wos 0 Geschrieben 30. Juni 2015 Melden Teilen Geschrieben 30. Juni 2015 Hallo, da ich mit googeln nicht so wirklich dahinter gekommen bin, dachte ich, ich stelle hier mal eine Frage an die Profis, vielleicht weiss einer wie's geht: Ich habe einen Terminalserver 2012 R2 als Domänenmitglied. Logischerweise ist dort die UAC aktiv und das möchte ich an sich auch nicht ändern. Jetzt ist es aber so, dass dieser Server auch für Präsentationszwecke genutzt wird. Im Rahmen der Präsentation müssen leider Anwendungen gestartet werden, welche den UAC Prompt aufpoppen lassen. Ich habe jetzt mal nach "rate mal mit Rosenthal" einen konkreten Benutzer der Domäne in der lokalen Gruppe der Administratoren zugeordnet. In der kleinen Hoffnung, dass dann, wenn das UAC Prompt hochkommt, nicht noch Benutzername und Kennwort eingegeben werden muss. Dachte mir auch schon fast, dass das so nichts wird. Es gibt da diverse Tipps, was man in der GPO oder Registry verbiegen kann, um das Verhalten der UAC zu ändern. Die passen aber nicht so auf meine Fragestellung . Bevor ich nun jeden Blödsinn ausprobiere und am End irgendwas "auf b***d" verstelle: Vielleicht kann sich einer erbarmen, der die Lösung kennt. Ich will quasi das, was man von Windows 7 ohne Domäne her kennt, auf einem Server: Der UAC Prompt kommt hoch, fragt aber nicht nacheinem Kennwort. Man muss nur noch auf OK klicken ... Danke Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 30. Juni 2015 Melden Teilen Geschrieben 30. Juni 2015 Du suchst "Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus". Stelle das auf "Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop", und Du hast, was Du suchst :) Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 30. Juni 2015 Melden Teilen Geschrieben 30. Juni 2015 Moin, und noch besser wäre es, die Berechtigungen gezielt so zu setzen, dass die Applikationen keinen UAC-Prompt aufrufen. Gruß, Nils Zitieren Link zu diesem Kommentar
wos 0 Geschrieben 1. Juli 2015 Autor Melden Teilen Geschrieben 1. Juli 2015 Hallo und erst mal danke für die Info, Du suchst "Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus". Stelle das auf "Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop", und Du hast, was Du suchst :) Genial das ist es ... Moin, und noch besser wäre es, die Berechtigungen gezielt so zu setzen, dass die Applikationen keinen UAC-Prompt aufrufen. Gruß, Nils ... leider startet jetzt auch bei jedem der Server Manager beim Start ... und wer weiss genau was das an Feinheiten im Hintergrund noch verstellt wenn ich das so mache. Einzelne Programme zu deaktivieren wäre somit evtl. auch eine Alternative. Es geht nämlich nur um 2-3 Apps. Ich hatte mir das mal vor ein paar Jahren angesehen, wie die UAC noch rel. neu war. Das lief damals aber auf irgendwelche häßlichen Zusatztools oder Dienste raus oder das Ganze über die Aufgabenplanung hinzufaken ... Jetzt habe ich noch was vom "Microsoft Application Compatibility Toolkit" gehört, mit dem ich wohl eine DB erstellen kann mit den Anwendungen, die ohne UAC Promt hochkommen dürfen. Wenn ich mich richtig entsinne, habe ich damit vor ein paar Jahren auch schon mal rumgespielt. Sollte ich da dieses "Microsoft Application Compatibility Toolkit" dazu nehmen oder geht das ganz anders/besser und ich habe es nur noch nicht ergoogelt? Gruß Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 1. Juli 2015 Melden Teilen Geschrieben 1. Juli 2015 Moin, das hängt natürlich von den Anwendungen ab und warum