Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

UAC - Script ohne Admin-Bestätigung ausführen

Frage Microsoft Windows Netzwerk

Mitglied: Nathan

Nathan (Level 1) - Jetzt verbinden

13.12.2010 um 11:10 Uhr, 9696 Aufrufe, 20 Kommentare

Ich suche nach einem Weg die UAC partiell zu umgehen.

Hallo liebe Leidensgenossen!

Die Anmeldung als Benutzer mit Admin-Rechten (lokale) an einem Client-PC (Win7) erfordert jedes mal meine Bestätigung für das Hinzufügen von Reg-Einträgen (in HKCU). Ein User mit eingeschränkten Benutzerrechten bekommt keine Aufforderung. Die Einträge werden stillschweigend gesetzt.

Hintergrund: Bei der Anmeldung wird per GP (gilt für jeden User im AD) eine "run.bat" ausgeführt. In dieser stehen verschiedene Registry-Einträge, die dem Zweig HKCU\Software\Microsoft\... hinzugefügt werden sollen, v.a. Internetsettings (trusted sites, Startseite, etc.).

Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung habe.

Frage: Ist jemandem eine Möglichkeit bekannt, diese Sicherheitsabfrage (die generell erwünscht ist) nur für dieses eine Script bzw. diese wenigen Reg-Einträge auszuschalten oder zu umgehen? Den UAC-Level möchte ich nicht verändern. Ich habe schon einiges ausprobiert (leider ohne Dokumentation ...), bin aber nicht fündig geworden. In diesem Forum habe ich auch einiges gelesen, aber kein Beitrag konnte mir weiterhelfen, weshalb ich nun eine neue Anfrage stelle.

Ich bin dankbar für jeden Ratschlag!
Mitglied: 60730
13.12.2010 um 12:21 Uhr
moin,

im prinzip - stellst du die falsche Frage....
Ich suche nach einem Weg die UAC partiell zu umgehen.
suchst du nicht - das denkst dachtest du nur bis jetzt.
Hintergrund: Bei der Anmeldung wird per GP (gilt für jeden User im AD) eine "run.bat" ausgeführt.
In dieser stehen verschiedene Registry-Einträge, die dem Zweig HKCU\Software\Microsoft\... hinzugefügt werden sollen, v.a. Internetsettings (trusteds ites, Startseite, etc.).

Das macht man nicht in einem Script, sondern mit einer Policy in der GPO oder via IEAK beim setup vom IE.

Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung habe.
Auch hier - das impliziert doch, das die Regkeys jedesmal beim anmelden neu gesetzt werden, egal - ob die bereits gesetzt sind oder nicht.

Wenns denn unbedingt via reg laufen soll...

reg query hkcu\dingens\kirchen /v "wert" || call %logonserver%\netlogon\run.cmd

Gruß
Bitte warten ..
Mitglied: Zareth
13.12.2010 um 12:41 Uhr
Eine weitere Möglichkeit wäre im script den administrator als benutzer anzugeben.

Das würde aber bedeuten, dass evtl. ein scrip mit adminrechten ein zweites ausführen muss.

Das funktioniert zwar ist aber sicher nicht im sinne des erfinders. Zumal dann jeder Benutzer, der adminrechte hat, ein anderes logon-script zugewiesen bekommt.
Bitte warten ..
Mitglied: Nathan
13.12.2010 um 13:14 Uhr
Zitat von 60730:
moin,

im prinzip - stellst du die falsche Frage....
> Ich suche nach einem Weg die UAC partiell zu umgehen.
suchst du nicht - das denkst dachtest du nur bis jetzt.

Ach so?! Gut das du es sagst. Und wonach suche ich?

> Hintergrund: Bei der Anmeldung wird per GP (gilt für jeden User im AD) eine "run.bat" ausgeführt.
> In dieser stehen verschiedene Registry-Einträge, die dem Zweig HKCU\Software\Microsoft\... hinzugefügt werden
sollen, v.a. Internetsettings (trusteds ites, Startseite, etc.).

