Weltalltrauma 15 Geschrieben 7. Oktober 2011 Melden Teilen Geschrieben 7. Oktober 2011 Hallo, ich möchte gerne ein Programm mit den Adminrechten eines anderen Benutzer per "Run as" Befehl starten, jedoch soll sich der User nicht lokal anmelden können. In den Sicherheitsrichtlinie habe ich dem lokalen Adminuser die Anmeldung verboten. Versuche ich jedoch das Programm per "run as" Befehl zu starten kommt logischerweise die Meldung, dass für Benutzer xyz keine Anmeldung möglich ist. Gibt es da noch einen Workaround, dass der User das Programm dennoch starten kann, trotz Deaktivierung der Anmeldung? Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 7. Oktober 2011 Melden Teilen Geschrieben 7. Oktober 2011 Moin, nein, das geht nicht. Wozu soll denn das dienen? Gruß, Nils Zitieren Link zu diesem Kommentar
Weltalltrauma 15 Geschrieben 7. Oktober 2011 Autor Melden Teilen Geschrieben 7. Oktober 2011 Ein Programm läuft leider nur mit Adminrechten richtig, jedoch wollen wir vermeiden dass der User komplette Adminrechte hat auf seinem PC. Deswegen der Umweg über den run as befehl. Eine ziemlich bescheidene Lösung, geht aber nichts anders. Danke für die Info,du hast meine Vermutung bestätigt! Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 7. Oktober 2011 Melden Teilen Geschrieben 7. Oktober 2011 Ein Programm läuft leider nur mit Adminrechten richtig, jedoch wollen wir vermeiden dass der User komplette Adminrechte hat auf seinem PC. Deswegen der Umweg über den run as befehl. Eine ziemlich bescheidene Lösung, geht aber nichts anders. Wo genau werden erhöhte Rechte benötigt? Das kannst Du mit Hilfe vom ProcessMonitor heraus finden. Hier gibts ein HowTo das dir dabei hilft: Setzten von Berechtigungen für Programme, die als Benutzer nicht ausgeführt werden können, aber als Administrator einwandfrei laufen Sobald Du weißt an welcher Stelle es hakt, kannst Du per GPO die Berechtigungen setzen. Ob Dateisystem oder Registry, das funktioniert wunderbar über GPOs. Eingeschränkte Gruppen EDIT: Um welches Programm handelt es sich denn? Hast Du mit dem Hersteller schon Kontakt aufgenommen? Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 8. Oktober 2011 Melden Teilen Geschrieben 8. Oktober 2011 Moin, Sehr wahrscheinlich läuft es auch mit Hauptbenutzer. unter Windows 7 haben Hauptbenutzer keine Sonderrechte mehr. (Zum Glück.) Ansonsten kann man dem Benutzer/der Gruppe Berechtigung auf das Programm-/Datenverzeichnis geben, entweder lokal oder per Gruppenrichtlinie. Ja, das schon - aber Vorsicht dabei, die Rechte auf Ordnerebene aufzumachen, ist bereits zu viel. Damit hat ein User, der eine Suchmaschine bedienen kann, schnell Adminrechte. Man sollte daher genau herausfinden, auf welche Datei bzw. welche Reg-Key die Applikation tatsächlich schreibend zugreifen muss und nur dort die Rechte erhöhen. Gruß, Nils Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 8. Oktober 2011 Melden Teilen Geschrieben 8. Oktober 2011 Moin, das mit Win 7 habe ich mal wieder überlesen, mea culpa. Weiter riet ich es versuchsweise. .....Versuchsweise füge man den Benutzer oder die Gruppe in der lokalen Benutzerverwaltung der Gruppe der Hauptbenutzer hinzu; das ist auch per Gruppenrichtlinie machbar, es gibt hier an Board eine Anleitung dazu von Grizzly999. Ansonsten kann man dem Benutzer/der Gruppe Berechtigung auf das Programm-/Datenverzeichnis geben, entweder lokal oder per Gruppenrichtlinie. Sinnvoll erscheint es natürlich, ein den Anforderungen entsprechendes Programm anzuschaffen; nur geht es oft nicht danach. Ich erinnere mich an ein sogenanntes Lexware Pro (ist einige Jahre her), gedacht für Home-, Smalloffice, Einzelplatzrechner. Ich hatte es für Schulungsrechner in einer Domäne bereitzustellen, bin so wie beschrieben verfahren. Die Mädels die daran geschult, die waren gerade mal in der Lage das Bedienen des Programms zu erlernen, einen Hack austüfteln, dazu waren die ganz einfach zu ....... . Man muss eben abwägen. Zitieren Link zu diesem Kommentar
