdrücklich von schlecht angepaßter Software die Rede.
Natürlich könnte man das mit RunAs oder Änderungen der Rechte etc. lösen. Aber der Erstposter schrieb ja was von Sicherheit.
Nebendran installiert, funktioniert.
Gruß P.
Alte 32 bit Beispielanwendung für NT, 2000, XP entwickelt landet unter XP oder 2003 in C:\program files (x86)\
Dort will das Programm lesen und schreiben. Bis XP / 2003 incl. kein Problem, auch für Standardbenutzer.
Wenn der Entwickler seine Software nicht auf Vista aufwärts angepaßt hat, kann es vorkommen, daß bei einer Installation in den Default Pfad (x86) das Schreiben in dort abgelegte Programmeinstellungen (INI ...) aufgrund mangelnder Rechte nicht funktioniert. Es war ausdrücklich von schlecht angepaßter Software die Rede.
Natürlich könnte man das mit RunAs oder Änderungen der Rechte etc. lösen. Aber der Erstposter schrieb ja was von Sicherheit.
Nebendran installiert, funktioniert.
Gruß P.
Ja ist ja richtig. Aber hier geht es nicht um Installation sondern um Ausführung.
Wenn Du als Admin installierst (oder Local System) und dafür einen neuen Ordner neben ProgramFiles erstellst, dann haben dort die normalen Benutzer per default auch keine Schreibrechte. Also müsstest Du erst die ACl entsprechend anpassen. Und damit sind wir dieder da, wie oben schon geschrieben habe: Ob Du das im ProgramFiles oder in dem extra erstellten Ordner machst, ist Jacke wie Hose.
E.
Wenn Du als Admin installierst (oder Local System) und dafür einen neuen Ordner neben ProgramFiles erstellst, dann haben dort die normalen Benutzer per default auch keine Schreibrechte. Also müsstest Du erst die ACl entsprechend anpassen. Und damit sind wir dieder da, wie oben schon geschrieben habe: Ob Du das im ProgramFiles oder in dem extra erstellten Ordner machst, ist Jacke wie Hose.
E.
Standarduser konnten noch nie in den Programmpfad schreiben. Das verwechselst du mit dem, was Hauptbenutzer, welche es seit Vista nicht mehr gibt, durften.
Passt man die Rechte an (egal wo), erzeugt man im Mehrbenutzerbetrieb ein Problem, ganz einfach. Nutzer in Programmpfade schreiben zu lassen ist ein NoGo, es sei denn, man hat nur einen Nutzer.
Passt man die Rechte an (egal wo), erzeugt man im Mehrbenutzerbetrieb ein Problem, ganz einfach. Nutzer in Programmpfade schreiben zu lassen ist ein NoGo, es sei denn, man hat nur einen Nutzer.
