Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

UAC - Script ohne Admin-Bestätigung ausführen

Frage Microsoft Windows Netzwerk

Mitglied: Nathan

Nathan (Level 1) - Jetzt verbinden

13.12.2010 um 11:10 Uhr, 9007 Aufrufe, 20 Kommentare

Ich suche nach einem Weg die UAC partiell zu umgehen.

Hallo liebe Leidensgenossen!

Die Anmeldung als Benutzer mit Admin-Rechten (lokale) an einem Client-PC (Win7) erfordert jedes mal meine Bestätigung für das Hinzufügen von Reg-Einträgen (in HKCU). Ein User mit eingeschränkten Benutzerrechten bekommt keine Aufforderung. Die Einträge werden stillschweigend gesetzt.

Hintergrund: Bei der Anmeldung wird per GP (gilt für jeden User im AD) eine "run.bat" ausgeführt. In dieser stehen verschiedene Registry-Einträge, die dem Zweig HKCU\Software\Microsoft\... hinzugefügt werden sollen, v.a. Internetsettings (trusted sites, Startseite, etc.).

Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung habe.

Frage: Ist jemandem eine Möglichkeit bekannt, diese Sicherheitsabfrage (die generell erwünscht ist) nur für dieses eine Script bzw. diese wenigen Reg-Einträge auszuschalten oder zu umgehen? Den UAC-Level möchte ich nicht verändern. Ich habe schon einiges ausprobiert (leider ohne Dokumentation ...), bin aber nicht fündig geworden. In diesem Forum habe ich auch einiges gelesen, aber kein Beitrag konnte mir weiterhelfen, weshalb ich nun eine neue Anfrage stelle.

Ich bin dankbar für jeden Ratschlag!
Mitglied: 60730
13.12.2010 um 12:21 Uhr
moin,

im prinzip - stellst du die falsche Frage....
Ich suche nach einem Weg die UAC partiell zu umgehen.
suchst du nicht - das denkst dachtest du nur bis jetzt.
Hintergrund: Bei der Anmeldung wird per GP (gilt für jeden User im AD) eine "run.bat" ausgeführt.
In dieser stehen verschiedene Registry-Einträge, die dem Zweig HKCU\Software\Microsoft\... hinzugefügt werden sollen, v.a. Internetsettings (trusteds ites, Startseite, etc.).

Das macht man nicht in einem Script, sondern mit einer Policy in der GPO oder via IEAK beim setup vom IE.

Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung habe.
Auch hier - das impliziert doch, das die Regkeys jedesmal beim anmelden neu gesetzt werden, egal - ob die bereits gesetzt sind oder nicht.

Wenns denn unbedingt via reg laufen soll...

reg query hkcu\dingens\kirchen /v "wert" || call %logonserver%\netlogon\run.cmd

Gruß
Bitte warten ..
Mitglied: Zareth
13.12.2010 um 12:41 Uhr
Eine weitere Möglichkeit wäre im script den administrator als benutzer anzugeben.

Das würde aber bedeuten, dass evtl. ein scrip mit adminrechten ein zweites ausführen muss.

Das funktioniert zwar ist aber sicher nicht im sinne des erfinders. Zumal dann jeder Benutzer, der adminrechte hat, ein anderes logon-script zugewiesen bekommt.
Bitte warten ..
Mitglied: Nathan
13.12.2010 um 13:14 Uhr
Zitat von 60730:
moin,

im prinzip - stellst du die falsche Frage....
> Ich suche nach einem Weg die UAC partiell zu umgehen.
suchst du nicht - das denkst dachtest du nur bis jetzt.

Ach so?! Gut das du es sagst. Und wonach suche ich?

> Hintergrund: Bei der Anmeldung wird per GP (gilt für jeden User im AD) eine "run.bat" ausgeführt.
> In dieser stehen verschiedene Registry-Einträge, die dem Zweig HKCU\Software\Microsoft\... hinzugefügt werden
sollen, v.a. Internetsettings (trusteds ites, Startseite, etc.).

Das macht man nicht in einem Script, sondern mit einer Policy in der GPO oder via IEAK beim setup vom IE.

Die Welt ist groß - jeder nach seinem Gusto. Und einen Grund gibt auch dafür.

> Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung habe.
Auch hier - das impliziert doch, das die Regkeys jedesmal beim anmelden neu gesetzt werden, egal - ob die bereits gesetzt sind
oder nicht.

Wenns denn unbedingt via reg laufen soll...

> reg query hkcu\dingens\kirchen /v "wert" || call %logonserver%\netlogon\run.cmd

Gruß

Wieso /v und wieso run.cmd?
Bitte warten ..
Mitglied: Nathan
13.12.2010 um 13:21 Uhr
Danke für die Antwort.