Das macht man nicht in einem Script, sondern mit einer Policy in der GPO oder via IEAK beim setup vom IE.

Die Welt ist groß - jeder nach seinem Gusto. Und einen Grund gibt auch dafür.

> Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung habe.
Auch hier - das impliziert doch, das die Regkeys jedesmal beim anmelden neu gesetzt werden, egal - ob die bereits gesetzt sind
oder nicht.

Wenns denn unbedingt via reg laufen soll...

> reg query hkcu\dingens\kirchen /v "wert" || call %logonserver%\netlogon\run.cmd

Gruß

Wieso /v und wieso run.cmd?
Bitte warten ..
Mitglied: Nathan
13.12.2010 um 13:21 Uhr
Danke für die Antwort.

Zitat von Zareth:
Eine weitere Möglichkeit wäre im script den administrator als benutzer anzugeben.

einen lokalen admin? Oder den Domänen-admin?


Das würde aber bedeuten, dass evtl. ein scrip mit adminrechten ein zweites ausführen muss.

A lá "scheduled task"? Ich müßte noch mal drüber nachdenken, warum, aber es mit unserer Konfiguration hier im Netz nicht geklappt einen Task einzurichten, der mit erhöhten Rechten arbeitet.


Das funktioniert zwar ist aber sicher nicht im sinne des erfinders. Zumal dann jeder Benutzer, der adminrechte hat, ein anderes
logon-script zugewiesen bekommt.


Das Script soll im Prinzip schon so bleiben wie es ist.
Bitte warten ..
Mitglied: 60730
13.12.2010 um 13:23 Uhr
Zitat von Nathan:
> Zitat von 60730:
> ----
Ach so?! Gut das du es sagst. Und wonach suche ich?
Ich dachte nach der richtigen Lösung statt eines krummen Workarounds?

> Das macht man nicht in einem Script, sondern mit einer Policy in der GPO oder via IEAK beim setup vom IE.
Die Welt ist groß - jeder nach seinem Gusto. Und einen Grund gibt auch dafür.
  • Welchen?

reg query hkcu\dingens\kirchen /v "wert" || call %logonserver%\netlogon\run.cmd
Wieso /v und wieso run.cmd?

Weil....
ok du benutzt statt cmd bat - aber benutze einfach mal reg query /?
Bitte warten ..
Mitglied: Zareth
13.12.2010 um 13:26 Uhr
Das Script kann So bleiben allerdings muss ein anderes davor geschaltet werden.

in etwa: run as administrator...... \\pdc\netlogon\run.bat

wie der genaue Befehl ist weiß ich leider nicht.

Welcher admin ist im grunde egal solange du das richtige passwort angibst ggf. Domain\Administrator als User eingeben.
Bitte warten ..
Mitglied: Zareth
13.12.2010 um 13:27 Uhr
ich denke, das cmd war ein tipfehler und er meint .bat
Bitte warten ..
Mitglied: Nathan
13.12.2010 um 13:41 Uhr
Danke für diesen (wieder mal) hilfreichen Vorschlag.

Ich suche nach Lösungsvorschhlägen. DIE richtige Lösung gibt es m.E. nicht!

Den Grund für unsere Herangehensweise werde ich dir hier nicht bis ins Detail darlegen. Wenn du einen Lösungsvorschlag hast, dann nimm doch die Gegebenheiten erstmal hin. Du machst es per GPO, wir per Script. Ist recht flexibel und funktioniert! Mein "Problemchen" ist keine große Sache. Reine Bequemlichkeit!

Weil....
ok du benutzt statt cmd bat - aber benutze einfach mal reg query /?

Das ist doch keine vernünftige Antwort, oder?
Bitte warten ..
Mitglied: Nathan
13.12.2010 um 13:47 Uhr
Käme ich dann nicht wieder zu der UAC Nachfrage, die der Admin immer bekommt, wenn gewisser Code ausgeführt werden soll - eben welcher mit erhöhten Rechten? Um dieser Nachfrage zu entgehen, müsste ich den UAC ausschalten - was ich nicht will.
Bitte warten ..
Mitglied: Zareth
13.12.2010 um 13:56 Uhr
nicht direkt... wenn Du direkt den richtigen und einzigen Administrator verwendest, wirst du nicht gefragt.

