UKortkamp 13 Posted November 26, 2009 Report Share Posted November 26, 2009 Hallo zusammen. die grundsätzlichen Funktionen der Benutzerkontensteuerung (UAC) sind mir wohl bekannt (und erachte sie auch als sinnvoll). Egal ob gut oder schlecht, es gibt nun einmal lieb gewonnene (alte) Software, auf die ich nicht verzichten möchte - die allerdings jedes mal beim Start den UAC Dialog hochbringt. Wenn möglich möchte ich nicht jedes mal den Dialog bestätigen müssen - geschweige denn diese Programme "als Administrator starten", sondern ihnen nur die zusätzlichen Rechte geben, die sie brauchen um ohne UAC Dialog zu starten (und damit natürlich auch nicht die bekannten Tricks über Aufgabenplanung etc. einsetzen) Bei 1 Programm half es z.B. auf "C:\Program Files\ProgrammName\SubFolder" den "Benutzern" Schreibrechte zu geben, da das Programm dort Dateien ablegen wollte. Nun meine Frage: Kennt jemand eine Möglichkeit herauszufinden WARUM Windows den Dialog bringt? (klar.. Adminrechte erforderlich) - aber herauszufinden was GENAU an dieser Stelle erfordert Adminrechte? Danke im Voraus Uwe Quote Link to comment
LukasB 10 Posted November 26, 2009 Report Share Posted November 26, 2009 Windows zeigt den Dialog an wenn der Entwickler des Programmes in dessen Manifest verankert hat dass das Programm Adminrechte erfordert. Step 6: Create and Embed an Application Manifest (UAC) Das hilft dir also nicht wirklich bei deinem Problem. Der richtige Schritt wäre bei dem Hersteller der Software einen Bugreport zu eröffnen. Falls das aus irgendeinem grund nicht möglich ist, bleibt dir nichts anderes übrig als mit Process Explorer und ähnlichen Tools mühsam herauszufinden was das Programm alles macht. Quote Link to comment
Sunny61 805 Posted November 26, 2009 Report Share Posted November 26, 2009 Bei 1 Programm half es z.B. auf "C:\Program Files\ProgrammName\SubFolder" den "Benutzern" Schreibrechte zu geben, da das Programm dort Dateien ablegen wollte. Nun meine Frage: Kennt jemand eine Möglichkeit herauszufinden WARUM Windows den Dialog bringt? (klar.. Adminrechte erforderlich) - aber herauszufinden was GENAU an dieser Stelle erfordert Adminrechte? Schreibende Zugriffe erfordern Adminrechte in %programfiles%. Heute genauso wie schon zu Zeiten von NT4. Es hat sich jemand die Mühe gemacht: Setzten von Berechtigungen für Programme, die als Benutzer nicht ausgeführt werden können, aber als Administrator einwandfrei laufen Quote Link to comment
UKortkamp 13 Posted November 27, 2009 Author Report Share Posted November 27, 2009 Danke schon mal für eure Antworten. Den Bericht hatte ich wohl auch schon gefunden (und auch damit versucht) - das Problem unter Win7 (und vermtl bei VISTA identisch) scheint zu sein, das Windows einen Schreibversuch abfängt und den UAC Dialog bringt, BEVOR die Monitoring Tools es protokollieren können (da es unter XP kein UAC gab, bekamen die Programme dann eben ein AccessDenied zurück - und das "sehen" FileMon und konsorten) Zum Verständnis: Gebe ich einem Ordner oder RegKey Vollzugriffsrechte für "Benutzer" dürfte UAC dort doch nicht mehr greifen!? - oder prüft Windows einfach den Versuch dorthin zu schreiben OHNE Überprüfung ob der User Rechte hätte oder nicht? Besten Dank Uwe Quote Link to comment
LukasB 10 Posted November 27, 2009 Report Share Posted November 27, 2009 Lies bitte nochmal meine Antwort, speziell den MSDN-Link. Ein UAC-Dialog wird nicht durch irgendwelche Zugriffsversuche angezeigt, sondern wenn der Entwickler der Anwendung das so vorgesehen hat. Quote Link to comment
UKortkamp 13 Posted November 28, 2009 Author Report Share Posted November 28, 2009 Hallo Lukas, den MSDN Link hatte ich wohl auch schon gelesen und (hoffentlich) auch verstanden. In Kurzform interpretiert: der Programmierer übergiebt im Manifest welche minimalen Rechte seine Anwendung benötigt, um korrekt zu funktionieren. Was aber ist mit Applikationen, die KEIN Manifest mitbringen - wie z.B. auch jegliche Form von "malicious Code" (Viren, Würmer etc.)? Ich denke, das dies eigentlich der Hauptentwicklungsgrund von UAC war!? Ich habe dort jedenfalls nichts rauslesen können, wie sich eine Anwendung verhält, wenn sie kein Manifest mitbringt. Besten dank weiterhin für eure Mühe und Geduld. Quote Link to comment
LukasB 10 Posted November 28, 2009 Report Share Posted November 28, 2009 Was aber ist mit Applikationen, die KEIN Manifest mitbringen - wie z.B. auch jegliche Form von "malicious Code" (Viren, Würmer etc.)? Applikationen ohne Manifest lösen grundsätzlich keinen UAC-Prompt aus, es sei denn die "Setup Detection" schlägt an. How do I enable and disable application setup detection in User Account Control? Setup Detection geht auf den Dateinamen (z.B. setup.exe) oder den Programmnamen (z.B. InstallShield Installer). Irgendwo gibts dafür eine Tabelle, aber ich habe die auf die schnelle nicht gefunden. Anwendungen ohne Manifest laufen auch unter File-Access Virtualization (%APPDATA%\..\Local\VirtualStore) und Registry-Virtualization (HKLM-Redirect). Ich denke, das dies eigentlich der Hauptentwicklungsgrund von UAC war!? Der Hauptgrund für die Entwicklung von UAC war es faule ISVs dazu zu bringen ihre Schrottsoftware endlich auf das Niveau von NT4 zu bringen ;) Ich habe dort jedenfalls nichts rauslesen können, wie sich eine Anwendung verhält, wenn sie kein Manifest mitbringt. Understanding and Configuring User Account Control in Windows Vista Hier ist noch eine gute Beschreibung von Virtualization. Quote Link to comment
tacher 10 Posted November 28, 2009 Report Share Posted November 28, 2009 Was aber ist mit Applikationen, die KEIN Manifest mitbringen - wie z.B. auch jegliche Form von "malicious Code" (Viren, Würmer etc.)? Grundsätzlich läuft jeder Prozess, der unter einer Standard Benutzer Cridential (Mit Admin Rechten) läuft dann in einem Modus in dem er nur Standard User Priviledges erhält. Alle Aktionen für die er keine Berechtigung hat werden entweder mit der Virtualisierungsfunktion gehandhabt oder er bekommt ein ganz einfaches Access Denied als Antwort. Die Virtualisierungsfunktion wird hauptsächlich eingesetzt um Legacy Software kompatibel erscheinen zu lassen mit UAC auch wenn sie nur mit Standard User Priviledges läuft. Meist funktioniert die Software dann jedoch nur so lange, wie sie nur ein User alleine auf dem PC benützt :) Wie oben bereits erwähnt kommt der UAC Dialog nur wenn die Applikation die Elevated User Cridentials wirklich anfordert. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.