ComputerBase Menü
Aktuelles

Großteil der Programme nur als Admin ausführbar - Berechtigungsproblem?

S

sigfrid87

Newbie
Registriert
Okt. 2014
Beiträge
6
Hi Leute,

ich brauche dringend Hilfe bitte.

In meiner Firma arbeite ich an mehreren PCs ; einer davon ist eine Analyse-PC, der von einem deutschen Unternehmen zusammengebaut wurde.

Der PC hat ein Admin-Konto ("USER"), mit dem die ersten paar Tage getestet und probeweise gearbeitet wurde.
Installiert ist Win 8, 64bit.

Nun wollte ich auf dem PC für unsere Fallbearbeiter-Teams verschiedene Standard-Konten einrichten, um jedem Team nur Zugang zu seinen Fällen (die sich dann im Eigene Dokumente-Ordner des jeweiligen Benutzers befinden würden) zu ermöglichen.

Leider habe ich festgestellt, dass ein Großteil der Programme auf dem Rechner Admin-Rechte benötigt und per UAC gesperrt ist (auf den Exe bzw Verknüpfungen ist das blau-gelbe Schild).

Sollte man also mit einem Standard-Konto das Analyse-Programm starten wollen, kommt eine UAC-Abfrage, bei welcher man sich als Admin einloggen muss. Danach läuft jedoch dieses Programm mit Admin-Rechten, und somit ist ein ungehinderter Zugriff innerhalb dieses Programms auf sämtliche (!!) "Eigene Dokumente" von allen Benutzern möglich (über ÖFFEN --> FALL AUSWÄHLEN ... ist dann das aktive Benutzerkonto das "USER"-Profil mit Vollzugriff, statt des Standard-Kontos.)

Der Admin "User" (werkseitig von der dt. Firma eingestellt) zeigt bei nahezu allen Programmen (exe als auch Verknüpfungen) den UAC-Schild an, obwohl die Benutzerkontensteuerung auf "Nie" gestellt ist. Er öffnet die Programme jedoch ohne UAC-Aufforderung oder separatem Log-In.

Nur der versteckte Admin (cmd als admin --> net user administrator /active:yes) zeigt die Programme ohne (!) UAC-Schild an.
Auch hier ist die UAC deaktiviert.

Im Standard-Konto kann man diese klarerweise nur auf Niedrig stellen, jedoch nicht auf "NIE" (also aus).

Ich habe weiters probiert, Vollzugriff auf die Analyse.exe für das jeweilige Standard-Konto einzurichten. Jedoch hat das nichts daran geändert, dass eine UAC-Abfrage mit Admin-Log-In beim Start der Software kommt. Ebenso habe ich auf alle internen Festplatten und SSDs Vollzugriff gestattet. (Nur Testweise: Sonst wäre der Standard-User ja Schwachsinn.)

Die Software-Firma konnte/wollte mir nicht weiterhelfen, weil bei den meisten am PC vorinstallierten Tools verschiedener Software-Hersteller dieses Problem da ist.

Die Firma, die den PC assembled hat, habe ich kontaktiert, nur weiß ich aus Erfahrung, dass mir hier im Board höchstwahrscheinlich schneller und besser geholfen wird.

Vielen lieben Dank,
beste Grüße
Sigfrid
 
Der Thread beschreibt nicht wirklich das gleiche Problem, das sigfrid87 hat...
Ich würde das System nur "auf verdacht" neu aufsetzen wenn das ohne größeren Arbeitseinsatz vonstatten geht.

Generell ist die Frage, was du als Lösung am liebsten hättest. Willst du die UAC allgemein ausgeschaltet haben, oder willst du Versuchen dem Programm geziehlt die Rechte zu geben die es benötigt damit sie eventuell nicht mehr getriggert wird? Um herauszufinden was für Zugriffe eine Executable macht emfiehlt sich der Process Monitor. Damit kannst du einen Filter auf den Prozessnamen deiner exe machen und Result Typ "ACCESS DENIED" und dann mal sehen was für Zugriffe in Filesystem und Registry der Prozess so nicht machen darf. Dann kannst du gezielt darauf Rechte vergeben und schaun ob das was bringt
 
Wenn nicht an der Policy gespielt wurde, kann es nicht sein, daß Admin-Rechte für nahezu alle Programme benötigt werden, zumal das ja auch beim Admin Konto auftritt. Also ist irgendwas im System verstellt oder aber es könnte eine Malware sein.
 
das liegt an keiner Malware, sondern daran, dass Windows 8 wie seine Vorgänger ein Single-User OS ist. Für sein Vorhaben(mehrere User an einem System) ist es nicht ausgelegt. Hier braucht man schon eine Server mit Domain, AD und Terminal-Server. Ist natürlich eine Kostenfrage, weil hier neben der Hardware/OS auch Lizenzen für die Software nötig sein könnten.