Die UAC macht ja eigentlich nichts anderes als den Admin zu verwenden, wenn Du auf ok klickst.

D.H. es wird garnicht mit dem Benutzer müller, der admin rechte hat ausgeführt sondern als admin selbst.

Wenn Du dich bspw. mit dem Administrator anmelden würdest, dann würde er dich nicht fragen sondern einfach machen als ob es keine UAC gäbe. Da der Admin aber normalerweise deaktiviert ist, kannst du dich mit diesem nicht direkt anmelden.

Gruß

Zareth
Bitte warten ..
Mitglied: Nathan
13.12.2010 um 14:45 Uhr
Okay, sehe ich ein, aber ich glaube nicht das es in die richtige Richtung geht.

Nochmal von vorne:
Ich - mit folgenden Rechten: lokal-> Admin/ Domänenweit-> eingeschränkt - melde mich an der Domäne an und per Gruppenrichtlinie bekomme ich dieses Script, welches auf einem Netzlaufwerk ruht, aufgedrückt. Da ich nun lokaler Admin bin, fragt mich die UAC ob das denn auch so seine Richtigkeit hat. Und ich sag ja.
Würde nun ein weiters Script - nennen wir es pre-run.bat - welches mit den Rechten des lokalen Administrators ausgeführt werden würde, die besagte run.bat ausführen, müsste auf dem Rechner (also auf allen PC\'s, weil ich ja auch mal Arbeiten muß zwischendurch ... ) das Administrator-Konto aktiviert sein. Und das pre-run Script lokal hinterlegt sein. Und der lokale Admin bräuchte Leserechte auf die Freigabe - und das für jeden weiteren Rechner der unserer Domäne beitritt.

Hast du dir das so gedacht? Geht das nicht einfacher?

Was ist z.B. mit HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\ConsentPromptBehaviorAdmin ? Ich dachte, da könnte man vielleicht ansetzen?
Ich such also nach einer Setting in meinem Profil, die mir die Bestätigung zur Erlaubnis des Ausführens des Registrierungs-Editors abnimmt (schöne deutsche Sprache!).
Bitte warten ..
Mitglied: 60730
13.12.2010 um 15:00 Uhr
Zitat von Zareth:
ich denke, das cmd war ein tipfehler und er meint .bat

Nein - ich meine cmd, weil die Zeiten von bat in verbindung mit reg query und anderen Befehlen, die nicht die command.com sondern höhere Versionen von Windows benötigen DER richtige Weg ist.

Ich suche nach Lösungsvorschhlägen. DIE richtige Lösung gibt es m.E. nicht!
Das ist doch keine vernünftige Antwort, oder?

Doch mit dem Beispielhaft genannten Weg erkennt man, ob ein Wert gesetzt ist und ur im Fall dass dieser nicht gesetzt ist - wird der Key gesetzt.
Das (nur dann etwas machen, wenn es nötig ist) ist m.E. DER richtige Weg.

siehe reg query /?

Gruß
Bitte warten ..
Mitglied: Nathan
13.12.2010 um 15:07 Uhr
Hallo Timo Beil,

noch mal zu deinem ersten Kommentar:

Ich schrieb: "Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung habe."

Darauf du: "Auch hier - das impliziert doch, das die Regkeys jedesmal beim anmelden neu gesetzt werden, egal - ob die bereits gesetzt sind oder nicht."

--> Richtig, und so solls sein!

Wenns denn unbedingt via reg laufen soll...


reg query hkcu\dingens\kirchen /v "wert" || call %logonserver%\netlogon\run.cmd

--> Damit kann ich immer noch nix anfangen. Was ist deine Intention bei dieser Art der Problemlösung? Ich verstehe nicht, wie ich damit die UAC umgehe? Stell ich mich zuglatt an??
Bitte warten ..
Mitglied: 60730
13.12.2010 um 15:16 Uhr
Zitat von Nathan:
Hallo Timo Beil,

noch mal zu deinem ersten Kommentar:

Ich schrieb: "Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung
habe."

