Zum Inhalt wechseln


Foto

Benutzer als lokale Admins, DB-Software läuft sonst nicht


  • Bitte melde dich an um zu Antworten
31 Antworten in diesem Thema

#16 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 12. April 2016 - 06:20

Ich hab schon öfters mit Software zu tun gehabt, die Adminrechte vorausgesetzt hat. Zu 99,9% hat bisher ausgereicht, auf ein Verzeichnis oder auf eine Datei Schreibrechte zu setzen. Bin ich deshalb ein Bastler?

Und wenn er die SW länger testen muss, ist es immer noch besser an ein paar Stellen die Rechte 'anzupassen' als die unbedarften User mit Adminrechten auszustatten.

und was macht der Bäcker nach 3 Monaten, wenn plötzlich mitten im Betrieb irgendwas nicht mehr läuft (autom. Updates, Quartalsabrechnung, etc), weil es doch noch eine seltener benutzte 2.-te Datei oder Verzeichnis gibt, der die Rechte fehlen.

"Hilfe: Ich brauch wieder meinen Bastler!" :-)


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#17 Mr_Marple

Mr_Marple

    Junior Member

  • 140 Beiträge

 

Geschrieben 18. April 2016 - 09:52

Sorry dass ich jetzt erst antworte.

 

Es ist schon mal tröstlich, dass ich mit meinem Ärger nicht alleine bin. ;)

 

Es wird vermutlich mehr als nur diese Bäckereisoftware geben, oder?
 

 

Das schon, nur sind auch alle Kassensysteme damit ausgestattet und eine Umstellung des kompletten Systems werde ich dem Bäcker nicht einreden können.

Ich weiß schon, dann wäre er auch selber schuld wenn was passiert, aber man will ja trotzdem seine Schäfchen behüten, auch wenn sie zickig und unbelehrbar sind. :rolleyes:

 

 


Der Hersteller soll darlegen, welche Privileges sein Account warum braucht. Dann gib ihm einen User mit nur diesen Privileges in der LGPO.

Auch NTFS-Rechte können explizit gesetzt werden.

 

Frag den Hersteller, ob  ein "Power User" auch genügen würde :-)

 

blub

 

Auf Anfragen dieser Art wird im Regelfall nur mit Standardantworten Auskunft gegeben.

Und die lauten einfach nur, dass eben Adminrechte nötig sind und mit UAC nichts passieren kann.... :(

 

 

Die Bastelei mit Processmonitor hatte ich auch schon mal probiert, aber ich habe damals nichts zusammenbekommen. Ich weiß aber nicht mehr, welche Komponenten ich alle überprüft habe.

Das war auch meine private Zeit, die mir der Bäcker auch nicht bezahlt hätte und der Hersteller schon gar nicht, obwohl das seine Aufgabe wäre.

 

So wie ich das sehe, kann ich da anscheinend nicht viel Ausrichten, wenn der Hersteller stur bleibt.

 

Schade irgendwie.

Für jedes reelle Produkt das man kaufen kann, gibt es mittlwerweile fast längere Sicherheitshinweise als Bedienungsanleitungen.

Es gibt TÜV, Gesetze und sonstige Normen und Vorschriften.

 

Aber bei Software ist das egal, die darf auch gerne so sicher wie ein Häcksler ohne Gehäuse sein, da haben die Hersteller freien Lauf. :mad:

 

Danke jedenfalls.

 

LG



#18 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 18. April 2016 - 10:29

Nach meiner Erfahrung gibt es  nur eine Hürde, die man mit "basteln" nicht nehmen kann: Wenn eine Anwendung versucht dynamisch einen  Kerneltreiber  zu laden.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#19 Cybquest

Cybquest

    Expert Member

  • 1.882 Beiträge

 

Geschrieben 18. April 2016 - 10:58

Ggf. könnte statt Adminrechten für den User auch sowas wie "Privilege Authority" als Krücke helfen?

http://privilegeforu.../afv/topic.aspx


My name is Frank, you can say you to me.

#20 Sunny61

Sunny61

    Expert Member

  • 22.101 Beiträge

 

Geschrieben 18. April 2016 - 11:06

Die Bastelei mit Processmonitor hatte ich auch schon mal probiert, aber ich habe damals nichts zusammenbekommen. Ich weiß aber nicht mehr, welche Komponenten ich alle überprüft habe.
Das war auch meine private Zeit, die mir der Bäcker auch nicht bezahlt hätte und der Hersteller schon gar nicht, obwohl das seine Aufgabe wäre.


Weißt Du denn wo und wann genau die SW aussteigt, wenn keine Adminrechte vorhanden sind? Ich hatte das schon bei mehreren Anwendungen erfolgreich zum Laufen gebracht. ProcessMonitor als Admin starten, Software als Benutzer starten. Im Process Monitor auf die EXE filtern, da solltest Du schon die ersten Fehler bekommen. Ja, das kann in Arbeit ausarten, aber IMHO besser eine Stunde arbeiten als alle Benutzer mit Adminrechten laufen lassen.

Schade irgendwie.
Für jedes reelle Produkt das man kaufen kann, gibt es mittlwerweile fast längere Sicherheitshinweise als Bedienungsanleitungen.
Es gibt TÜV, Gesetze und sonstige Normen und Vorschriften.
 
