Jump to content
Sign in to follow this  
torstenv

runas per GPO erfordert höhere Rechte unter Vista

Recommended Posts

Hi!

 

Ich habe ein kleines Tool geschrieben, das wie "runas" Software unter einem bestimmten (admin) Benutzer startet. So ähnlich wie "runasspc", das hier vielleicht bekannt ist. Ich verwende das zur Softwareverteilung, indem ich im Ad ein GPO Computerkonfiguration/Administrative Vorlagen/System/Diese Programme bei der Benutzeranmeldung ausführen anlege, was bisher (Win2k, XP) korrekt dazu geführt hat, dass, immer wenn ein Benutzer sich eingeloggt hat, mein Tool startet und mit Admin-Rechten prüft, ob die Software, die der Computer haben soll, auch installiert ist und falls nötig ein unattended setup nachzieht. Dabei habe ich die GPO außerdem per Sicherheitsfilterung an die Mitgliedschaft einer bestimmten Gruppe gebunden, was dazu führt, dass ich einen Rechner in die Gruppe aufnehmen kann, dadurch wird die GPO angewendet und die Software installiert. So eine Art Software-Verteilung für Arme.

 

Dies funktioniert nun unter Vista nicht mehr. Beim Aufruf des runas-ähnlichen Tools zur Privilegieneskalation bekomme ich die Meldung "Der Vorgang erfordert erhöhte Rechte".

 

Nun vermute ich, dass ich dies der UAC verdanke. Bleibt die Frage, wie ich das wieder zum Laufen bekommen kann, und zwar, ohne dass ich jeden Rechner von Hand anfassen muss, sondern über eine Gruppenrichtlinie oder (temporäre) Änderung eines Registry-Keys.

 

Mein Versuch unter "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin " auf 0 zu stellen hat auch nichts gebracht.

 

Über Hilfe würde ich mich echt freuen!

 

Gruß,

T.

 

-----------------

 

Nur als Anmerkung, um Hinweise wie "mach das doch ganz anders, indem du ..." oder so zu vermeiden: Beim Ausrollen mancher Software-Pakete wird zwingend sofort ein Reboot benötigt. Da ich dem Benutzer den Rechner nicht während der Arbeit an seinen Dokumenten wegreißen kann, muss der automatisch durch die Installation angestoßene Reboot zu einem Zeitpunkt erfolgen, bei dem der Benutzer noch nichts Wichtiges gemacht haben kann. Daher habe ich "Diese Programme bei der Benutzeranmeldung ausführen" gewählt, denn das ist immer zu einem Zeitpunkt, bei dem der Benutzer den Reboot problemlos verkraften kann.

Share this post


Link to post

Da vermutest Du richtig, es hängt mit der UAC zusammen ... Wahrscheinlich erfolgt nach dem Aufruf Deines Tools kein "Elevation Prompt" (beim Microsoft RUNAS im Übrigen auch nicht), so dass keine Privileganhebung erfolgt.

Die UAC kann man via GPO an- bzw. ausschalten, ebenso kann man ihr Verhalten beeinflussen und diese Einstellungen findest Du in den Sicherheitsoptionen des GPOs. Erstelle die Richtlinie von einer Vista-Maschine aus ...

Share this post


Link to post
UAC abgeschaltet ?

Ich habe mal alles Mögliche abgeschaltet (siehe Screenshot in meinem Posting von oben), vermutlich mehr als ich gemusst hätte, was aber an sich kein Risiko darstellt, da die GPO nicht permanent gilt, sondern nur kurzzeitig während der Prüfung / Installation der Software. Ist das erfolgreich durchgelaufen, wird der Rechner wieder aus der Gruppe rausgenommen und damit gilt die GPO nicht mehr und alles ist wie vorher.

 

Gruß,

T.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...