Darauf du: "Auch hier - das impliziert doch, das die Regkeys jedesmal beim anmelden neu gesetzt werden, egal - ob die bereits
gesetzt sind oder nicht."

--> Richtig, und so solls sein!
  • ok dann schreiben wir aneinander vorbei - ich sehe keinen Grund einen bereits gesetzten Wert neu mit identischem Inhalt zu befüllen, wenn der schon existiert....

Wenns denn unbedingt via reg laufen soll...

reg query hkcu\dingens\kirchen /v "wert" || call %logonserver%\netlogon\run.cmd

--> Damit kann ich immer noch nix anfangen. Was ist deine Intention bei dieser Art der Problemlösung? Ich verstehe nicht,
wie ich damit die UAC umgehe? Stell ich mich zuglatt an??

Die UAC umgehst du damit nicht - sondern prüfst - ob das Script - das die UAC anwirft - überhaupt gestartet werden muß.

Gruß
Bitte warten ..
Mitglied: Zareth
13.12.2010 um 20:58 Uhr
OMG ich glaube Du hast mich falsch verstanden:

1. der Admin muss nicht aktiviert werden.
2. das pre-run.bat kann auch im netlogon liegen
3. somit muss es nicht auf allen Rechnern liegen
4. da du für die ausführung auch den domainadmin nehmen kannst muss der lokale auch keine leserechte darauf haben

Mein Vorschlag ist allerdings nur theorie, ich weiß nicht ob es funktioniert. In der Theorie funktioniert das!

Was man mit dem RegKey, welchen Du geschrieben hast machen kann weiß ich nicht. Registry ist nicht gerade mein Schwerpunkt!
Bitte warten ..
Mitglied: 60730
13.12.2010 um 23:48 Uhr
Eine Idee hätte ich noch, denn wenn ich die Frage richtig verstanden habe solls schön krumm sein und bloss keine standard Lösung aus dem MS Press Bereich.

  • ein Abmeldescript das den TO aus der Gruppe der lokalen Admins wirft
  • Ein geplantes Startscript, dass Ihn nach der Anmeldung wieder in die Gruppe der Lok. Admins reinstellt.
Bitte warten ..
Mitglied: Nathan
14.12.2010 um 10:38 Uhr
Hallo TimoBeil,

ne, so war das nicht gedacht. Ich mags auch lieber gerade und schnörkellos. Der letzte Vorschlag wirft ja mehr Problem auf als vorher da waren!
Allerdings brauche ich auch nicht zu testen ob der Wert gesetzt ist, weil ich weiß das er es nicht ist. Also muss er (bzw. müssen sie, es sind ja mehrere) neu gesetzt werden. Und zwar mit Hilfe der Batchdatei, die die einzelnen Regschlüssel an die gewünschten Stellen setzt.
Es geht auch nicht darum, neue Wege einzuschlagen, sondern mit den Gegebenheiten klar zu kommen. Wenn ich z.B. ein Problem mit Windows hätte bringt es mir nix, wenn einer erzählt ich solle auf Unix umsteigen. Natürlich geht das - es gibt ja meistens mehrere Lösungen - aber macht es einen nicht zu rechtfertigenden Mehraufwand.
Zu meinem Problemchen: So wie ich es sehe geht es einzig und allein um die UAC. Und ich vermisse bzw. bin auf der Suche nach den (für mich) richtigen Schaltern. Wenn es die nicht geben sollte, auch gut!

Vielen Dank für eure Geduld und Hilfe.
Bitte warten ..
Mitglied: Zareth
14.12.2010 um 22:34 Uhr
Ich würde zumindest meine Variante mal testen ob sie funktioniert und besonders umständlich ist sie auch nicht.
Bitte warten ..
Mitglied: 60730
15.12.2010 um 09:21 Uhr
Moin,


Ich schreibs ganz kurz auf - ohne den genannten Regkey von vorne bis hinten durchzudröseln....

