Programme "Als Administrator ausführen" funktioniert nicht

[jsydfhg 10]

Hallo Leute,

 

ich habe hier einen PC mit Windows Vista Ultimate. Der PC befindet sich in einer 2003er Domäne und die UAC wurde deaktiviert.

 

Normalerweise arbeite ich an diesem PC unter meinem Benutzer der zur Gruppe "Domänen-Benutzer" gehört. Die Gruppe wurde zusätzlich am PC in der Gruppe "Hauptbenutzer" aufgenommen.

 

Unter XP konnte ich so prima arbeiten, da ich z.B. Anwendungen über das Kontextmenü "Ausführen als" unter dem Domänen-Admin installiert habe. Leider scheint diese Funktion unter Vista etwas anders bzw. gar nicht zu funktionieren!:confused:

 

Sobald ich eine Anwendung über das Kontextmenü "Als Administrator ausführen" starte, bricht diese auf Grund mangelnder Berechtigung ab. Was mich sowieso stutzig macht, ist die Tatsache, dass ich mich nie als Admin authentifizieren muss.:suspect: Woher weiß Vista also, unter welchem Konto ich die Anwendung "als Administrator" ausführen möchte?

 

Fakt ist, das Arbeiten als Benutzer unter Vista macht so keinen Spaß! Ich bin häufig gezwungen im Betrieb den Benutzer zu wechseln, mich als Admin zusätzlich anzumelden und eine Anwendung auszuführen, danach den Admin abzumelden und mit meinem Benutzer weiter zu arbeiten.

 

Muss man für die Option "Als Administrator ausführen" irgendwo noch eine Einstellung tätigen, damit sie so wie unter XP funktioniert oder besitzt dieses Feature generell einen Bug?

[Sunny61 773]

Ich glaube, Norbert hat dich schon mal gefragt, warum die Domain-User in der lokalen Gruppe der Hauptbenutzer sind. Mach das doch mal rückgängig, starte den Client neu und probiers nochmal.

 

Da Du eh nur mit Userrechten arbeitest, kannst Du UAC auch wieder einschalten. Dann muß es auf jeden Fall funktionieren.

[Flatlander 10]

Hast du dir schon mal die Einstellungen in den Gruppenrichtlinien zur Benutzerkonntensteuerung geguckt was da so eingestellt ist?

Verhalten der Anfhebungsaufforderung für Standardbenutzer ist besonders interessant.

 

Läuft der Dienst Anwendungsinformationen?

 

Zum Thema Hauptbenutzer der hat standardmäßig keine besonderen Rechte(also nicht mehr als ein normaler Benutzer), die müssen erst noch vergeben werden.

[jsydfhg 10]

** OFFTOPIC **

Standardmässig darf der Hauptbenutzer z.B. im Verzeichnis c:\Programme\ Daten ändern, der "normale" Benutzer nur lesen. Natürlich ist es kein riesen Unterschied ob Haupt- oder Benutzer, aber die kleinen Details ziehen sich durch das gesamte System.

 

Da wir viel mit Datenbankanwendungen arbeiten, wofür die User auch häufig Ändern-Rechte benötigen, haben wir uns auf diese Methode (Hauptbenutzer = Domänenbenutzer) geeinigt.

 

Verstehe leider immernoch nicht, was daran so falsch ist?

 

** BACK TO TOPIC **

@Sunny61

Funktioniert dieses Feature nur mit aktivierter UAC korrekt? Wenn ja, ist das durchaus interessant! :-)

[Sunny61 773]

** OFFTOPIC **

Standardmässig darf der Hauptbenutzer z.B. im Verzeichnis c:\Programme\ Daten ändern, der "normale" Benutzer nur lesen. Natürlich ist es kein riesen Unterschied ob Haupt- oder Benutzer, aber die kleinen Details ziehen sich durch das gesamte System.

 

Dann vergib die benötigten Rechte znetral mittels GPO: Eingeschränkte Gruppen

Und noch einen Artikel zum rausfinden, wo welche Rechte benötigt werden: Setzten von Berechtigungen für Programme, die als Benutzer nicht ausgeführt werden können, aber als Administrator einwandfrei laufen

 

Da wir viel mit Datenbankanwendungen arbeiten, wofür die User auch häufig Ändern-Rechte benötigen, haben wir uns auf diese Methode (Hauptbenutzer = Domänenbenutzer) geeinigt.

 

Dann sind die Anwendungen flasch programmiert. Ja, ich weiß, ich kann leicht reden, es ist aber leider so. Gibts ein Laufwerk D:\ als 2. Partition auf den Clients? Wenn ja, dann würde ich diese Programme dorthin installieren. Noch besser ist es allerdings, den Hersteller zu verdonnern die Programme auch als Benutzer zum laufen zu bekommen.

 

 

Verstehe leider immernoch nicht, was daran so falsch ist?

 

Warum einem Benutzer SYSTEMWEIT mehr Rechte einräumen, als nötig ist.