genau sie einen Zugriff wollen, der normalen Usern verweigert wird. In den allermeisten Fällen geht es aber so: [Zentrale Vergabe lokaler Berechtigungen]http://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berechtigungen/ Vereinfacht gesagt: Die meisten Programme, die einen UAC-Prompt hervorrufen, wollen in dem Speicherort des Programms oder in dem zugehörigen Reg-Key unter "Local Machine" schreiben, was ein Benutzer nicht darf. Setzt man dort gezielt Schreibrechte für Benutzer, dann geht es ohne Adminrechte. Gruß, Nils Zitieren Link zu diesem Kommentar
wos 0 Geschrieben 1. Juli 2015 Autor Melden Teilen Geschrieben 1. Juli 2015 ... das hängt natürlich von den Anwendungen ab und warum genau sie einen Zugriff wollen, der normalen Usern verweigert wird ... Danke für den Tipp. Ich habe mir das mal durchgelesen. Ich fürchte aber, dass die Elevation direkt vom Programm benötigt bzw. beim Start angefordert wird. U.a. kann die Anwendung auch Tasks in der Aufgabenplanung anlegen. Das wird mit normalen Benutzerrechten wahrscheinlich nicht klappen. Von daher versuche ich es nochmal mit dem MACT. Gruß Zitieren Link zu diesem Kommentar
XP-Fan 215 Geschrieben 1. Juli 2015 Melden Teilen Geschrieben 1. Juli 2015 Hallo, schau mal in die Aufgabenplanung des Servers, dort wird der Servermanager bei Benutzeranmeldung gestartet. Könnte deaktiviert werden der Task / die Aufgabe. Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 1. Juli 2015 Melden Teilen Geschrieben 1. Juli 2015 (bearbeitet) Moin, selbstverständlich kann ein normaler User Tasks anlegen. Du kannst dir natürlich auch das ACT ansehen, aber das ist noch um Längen aufwändiger und macht im Kern selten was anderes als die beschriebene Methode. Ein wenig Zeit wirst du schon investieren müssen. Dass das auf einem Testystem passieren sollte, versteht sich hoffentlich von selbst. Um was für Anwendungen handelt es sich denn eigentlich? Gruß, Nils bearbeitet 1. Juli 2015 von NilsK Zitieren Link zu diesem Kommentar
wos 0 Geschrieben 1. Juli 2015 Autor Melden Teilen Geschrieben 1. Juli 2015 Hi, das mit dem ACT liest sich in der Tat einfacher als es denn ist. Zumal alle Tipps immer auf ein und selben Text per Copy&Paste auf rauslaufen. Man soll RunAsIvoker aktivieren. Wirklich wissen was da so geschrieben wird, wissen glaube ich die wenigsten Seitenbetreiber. Wenn ich das nämlich so mache, startet das Programm zwar ohne UAC prompt, moniert aber auch gleich, dass es keine Admin Rechte hätte. Was ich eigentlich "nur" will, ist für bestimmte Applikationen diese Meldung "einfach" durchzuwinken, so dass ein normaler Anwender das auch kann - im Idealfall ohne lokale Adminrechte zu haben. Insofern mag das Tool ja irgendwie das können, was ich brauche, ich fürchte nur, dass ich keine Zeit habe mich einen Monat in das Ding einzuarbeiten. Die Anwendung ist auf jeden Fall eine, die als Admin mit normalem Icon, aber als normaler Benutzer dann mit dem "Schutzschild" angezeigt wird. Windows weiss also über irgendwelche Mechanismen, dass hier Adminrechte notwendig ist. Das Programm hat bspw. auch ein selbstupdate, mit u.U. auch Programmupdates eingespielt werden müssen. Somit braucht das Ding zwingend Admin Rechte. Im echten produktiven Umfeld ist das nicht so schlimm, da das einmal gestartet wird (initial wird natürlich auch ein Admin-Token angefordert). Dann legt es einen Task mit erhöhten Rechten an und prüft ob irgendwelche Updates von Daten oder Programmen verfügbar sind, nach denen es