Eine mögliche Lösung des Problems hat Syberdoor ja beschrieben, andere Lösung wäre zB. die Software zu virtualisieren, sofern es nicht gegen die Lizenzbestimmungen verstösst.
 
Der Begriff "ein Großteil der Programme" ist halt sehr dehnbar. Und ein Admin User hat mit UAC genauso prompts wie ein anderer, er muss nur kein Passwort eingeben. Um genau zu sein ist UAC nur für die Admin User eingeführt worden, wenn die Leute alle mit Standardbenutzer gearbeitet hätten, wär MS nie auf so eine Idee gekommen...

Auf der anderen Seite ists so... eine Malware zu schreiben die die Zuordnungen für Programme löscht ist einfach, dass die Zuordnungen wieder da sind wenn man das ganze "als Administrator" ausführt und somit einen anderen Benutzerkontext hat ist implizit so... Aber sich so reinzubasteln dass man "als" UAC ausgeführt wird als Malware ist bestimmt nicht ganz so trivial.

Ich stimme dir zu dass sicher nicht die meisten Programme ein UAC Prompt verlangen sollten, aber es kann leicht sein dass man 3-4 Programme mal testet und die das schon brauchen wenn man Pech hat.... Von dem her ists es schwer darüber Schlüsse zu ziehen ohne dass man das System vor sich hat. Daher werd ich darüber nicht viel spekulieren.

Eigentlich würde ich bei einem Firmenpc mit eingeschränktem Benutzerkonto generell dazu raten die UAC komplett zu deaktivieren weil sie rein gar nichts bringt, aber leider ist das unter Windows 8 ein zweischneidiges Schwert, zB gehn dann keine Apps mehr und so.
 
Dann muß das Benutzerkonto aber stark eingeschränkt sein, inklusive Downloadverbot und USB Sperre. Ansonsten ist ein Abschalten der UAC fahrlässig.

Aber ich denke ich weiß, was Du meinst. Die meisten klicken "Ja".
 
Ein Standardmäßig eingeschränkter Windows Benutzer kann ja nirgends hinschreiben, weder nach C:\Windows noch in die Registry unter HKLM, im Prinzip kann damit am PC nichts zerstört werden was nicht durch löschen des Benutzerprofils wieder gerichtet wird. Wenn du nicht auf den Virenschutz verzichtest ist der PC somit sicherer als alle Privaten, und sicher nicht weniger sicher als einer mit UAC wo dann wie du sagst alle immer JA clicken (auch deswegen weil die abfragen viel zu häufig sind, und man viel zu oft ja clicken muss um überhaupt weiter zu kommen)

Die Frage ist ob wenn wirklich jemand einen keylogger nur in den user autostart kopiert überhaupt die uac greifen würde... ich fürchte eher nicht
 
Ein Keylogger braucht erweiterte Berechtigungen (über die UAC). Aber auch andere Schadsoftware kann natürlich ein Botnet über das lokale Netzwerk aufbauen. Also, selbst wenn eingeschränkte Benutzer nicht in sensible Bereiche schreiben können, reicht es schon, wenn Programme einfach ausgeführt werden. Z.B. senden die einfach eine Mail. Die "Hersteller" sind da recht kreativ.
 
Hi, danke für die bisherigen Gedanken und Tipps.

Eine weitere Konkretisierung bin ich bisher schuldig geblieben:

Der Rechner wurde erst vorige Woche geliefert, ist bisher nicht im Internet gewesen und wird wohl auch nie (!) mit dem Internet verbunden werden. Dadurch soll verhindert werden, dass unsere Analyse-Ergebnisse durch Keylogger etc nach außen dringen können und unsere Arbeit dadurch zunichte gemacht wird. Andererseits sollen von Außen keine Viren, Trojaner udgl auf den Rechner gelangen. Die Daten, die analysiert werden, sind auf einem zweiten Rechner geprüft worden und waren sauber.

"Großteil der Programme" = Sämtliche Nicht-MS-Software, d.h. Internet Explorer hat bspw. keinen UAC-Schild; externe Software schon.

Das UAC-Schild war auf den Verknüpfungen bzw. *.exe seit dem ersten Boot drauf. Ich habe den Rechner vom Postboten in Empfang genommen und als erste Person gestartet.