Regkeys, die einen Ast/Key Worteil mit dem Inhalt Policy beinhalten, fasst man mit nixx anderem an, als mit einer GPO.

Aber diese Zeile hatte ich ja eigentlich schon am 13. - der kein Freitag war - verfasst.

Und andererseits - ich bin nur gelernter und praktizierender Administrator in "meiner" Firma.
Auf meinem Rechner hat mein Account keine Adminrechte.

Wozu auch - ich surfe doch nicht mit Adminrechten und wenn ein gelernter das kann, dann kann ein ungeübter/ungelernter das sicherlich auch.

Gruß
Bitte warten ..
Mitglied: Nathan
15.12.2010 um 11:25 Uhr
Guten Tag,

schön, dass es noch Resonaz gibt!
@Zareth: Werde ich gerne mal probieren, wenn ich mir überlegt habe, wie ich das mit meinen (beschränkten) Fähigkeiten und Rechten mal testen könnte.
@TimoBeil: Keiner der Regschlüssel um die es mir geht ändern etwas an einer Richtlinie oder etablieren gar eine neue. Also nix mit GPO! Wie erwähnt, es handelt sich um "Internet Settings" (wobei das evtl. irreführend ist: Im englischsprachigen IE findet man die gewünschten Einstellungen, die bei uns per Script gesetzt werden, eben unter "Internet Settings" (de: "Internet Optionen")). Leichte Änderungen, wie man sie etwa in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains setzen kann, und die nach erfolgreicher Abmeldung und wiederholter Anmeldung wieder gesetzt werden müssen (Roaming Profile, nicht alles aus AppData wird beim Abmelden zurückgeschrieben).
Nebenbei: Ich bin, wie du dir vielleicht ja schon gedacht hast, kein gelernter Systemadministrator und besetzte auch "nur" eine kleine Stelle in einer Forschungseinrichtung. Bei den Tätigkeiten, die ich hier ausübe ist es schon ganz praktisch, wenn man lokale Adminrechte besitzt - macht das Leben leichter. Außerdem "hilft" mir ja die UAC dabei, nicht alle Prozesse mit erhöhten Rechten auszuführen. In unserem Netzwerk denke ich, ist es relativ sicher so zu agieren. Zu Hause handhabe ich es anders.

Greez
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Powershell-Script als Admin über CMD ausführen
gelöst Frage von TobiasedBatch & Shell2 Kommentare

Guten Morgen, ich möchte gern ein Powershell Script mit Administrator rechten über eine batch Datei ausführen. Dies funktioniert soweit ...

Batch & Shell
Batch-Script für FTP-Zugang lässt sich nicht als Admin ausführen
gelöst Frage von BobstarletBatch & Shell5 Kommentare

Hallo liebe Administrator-Community, ich habe folgendes Problem. Ich möchte gern (da meine Kollegen das unbedingt wünschen) ein FTP-Verzeichnis als ...

Windows Server
Powershell Script in Script ausführen
Frage von diematrix125Windows Server2 Kommentare

Hallo! Ich habe hier momentan zwei verschiedene Skripte: 1. Skript zum Erstellen von Usern 2. Skript zum Erstellen der ...

Windows 10
Powershell Script UAC Abfrage deaktivieren
gelöst Frage von schicksalWindows 102 Kommentare

Hallo zusammen, kann man für ein bestimmtes Powershellscript die UAC deaktivieren? Ich starte mittels Verknüfung auf einem USB Stick ...

Neue Wissensbeiträge
Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 6 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 7 StundenSicherheit1 Kommentar

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1010 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 TagenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell22 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
gelöst Frage von CenuzeNetzwerkgrundlagen18 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Logging von "gesendeten Nachrichten" auf Terminalservern
gelöst Frage von Z3R0C0MM4N0THiN6Windows Server10 Kommentare

Hallo zusammen, kann mir jemand auf kurzem Wege sagen ob 1) die per Task-Manager (oder damals tsadmin) an Benutzer ...