sucht. Auf dem Demoserver habe ich schon signalisiert bekommen, ware es mehr als toll, wenn dieses UAC Ding nicht anspringt. Solch ein Unterfangen scheint von Microsoft (warum auch immer) nicht gewünscht zu sein. Auf jeden Fall gibt es keine einfache Lösung zu einer einfachen Fragestellung. Die Methode mit der Aufgabenplanung, dort eine anzulegen und diese per Verknüpfung dann aufzurufen, hat für mich auch nicht geklappt. Auf jeden Fall habe ich es nicht hinbekommen. Wenn ich die Aufgabe dann starte, sehe ich das Programmfenster nicht mehr obwohl die Anwendung gestartet wurde. Die Tipps hierzu scheinen sich auch immer darauf zu beziehen, dass man selbst derjenige ist, der die Aufgabe anlegt und diese dann ohne UAC ausführt (bspw. um Regedit gleich als Admin ohne UAC zu starten). Ich aber will die Aufgabe anlegen, ein anderer Benutzer aber soll diese aufrufen können. Da die Anwendung interaktiv ist, wäre es nett, derjenige würde die Anwendung auch sehen. Dann gibt es noch so Tools, welche die UAC umgehen. Ich denke, die legen einen Dienst oder so mit entspr. Rechten im Hintergrund an, über den dann die Anwendung mit den benötigten Rechten gestartet werden kann. Ich weiss aber nicht ob ich denen über den Weg trauen soll. Es scheint also keine wirklich tolle Lösung für mein Problem zu geben. Den Benutzern Admin Rechte zu erteilen schmeckt mir natürlich auch nicht so wirklich. Ich weiss jetzt nicht, ob ich mir die Mühe machen soll, meinen "persönlichen Trojaner" zu programmieren, der dann das Tool mit Admin Rechten im Kontext eines Benutzers starten kann, ohne dass die UAC hoch kommt. Gruß Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 1. Juli 2015 Melden Teilen Geschrieben 1. Juli 2015 Moin, also, erstmal ist es alles andere als wünschenswert, eine Applikation als Admin laufen zu haben. Jeder Prozess, der von dort gestartet wird, hat auch Adminrechte. Man braucht also nur über den Datei-öffnen-Dialog irgendein Programm zu starten, und schon läuft auch das als Admin. Zweitens willst du nicht den UAC-Dialog "durchwinken", sondern vermeiden. Drittens bekommt man fast alle Programme durch gezieltes Bearbeiten von Berechtigungen gefügig. Es kostst halt ggf. etwas Zeit. Aber du scheinst ja noch nicht mal erwogen zu haben, dir die zu nehmen. Falls doch: Der Process Monitor kann eine große Hilfe sein. Viertens wäre es auf einem Demoserver (wenn er denn wirklich einer ist, d.h. sich in einer isolierten Umgebung befindet) u.U. auch machbar, die UAC abzuschalten, im Sinne eines kontrollierten Risikos. Damit ist alles Nötige dazu gesagt, ich klinke mich aus. Gruß, Nils Zitieren Link zu diesem Kommentar
wos 0 Geschrieben 1. Juli 2015 Autor Melden Teilen Geschrieben 1. Juli 2015 Hi, die Fragestellung scheint wohl nicht so einfach zu lösen zu sein. Egal - das gibts. Hätte ich nicht noch 15 andere Tickets bei mir offen, die schnell noch abzuarbeiten wären, würde ich da auch noch mehr Energie reinstecken. Zumal die UAC an sich ja ganz ok ist und sich außerhalb meines Demoservers eine derartige Fragestellung nicht stellt. Ich werde das jetzt so "lösen", dass ich jeden in die lokale Admin Gruppe stecke und über die GPO das (wie von daabm geschrieben) so konfiguriere, dass zum. die Passwortabfrage verschwindet. Ganz abschalten will ich es nicht, in der Hoffnung, die User denken vielleicht noch kurz drüber nach, bevor Sie irgendwo draufklicken (die Hoffnung stirbt zuletzt). Ich habe mal als letzten Versuch in der Registry, im Userprofile Ordner und im Programmordner Vollzugriff für Benutzer gegeben. Hilft nix. Die UAC kommt hoch, so lange Sie am Server eingeschaltet ist. Also, schlage ich da jetzt mal ein Ei drüber! Gruß und Danke für die Tipps ps: Sollte ich jemals die Antwort auf die Frage haben, dann schreibe ich es hier noch rein. Ein Tool was am meisten in die Richtung geht ist "UAC Trust Shortcut". Zitieren Link zu diesem Kommentar