Aber bei Software ist das egal, die darf auch gerne so sicher wie ein Häcksler ohne Gehäuse sein, da haben die Hersteller freien Lauf. :mad:


Man müsste es einfach mal drauf ankommen lassen, denn im Falle des Falles müsste ich den Hersteller in Regress nehmen können, wenn sich ein Benutzer/Firma wegen diesem 'Sicherheitsmangel' einen Virus (Locky) einfängt und deshalb ein paar Tage nicht mehr Arbeiten kann.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#21 testperson

testperson

    Board Veteran

  • 4.512 Beiträge

 

Geschrieben 18. April 2016 - 11:55

Man müsste es einfach mal drauf ankommen lassen, denn im Falle des Falles müsste ich den Hersteller in Regress nehmen können, wenn sich ein Benutzer/Firma wegen diesem 'Sicherheitsmangel' einen Virus (Locky) einfängt und deshalb ein paar Tage nicht mehr Arbeiten kann.

Nicht nur in diesem Fall könnte es wie gesagt vielleicht helfen, wenn man seine "Wünsche" einmal der GF des Bäckers vorforumilert, sodass die dann ein Schreiben aufsetzen könnten, indem schriftlich um Bestätigung dieser Umstände gebeten werden könnte. Notfalls setzt sich noch ein Rechtsanwalt mit der Bäcker GF an den Tisch und greift beim formulieren unter die Arme. Du hast ja scheinbar schon alles andere versucht.


Good morning, that's a nice TNETENNBA!

#22 Sunny61

Sunny61

    Expert Member

  • 22.101 Beiträge

 

Geschrieben 18. April 2016 - 12:18

Nicht nur in diesem Fall könnte es wie gesagt vielleicht helfen, wenn man seine "Wünsche" einmal der GF des Bäckers vorforumilert, sodass die dann ein Schreiben aufsetzen könnten, indem schriftlich um Bestätigung dieser Umstände gebeten werden könnte. Notfalls setzt sich noch ein Rechtsanwalt mit der Bäcker GF an den Tisch und greift beim formulieren unter die Arme. Du hast ja scheinbar schon alles andere versucht.


Ich kann mir allerdings die Reaktion des SW-Herstellers vorstellen: Bisher lief es bei allen, bisher gab es noch keine Probleme, weshalb dann ändern? So einen Hersteller kriegt man nicht umgedreht, man kann ihn nur durch Kündigung strafen.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#23 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.629 Beiträge

 

Geschrieben 18. April 2016 - 12:51

Ich bin für einen Flashmob vor der Firmenzentrale... :D


Bearbeitet von Nobbyaushb, 18. April 2016 - 12:52.

Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#24 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 18. April 2016 - 12:54

Ich fordere Adminrechte  für das Bürogebäude ;)


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#25 testperson

testperson

    Board Veteran

  • 4.512 Beiträge

 

Geschrieben 18. April 2016 - 12:54

Daher soll sich das Software Haus ja schriftlich äußern. Wird das verweigert, dürfte auch der Bäckerei klar werden, dass da was nicht stimmt. Und wenns ja unbedenklich ist, wird das SW Haus ja alles absegnen.

 

Besser keinen Flash Mob, nachher gibts die nächste "Staatsaffäre" :D


Good morning, that's a nice TNETENNBA!

#26 lefg

lefg

    Expert Member

  • 20.480 Beiträge

 

Geschrieben 18. April 2016 - 14:18

Bei XP solch einen Fall gelöst:

 

- eine Lösung war, den Benutzer in die Sicherheitsgrupe der Hauptbenutzer aufzumehmen

- die andere war, dem Benutzer Schreibrecht zu geben auf eine Datei der Software.

 

Begonnen wurde mit Rechten auf das ganze Verzeichnis, dann fein granuliert, bis die Datei gefunden. Ich gestehe es, ich konnte nicht mit dem Prozessmonitor umgehen.

 

Es handelte sich um ein Lexware financial office pro. Die Software war installiert für Einzelrechner, die Datenhaltung(DB) auf dem Rechner, der Rechner war aber Member einer Domäne. Im Normalfall wäre die Datenhaltung aber auf einem Server geschehen.


Bearbeitet von lefg, 18. April 2016 - 14:28.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#27 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 18. April 2016 - 14:24

Bei XP solch einen Fall gelöst:

 

- eine Lösung war, den Benutzer in die Sicherheitsgrupe der Hauptbenutzer aufzumehmen

 

 Schlechte Idee.  Power User haben Admin-Rechte, wissen das nur nicht.

Daher hat der Power User seit Vista die gleichen Rechte wie der Standard-User. Er wurde quasi abgeschafft.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#28 testperson

testperson

    Board Veteran

  • 4.512 Beiträge

 

Geschrieben 18. April 2016 - 14:27

Daher hat der Power User seit Vista die gleichen Rechte wie der Standard-User. Er wurde quasi abgeschafft.

Man kann das alte Verhalten aber auch in neuen Windows Versionen wieder aktivieren ;) Wobei MS doch früher die Aussage getroffen hat "Do not use Power Users". Oder irre ich mich grade.


Good morning, that's a nice TNETENNBA!

#29 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 18. April 2016 - 14:30

Hier steht was dazu:

 

https://technet.micr...y/cc771990.aspx

 

Man wenn man das alte Verhalten wirklich wieder aktiviert, muss man wissen was man tut. Das macht man nicht aus versehen.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#30 lefg

lefg

    Expert Member

  • 20.480 Beiträge

 

Geschrieben 18. April 2016 - 14:30

 Schlechte Idee.  Power User haben Admin-Rechte, wissen das nur nicht.

Daher hat der Power User seit Vista die gleichen Rechte wie der Standard-User. Er wurde quasi abgeschafft.

 

Jan, es ist keine Idee, isi nicht als Anregung zum Machen gedacht, es ist lediglich Teil einer Schilderung.


Bearbeitet von lefg, 18. April 2016 - 14:33.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)