 

 

** BACK TO TOPIC **

@Sunny61

Funktioniert dieses Feature nur mit aktivierter UAC korrekt? Wenn ja, ist das durchaus interessant! :-)

 

Probiers aus und Du weißt es genau. Ich kann es mangels VISTA hier in der Firma nicht testen.

[Flatlander 10]

** OFFTOPIC **

Standardmässig darf der Hauptbenutzer z.B. im Verzeichnis c:\Programme\ Daten ändern, der "normale" Benutzer nur lesen. Natürlich ist es kein riesen Unterschied ob Haupt- oder Benutzer, aber die kleinen Details ziehen sich durch das gesamte System.

 

Das war unter XP so, ist aber standardmäßig nicht unter Vista so.

 

 

** BACK TO TOPIC **

@Sunny61

Funktioniert dieses Feature nur mit aktivierter UAC korrekt? Wenn ja, ist das durchaus interessant! :-)

 

Wenn du UAC deaktiviert hast, wird es bestimmt daran liegen, dass es nicht funktioniert.

Wie gesagt, du kannst dir mit Gruppenrichtlinien die Benutzerkonntensteuerung ganau anpassen wie ihr es haben wollt.

[jsydfhg 10]

@Flatlander

Vielen Dank! Ich werde mir GPO für die UAC mal genau anschauen.

 

@sunny61

Fakt ist, egal wie die Anwendung programmiert ist, sobald Änderungen in der DB gespeichert werden müssen, ist mit der NTFS-Berechtigung "Lesen" Ende. Spielt jetzt aber auch keine Rolle, ich werde den Vorschlag von Flatlander mal ausprobieren.

[Sunny61 773]

@sunny61

Fakt ist, egal wie die Anwendung programmiert ist, sobald Änderungen in der DB gespeichert werden müssen, ist mit der NTFS-Berechtigung "Lesen" Ende.

 

Nein, ist eben nicht egal. Wenn die Anwendung im Setup einen eigenen Pfad fürs DATA-Verzeichnis zulässt, dann ist alles in Ordnung. Alles andere ist Pfusch.

 

Du glaubst ja gar nicht, wieviele Entwickler von .NET und/oder VBX Anzwendungen in dem MS-Newsgroups aufschlagen und fragen warum ihr eigene Anwendung unter VISTA nicht mehr läuft. Einer war dabei, der hat eine Access-DB mit installiert und dort Programmeinstellungen gespeichert. Und besitzt dann noch die Frechheit, das auf MS zu schieben. Was passiert wenn Du eine Access-DB (MDB) öffnest? Ja genau, es wird eine LDB erstellt. Und von solchen Anwendungen gibts noch genügend auf dem Markt, die Entwickler haben bis heute noch nicht die Registry entdeckt. Und wenn sie sie entdeckt haben, dann wollen sie immer in HKLM schreiben. HKCU ist vielen noch nicht bekannt. :mad:

[firefox80 10]

Die Vista-Technische Referenz sagt, dass es unter Vista keine Gruppe Hauptbenutzer mehr gibt. Ich würd also nicht viel Zeit darauf verwenden, damit was zu versuchen :D

[Flatlander 10]

@firefox80 Das ist nicht ganz richtig.

 

Migration von der Hauptbenutzergruppe

 

UAC verwendet nicht die Hauptbenutzergruppe, und die der Hauptbenutzergruppe unter Windows XP gewährten Berechtigungen wurden aus Windows Vista entfernt. UAC ermöglicht Standardbenutzern, alle häufigen Konfigurationsaufgaben durchzuführen. Die Hauptbenutzergruppe ist aber für die Abwärtskompatibilität mit anderen Windows-Versionen immer noch verfügbar. Um die Hauptbenutzergruppe unter Windows Vista zu verwenden, muss eine neue Sicherheitsvorlage angewendet werden, um die Standardberechtigungen für Systemordner und die Registrierung so zu ändern, dass die Hauptbenutzergruppe gleichwertige Berechtigungen wie unter Windows XP erhält.

 

Das ganze kann man hier noch mal nachlesen.

 

@lorenzo_84 Gibt es schon Erfolge zu vermelden?

[jsydfhg 10]

Also wie in meinem anderen Vista-Thread bereits geschrieben, ist mein Windows Benutzer nach der allgemeinen Aufregung hier jetzt nur noch normaler "Benutzer". Nachdem ich die UAC aktiviert habe, funktioniert auch das "Ausführen als" wieder korrekt.

 

Leider gibt es dann wieder anderweitige Probleme!

http://www.mcseboard.de/windows-forum-allgemein-28/netzlaufwerk-via-anmeldeskript-verbinden-133518.html#post820112

 

Es kann doch nicht sein, dass dieses Feature nur mit der UAC funktioniert? Sollte man sich anderweitig gegen die UAC entscheiden, ist man quasi immer gezwungen den Benutzer zu wechseln. Das ist auf Dauer leider doch sehr anstregend...