Zitat von Zareth:
Eine weitere Möglichkeit wäre im script den administrator als benutzer anzugeben.

einen lokalen admin? Oder den Domänen-admin?


Das würde aber bedeuten, dass evtl. ein scrip mit adminrechten ein zweites ausführen muss.

A lá "scheduled task"? Ich müßte noch mal drüber nachdenken, warum, aber es mit unserer Konfiguration hier im Netz nicht geklappt einen Task einzurichten, der mit erhöhten Rechten arbeitet.


Das funktioniert zwar ist aber sicher nicht im sinne des erfinders. Zumal dann jeder Benutzer, der adminrechte hat, ein anderes
logon-script zugewiesen bekommt.


Das Script soll im Prinzip schon so bleiben wie es ist.
Bitte warten ..
Mitglied: 60730
13.12.2010 um 13:23 Uhr
Zitat von Nathan:
> Zitat von 60730:
> ----
Ach so?! Gut das du es sagst. Und wonach suche ich?
Ich dachte nach der richtigen Lösung statt eines krummen Workarounds?

> Das macht man nicht in einem Script, sondern mit einer Policy in der GPO oder via IEAK beim setup vom IE.
Die Welt ist groß - jeder nach seinem Gusto. Und einen Grund gibt auch dafür.
  • Welchen?

reg query hkcu\dingens\kirchen /v "wert" || call %logonserver%\netlogon\run.cmd
Wieso /v und wieso run.cmd?

Weil....
ok du benutzt statt cmd bat - aber benutze einfach mal reg query /?
Bitte warten ..
Mitglied: Zareth
13.12.2010 um 13:26 Uhr
Das Script kann So bleiben allerdings muss ein anderes davor geschaltet werden.

in etwa: run as administrator...... \\pdc\netlogon\run.bat

wie der genaue Befehl ist weiß ich leider nicht.

Welcher admin ist im grunde egal solange du das richtige passwort angibst ggf. Domain\Administrator als User eingeben.
Bitte warten ..
Mitglied: Zareth
13.12.2010 um 13:27 Uhr
ich denke, das cmd war ein tipfehler und er meint .bat
Bitte warten ..
Mitglied: Nathan
13.12.2010 um 13:41 Uhr
Danke für diesen (wieder mal) hilfreichen Vorschlag.

Ich suche nach Lösungsvorschhlägen. DIE richtige Lösung gibt es m.E. nicht!

Den Grund für unsere Herangehensweise werde ich dir hier nicht bis ins Detail darlegen. Wenn du einen Lösungsvorschlag hast, dann nimm doch die Gegebenheiten erstmal hin. Du machst es per GPO, wir per Script. Ist recht flexibel und funktioniert! Mein "Problemchen" ist keine große Sache. Reine Bequemlichkeit!

Weil....
ok du benutzt statt cmd bat - aber benutze einfach mal reg query /?

Das ist doch keine vernünftige Antwort, oder?
Bitte warten ..
Mitglied: Nathan
13.12.2010 um 13:47 Uhr
Käme ich dann nicht wieder zu der UAC Nachfrage, die der Admin immer bekommt, wenn gewisser Code ausgeführt werden soll - eben welcher mit erhöhten Rechten? Um dieser Nachfrage zu entgehen, müsste ich den UAC ausschalten - was ich nicht will.
Bitte warten ..
Mitglied: Zareth
13.12.2010 um 13:56 Uhr
nicht direkt... wenn Du direkt den richtigen und einzigen Administrator verwendest, wirst du nicht gefragt.

Die UAC macht ja eigentlich nichts anderes als den Admin zu verwenden, wenn Du auf ok klickst.

D.H. es wird garnicht mit dem Benutzer müller, der admin rechte hat ausgeführt sondern als admin selbst.

Wenn Du dich bspw. mit dem Administrator anmelden würdest, dann würde er dich nicht fragen sondern einfach machen als ob es keine UAC gäbe. Da der Admin aber normalerweise deaktiviert ist, kannst du dich mit diesem nicht direkt anmelden.

Gruß

Zareth
Bitte warten ..
Mitglied: Nathan
13.12.2010 um 14:45 Uhr
Okay, sehe ich ein, aber ich glaube nicht das es in die richtige Richtung geht.

Nochmal von vorne:
Ich - mit folgenden Rechten: lokal-> Admin/ Domänenweit-> eingeschränkt - melde mich an der Domäne an und per Gruppenrichtlinie bekomme ich dieses Script, welches auf einem Netzlaufwerk ruht, aufgedrückt. Da ich nun lokaler Admin bin, fragt mich die UAC ob das denn auch so seine Richtigkeit hat. Und ich sag ja.
Würde nun ein weiters Script - nennen wir es pre-run.bat - welches mit den Rechten des lokalen Administrators ausgeführt werden würde, die besagte run.bat ausführen, müsste auf dem Rechner (also auf allen PC\'s, weil ich ja auch mal Arbeiten muß zwischendurch ... ) das Administrator-Konto aktiviert sein. Und das pre-run Script lokal hinterlegt sein. Und der lokale Admin bräuchte Leserechte auf die Freigabe - und das für jeden weiteren Rechner der unserer Domäne beitritt.

