Jump to content

runas per GPO erfordert höhere Rechte unter Vista


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi!

 

Ich habe ein kleines Tool geschrieben, das wie "runas" Software unter einem bestimmten (admin) Benutzer startet. So ähnlich wie "runasspc", das hier vielleicht bekannt ist. Ich verwende das zur Softwareverteilung, indem ich im Ad ein GPO Computerkonfiguration/Administrative Vorlagen/System/Diese Programme bei der Benutzeranmeldung ausführen anlege, was bisher (Win2k, XP) korrekt dazu geführt hat, dass, immer wenn ein Benutzer sich eingeloggt hat, mein Tool startet und mit Admin-Rechten prüft, ob die Software, die der Computer haben soll, auch installiert ist und falls nötig ein unattended setup nachzieht. Dabei habe ich die GPO außerdem per Sicherheitsfilterung an die Mitgliedschaft einer bestimmten Gruppe gebunden, was dazu führt, dass ich einen Rechner in die Gruppe aufnehmen kann, dadurch wird die GPO angewendet und die Software installiert. So eine Art Software-Verteilung für Arme.

 

Dies funktioniert nun unter Vista nicht mehr. Beim Aufruf des runas-ähnlichen Tools zur Privilegieneskalation bekomme ich die Meldung "Der Vorgang erfordert erhöhte Rechte".

 

Nun vermute ich, dass ich dies der UAC verdanke. Bleibt die Frage, wie ich das wieder zum Laufen bekommen kann, und zwar, ohne dass ich jeden Rechner von Hand anfassen muss, sondern über eine Gruppenrichtlinie oder (temporäre) Änderung eines Registry-Keys.

 

Mein Versuch unter "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin " auf 0 zu stellen hat auch nichts gebracht.

 

Über Hilfe würde ich mich echt freuen!

 

Gruß,

T.

 

-----------------

 

Nur als Anmerkung, um Hinweise wie "mach das doch ganz anders, indem du ..." oder so zu vermeiden: Beim Ausrollen mancher Software-Pakete wird zwingend sofort ein Reboot benötigt. Da ich dem Benutzer den Rechner nicht während der Arbeit an seinen Dokumenten wegreißen kann, muss der automatisch durch die Installation angestoßene Reboot zu einem Zeitpunkt erfolgen, bei dem der Benutzer noch nichts Wichtiges gemacht haben kann. Daher habe ich "Diese Programme bei der Benutzeranmeldung ausführen" gewählt, denn das ist immer zu einem Zeitpunkt, bei dem der Benutzer den Reboot problemlos verkraften kann.

Link zu diesem Kommentar

Da vermutest Du richtig, es hängt mit der UAC zusammen ... Wahrscheinlich erfolgt nach dem Aufruf Deines Tools kein "Elevation Prompt" (beim Microsoft RUNAS im Übrigen auch nicht), so dass keine Privileganhebung erfolgt.

Die UAC kann man via GPO an- bzw. ausschalten, ebenso kann man ihr Verhalten beeinflussen und diese Einstellungen findest Du in den Sicherheitsoptionen des GPOs. Erstelle die Richtlinie von einer Vista-Maschine aus ...

Link zu diesem Kommentar
UAC abgeschaltet ?

Ich habe mal alles Mögliche abgeschaltet (siehe Screenshot in meinem Posting von oben), vermutlich mehr als ich gemusst hätte, was aber an sich kein Risiko darstellt, da die GPO nicht permanent gilt, sondern nur kurzzeitig während der Prüfung / Installation der Software. Ist das erfolgreich durchgelaufen, wird der Rechner wieder aus der Gruppe rausgenommen und damit gilt die GPO nicht mehr und alles ist wie vorher.

 

Gruß,

T.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...