XP-Fan 215 Geschrieben 1. Juli 2015 Melden Teilen Geschrieben 1. Juli 2015 Hallo, du willst wirklich jeden Benutzer auf dem Terminalserver als Admin arbeiten lassen ? Bist du dir damit ganz Sicher ? Bevor ich einen solchen Schritt machen würde wäre das komplette Abschalten der UAC eine Option. Zitieren Link zu diesem Kommentar
wos 0 Geschrieben 1. Juli 2015 Autor Melden Teilen Geschrieben 1. Juli 2015 Hi, na ja - wollen, sicher sein, ist übertrieben. Es wird halt von oben vorgegeben, was machbar sein muss. Wenn jetzt dieses eine Programm gezeigt werden muss, beim Start aber die UAC anhupft, bin ich ein bisschen in der Zwickmühle. Das Abschalten der UAC selbst würde mir ja noch nichts bringen, da die Anwendung mit Benutzerrechten nicht läuft. Da wird sofort eine entspr. Fehlermeldung in der Anwendung angezeigt, die definitiv gleich auf die fehlenden Rechte hinweist. Insofern müste ich zusätzlich Admin Rechte vergeben. Dann lieber Admin Rechte mit aktivierter UAC. Oder habe ich da jetzt was übersehen bzw. bin auf dem Holzweg? Gruß Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 1. Juli 2015 Melden Teilen Geschrieben 1. Juli 2015 Ja bist Du! Anwendungen die angeblich nur mit Adminrechten laufen sind in der Regel meist nur schlampig umgesetzt. Man benötigt lediglich die Kenntnis welche Rechte das Programm benötigt, dazu hast Du hier von Nils bereits eine Möglichkeit der Problemidentifizierung und -lösung erhalten, musst Du nur noch umsetzen, dann braucht niemand ausser dem Admin auch Adminrechte. Grüsse Gulp Zitieren Link zu diesem Kommentar
wos 0 Geschrieben 1. Juli 2015 Autor Melden Teilen Geschrieben 1. Juli 2015 Ok - ich hab mal den Process Monitor runtergeladen. Da wohl von Interesse ist, was vor und nach der UAC Abfrage passiert, nehme ich mal an, dass muss unter dem Account des Benutzers (ohne Admin Rechte) passieren. Wenn ich Procmon dort starte springt dort auch erst mal die UAC an. Nach Eingabe der Anmeldeinformationen läuft das Ding. Ich stelle den Filter auf die EXE ein und starte diese. Jetzt komt der UAC Promt. Ich hab die EXE dann erst mal beendet und mir angesehen, was Procmon angezeigt hat. Es waren ganze 7 Einträge alle mit SUCCESS als Ergebnis. Im 2. Anlauf habe ich die EXE nochmal gestartet und dann die Anmeldeinformationen des Admins eingegeben. Die Anwendung ist normal gestartet ... ich muss zugeben, ich bin alles andere als versiert mit Procmon und stand dann vor 2376 Einträgen. Fast alle mit Success. Manchmal hat es wohl einen Key in der Registry nicht gefunden. Mir ist jetzt aber nichts aufgefallen, was das Problem wäre. Ausserdem bin ich jetzt ja schon hinter dem bestätigten UAC Promt - also mit Admin Token. Was sollte ich dort rauslesen können? Müsste ich es nicht irgendwie schaffen, dass die Anwendung im Kontext des normalen Benutzers läuft (was Sie ja nicht tut) um hinterher zu sehen, wann im Startprozess was irgendwo gegen die Wand gefahren ist? Gibts da irgendwo einen Filter um die relevanten Ergenisse angezeigt zu bekommen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.