Hast du dir das so gedacht? Geht das nicht einfacher?

Was ist z.B. mit HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\ConsentPromptBehaviorAdmin ? Ich dachte, da könnte man vielleicht ansetzen?
Ich such also nach einer Setting in meinem Profil, die mir die Bestätigung zur Erlaubnis des Ausführens des Registrierungs-Editors abnimmt (schöne deutsche Sprache!).
Bitte warten ..
Mitglied: 60730
13.12.2010 um 15:00 Uhr
Zitat von Zareth:
ich denke, das cmd war ein tipfehler und er meint .bat

Nein - ich meine cmd, weil die Zeiten von bat in verbindung mit reg query und anderen Befehlen, die nicht die command.com sondern höhere Versionen von Windows benötigen DER richtige Weg ist.

Ich suche nach Lösungsvorschhlägen. DIE richtige Lösung gibt es m.E. nicht!
Das ist doch keine vernünftige Antwort, oder?

Doch mit dem Beispielhaft genannten Weg erkennt man, ob ein Wert gesetzt ist und ur im Fall dass dieser nicht gesetzt ist - wird der Key gesetzt.
Das (nur dann etwas machen, wenn es nötig ist) ist m.E. DER richtige Weg.

siehe reg query /?

Gruß
Bitte warten ..
Mitglied: Nathan
13.12.2010 um 15:07 Uhr
Hallo Timo Beil,

noch mal zu deinem ersten Kommentar:

Ich schrieb: "Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung habe."

Darauf du: "Auch hier - das impliziert doch, das die Regkeys jedesmal beim anmelden neu gesetzt werden, egal - ob die bereits gesetzt sind oder nicht."

--> Richtig, und so solls sein!

Wenns denn unbedingt via reg laufen soll...


reg query hkcu\dingens\kirchen /v "wert" || call %logonserver%\netlogon\run.cmd

--> Damit kann ich immer noch nix anfangen. Was ist deine Intention bei dieser Art der Problemlösung? Ich verstehe nicht, wie ich damit die UAC umgehe? Stell ich mich zuglatt an??
Bitte warten ..
Mitglied: 60730
13.12.2010 um 15:16 Uhr
Zitat von Nathan:
Hallo Timo Beil,

noch mal zu deinem ersten Kommentar:

Ich schrieb: "Problem: Mich nervt es ein wenig, sechsmal auf ja zu drücken ehe ich meinen Desktop zur Verfügung
habe."

Darauf du: "Auch hier - das impliziert doch, das die Regkeys jedesmal beim anmelden neu gesetzt werden, egal - ob die bereits
gesetzt sind oder nicht."

--> Richtig, und so solls sein!
  • ok dann schreiben wir aneinander vorbei - ich sehe keinen Grund einen bereits gesetzten Wert neu mit identischem Inhalt zu befüllen, wenn der schon existiert....

Wenns denn unbedingt via reg laufen soll...

reg query hkcu\dingens\kirchen /v "wert" || call %logonserver%\netlogon\run.cmd

--> Damit kann ich immer noch nix anfangen. Was ist deine Intention bei dieser Art der Problemlösung? Ich verstehe nicht,
wie ich damit die UAC umgehe? Stell ich mich zuglatt an??

Die UAC umgehst du damit nicht - sondern prüfst - ob das Script - das die UAC anwirft - überhaupt gestartet werden muß.

Gruß
Bitte warten ..
Mitglied: Zareth
13.12.2010 um 20:58 Uhr
OMG ich glaube Du hast mich falsch verstanden:

1. der Admin muss nicht aktiviert werden.
2. das pre-run.bat kann auch im netlogon liegen
3. somit muss es nicht auf allen Rechnern liegen
4. da du für die ausführung auch den domainadmin nehmen kannst muss der lokale auch keine leserechte darauf haben

Mein Vorschlag ist allerdings nur theorie, ich weiß nicht ob es funktioniert. In der Theorie funktioniert das!

Was man mit dem RegKey, welchen Du geschrieben hast machen kann weiß ich nicht. Registry ist nicht gerade mein Schwerpunkt!
Bitte warten ..
Mitglied: 60730
13.12.2010 um 23:48 Uhr
Eine Idee hätte ich noch, denn wenn ich die Frage richtig verstanden habe solls schön krumm sein und bloss keine standard Lösung aus dem MS Press Bereich.