Weltalltrauma 15 Geschrieben 10. Oktober 2011 Autor Melden Teilen Geschrieben 10. Oktober 2011 Erstmal vielen Dank für die Hilfe. Den Support der Herstellerfirma habe ich schon bemüht, aber die konnten oder wollten mir nicht weiterhelfen. Vielen Dank für den Tipp mit dem Process Monitor von Sysinternals, ich kämpfe mich gerade noch ein wenig ab, weil ich es noch nicht hinbekomme, aber wird noch. Ich habe das Problem sowohl auf einer XP wie Win 7 Kiste. Was ich bereits getestet habe: User in die Hauptbenutzergruppe Volle Berichtigung auf den Ordner des Programms Hat jeweils nichts genutzt. Der Tipp mit der Registry konnte ich noch nicht überprüfen, werde ich aber noch. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 10. Oktober 2011 Melden Teilen Geschrieben 10. Oktober 2011 Interessehalber, um welches Programm geht es? Und was funktioniert nicht (richtig)? Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 10. Oktober 2011 Melden Teilen Geschrieben 10. Oktober 2011 Vielen Dank für den Tipp mit dem Process Monitor von Sysinternals, ich kämpfe mich gerade noch ein wenig ab, weil ich es noch nicht hinbekomme, aber wird noch. Ich habe das Problem sowohl auf einer XP wie Win 7 Kiste. Was ich bereits getestet habe: Entweder Du benutzt den Process Monitor oder du versuchst dich weiterhin mit Spielereien. User in die Hauptbenutzergruppe Volle Berichtigung auf den Ordner des Programms Hat jeweils nichts genutzt. Der Tipp mit der Registry konnte ich noch nicht überprüfen, werde ich aber noch. Mit dem Process Monitor wirst Du in sehr kurzer Zeit Ergebnisse erzielen, glaub es mir. Zitieren Link zu diesem Kommentar
Weltalltrauma 15 Geschrieben 12. Oktober 2011 Autor Melden Teilen Geschrieben 12. Oktober 2011 Vielen Dank für den Tipp mit dem Process Monitor. Dadurch habe ich herausgefunden, dass das Programm auf C:/ immer einen temporären Ordner anlegen möchte dafür jedoch keine Rechte hat. Wie das Programm heißt, möchte ich an dieser Stelle nicht sagen, da es ein kleines Nischenprogramm ist. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 12. Oktober 2011 Melden Teilen Geschrieben 12. Oktober 2011 Off-Topic:....Wie das Programm heißt, möchte ich an dieser Stelle nicht sagen, da es ein kleines Nischenprogramm ist. Nun, dann ist es auch gut so. ;) Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 12. Oktober 2011 Melden Teilen Geschrieben 12. Oktober 2011 Vielen Dank für den Tipp mit dem Process Monitor. Dadurch habe ich herausgefunden, dass das Programm auf C:/ immer einen temporären Ordner anlegen möchte dafür jedoch keine Rechte hat. Dann kannst Du ja den Ordner anlegen und per GPO dem Benutzer die entsprechenden NTFS-Berechtigungen per GPO vergeben. Wie das Programm heißt, möchte ich an dieser Stelle nicht sagen, da es ein kleines Nischenprogramm ist. Informiere den Hersteller des Programmes über den Unfug. Einen Temp Ordner legt man nicht einfach so an, maximal legt man in %TEMP% einen Unterordner an. Zitieren Link zu diesem Kommentar
Weltalltrauma 15 Geschrieben 13. Oktober 2011 Autor Melden Teilen Geschrieben 13. Oktober 2011 Dann kannst Du ja den Ordner anlegen und per GPO dem Benutzer die entsprechenden NTFS-Berechtigungen per GPO vergeben. Bei jedem Vorgang wird ein neuer Ordner ( inkl. neuen Namen ) und anschließend wird dieser vom System wieder gelöscht. Das macht die Sache natürlich um einiges komplizierter. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 17. Oktober 2011 Melden Teilen Geschrieben 17. Oktober 2011 Bei jedem Vorgang wird ein neuer Ordner ( inkl. neuen Namen ) und anschließend wird dieser vom System wieder gelöscht. Das macht die Sache natürlich um einiges komplizierter. Du weißt was zu tun ist. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.