  • ein Abmeldescript das den TO aus der Gruppe der lokalen Admins wirft
  • Ein geplantes Startscript, dass Ihn nach der Anmeldung wieder in die Gruppe der Lok. Admins reinstellt.
Bitte warten ..
Mitglied: Nathan
14.12.2010 um 10:38 Uhr
Hallo TimoBeil,

ne, so war das nicht gedacht. Ich mags auch lieber gerade und schnörkellos. Der letzte Vorschlag wirft ja mehr Problem auf als vorher da waren!
Allerdings brauche ich auch nicht zu testen ob der Wert gesetzt ist, weil ich weiß das er es nicht ist. Also muss er (bzw. müssen sie, es sind ja mehrere) neu gesetzt werden. Und zwar mit Hilfe der Batchdatei, die die einzelnen Regschlüssel an die gewünschten Stellen setzt.
Es geht auch nicht darum, neue Wege einzuschlagen, sondern mit den Gegebenheiten klar zu kommen. Wenn ich z.B. ein Problem mit Windows hätte bringt es mir nix, wenn einer erzählt ich solle auf Unix umsteigen. Natürlich geht das - es gibt ja meistens mehrere Lösungen - aber macht es einen nicht zu rechtfertigenden Mehraufwand.
Zu meinem Problemchen: So wie ich es sehe geht es einzig und allein um die UAC. Und ich vermisse bzw. bin auf der Suche nach den (für mich) richtigen Schaltern. Wenn es die nicht geben sollte, auch gut!

Vielen Dank für eure Geduld und Hilfe.
Bitte warten ..
Mitglied: Zareth
14.12.2010 um 22:34 Uhr
Ich würde zumindest meine Variante mal testen ob sie funktioniert und besonders umständlich ist sie auch nicht.
Bitte warten ..
Mitglied: 60730
15.12.2010 um 09:21 Uhr
Moin,


Ich schreibs ganz kurz auf - ohne den genannten Regkey von vorne bis hinten durchzudröseln....

Regkeys, die einen Ast/Key Worteil mit dem Inhalt Policy beinhalten, fasst man mit nixx anderem an, als mit einer GPO.

Aber diese Zeile hatte ich ja eigentlich schon am 13. - der kein Freitag war - verfasst.

Und andererseits - ich bin nur gelernter und praktizierender Administrator in "meiner" Firma.
Auf meinem Rechner hat mein Account keine Adminrechte.

Wozu auch - ich surfe doch nicht mit Adminrechten und wenn ein gelernter das kann, dann kann ein ungeübter/ungelernter das sicherlich auch.

Gruß
Bitte warten ..
Mitglied: Nathan
15.12.2010 um 11:25 Uhr
Guten Tag,

schön, dass es noch Resonaz gibt!
@Zareth: Werde ich gerne mal probieren, wenn ich mir überlegt habe, wie ich das mit meinen (beschränkten) Fähigkeiten und Rechten mal testen könnte.
@TimoBeil: Keiner der Regschlüssel um die es mir geht ändern etwas an einer Richtlinie oder etablieren gar eine neue. Also nix mit GPO! Wie erwähnt, es handelt sich um "Internet Settings" (wobei das evtl. irreführend ist: Im englischsprachigen IE findet man die gewünschten Einstellungen, die bei uns per Script gesetzt werden, eben unter "Internet Settings" (de: "Internet Optionen")). Leichte Änderungen, wie man sie etwa in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains setzen kann, und die nach erfolgreicher Abmeldung und wiederholter Anmeldung wieder gesetzt werden müssen (Roaming Profile, nicht alles aus AppData wird beim Abmelden zurückgeschrieben).
Nebenbei: Ich bin, wie du dir vielleicht ja schon gedacht hast, kein gelernter Systemadministrator und besetzte auch "nur" eine kleine Stelle in einer Forschungseinrichtung. Bei den Tätigkeiten, die ich hier ausübe ist es schon ganz praktisch, wenn man lokale Adminrechte besitzt - macht das Leben leichter. Außerdem "hilft" mir ja die UAC dabei, nicht alle Prozesse mit erhöhten Rechten auszuführen. In unserem Netzwerk denke ich, ist es relativ sicher so zu agieren. Zu Hause handhabe ich es anders.

Greez
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Batch Script bei Start ausführen (3)

Frage von KEFHVDI zum Thema Windows Server ...

Batch & Shell
gelöst Powershell-Script als Admin über CMD ausführen (2)

Frage von Tobiased zum Thema Batch & Shell ...

VB for Applications
Powershell Script aus VBA heraus ausführen (2)

Frage von mcnico1978 zum Thema VB for Applications ...

Microsoft Office
Access ein Script alle X Minuten ausführen und bei Bedarf stoppen (5)

Frage von thomas1972 zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...