Die Hersteller-Firma hat mir versichert, dass von deren Seite keinerlei Änderungen gemacht wurden. Der zuständige IT-Support ist sehr hilfsbereit und hat mir als Tipp "runas" empfohlen, jedoch nützt mir das hier in diesem Fall nicht viel. Ich kontaktiere morgen auch noch Microsoft.

Die Idee mit Domain etc. habe ich mit dem zweiten IT-Zuständigen kurz mal besprochen. Ich sitze gerade zuhause, werde aber morgen früh hier posten, welche Win 8.1 Version drauf ist; ich schätze, entweder Pro oder Enterprise. Für die Software haben wir leider nur begrenzt Lizenzen, darum auch die lokale Lösung ohne Server udgl.

Zu den Lösungen: (Malware etc lasse ich mal außen vor; Begründung siehe oben :))
Den Log mit Process Manager werde ich morgen probieren, toller Tipp, danke. Ich müsste das nur dann bei jedem Programm machen, mit dem unsere Fallbearbeiter zu tun haben, was ein wenig mühsam ist. Aber vielleicht finde ich so heraus, wo der allgemeine Berechtigungs-Fehler liegt.

!! --> Hilft mir dann "Icacls" weiter?
Mit dem kann ja angeblich die Berechtigungen besser steuern, als über den Reiter "Sicherheit" (bei Dateien bzw Ordnern).

Irgendwie sehe ich trotzdem nicht ein, dass sogar beim Admin "User" (="einfacher" admin; nicht zu verwechseln mit dem "hidden-administrator") alle Nicht-MS-Programme eine Admin-Berechtigung brauchen, die durch die UAC (NIE) ohne Aufforderung gewährt wird. Setze ich sie auf etwas anderes als NIE, dann kommt für alle Nicht-MS-Programme die UAC-Aufforderung (ohne Passwort-Eingabe; eh klar).

Und die UAC kann ich wie gesagt bei den Standard-Konten nicht deaktivieren (Schieberegler auf "NIE" ist nicht möglich).

Ich sehe das Problem nach wie vor darin, dass eine General-Berechtigung irgendwo eingestellt ist, die das Arbeiten als Standard-User wahnsinnig erschwert.

Was ich bezwecken will:
Die Fallbearbeiter sollen zum einen nur ihre Fälle sehen; zum anderen sollen sie keine Software installieren dürfen (ev. würde ich auch gerne USB-Ports etc sperren, wobei ich auf die Win-eigenen Möglichkeiten beschränkt bin). Ich arbeite gerade INTERNE RICHTLINIEN aus, die auf einer A4-Seite jedem klarmachen, was passiert, wenn man die Fall-Daten mal eben an einem internetfähigen PC anhängt bzw die Analyse-Rechner mit x-beliebigen USB-Sticks verbindet. Bin mir nicht sicher, ob Richtlinien reichen werden. :evillol:


Wir bestellen diese Woche einen zweiten PC, diesmal mit Win 7 Ultimate. Ich hoffe, dort gibt es kein Problem mit den Berechtigungen. Bei den PCs ist eine externe Festplatte mit Recovery + Recovery-CD dabei (sehr geil, ich weiß :D). Beide PCs haben eine idente Hardware-Konfiguration.

!! --> Ist es möglich, die Recovery vom Win 7-PC auf den Win 8.1-PC aufzuspielen?
(Ein Win 8.1-Pro-Key wäre ja für eine Win 7-Pro zulässig...) Vielleicht löst sich das Problem (nennen wir es vielleicht einfach Win 8.1 :lol: dann von selbst)

LG Sigfrid

PS: Sorry, wenn ich zuviel schreibe, oder jemanden das FETT, KURSIV etc stört. Ich bemühe mich, klare Absätze und Strukturen zu nutzen und das Lesen einfacher zu gestalten. ^^
 
Zuletzt bearbeitet:
miac schrieb:
Z.B. senden die einfach eine Mail. Die "Hersteller" sind da recht kreativ.
Zum Vergrößern anklicken....

Das ist ja Grade was ich mein... irgendwie scheinst du die UAC für ein allheilmittel zu haltne, aber eine email senden kann jeder Standardbenutzer ganz locker ohne uac trigger... das geht sogar mit Bordmitteln... powershell.exe und abgehts.. Da triggerst du niemals die uac... und ich bin nicht sicher was die sonst alles triggert und was nicht

Zum Problem:

1. UAC abschalten für Standardbenutzer.. ich weiß nach wie vor nicht ob du das wirklich möchtest, oder ob du eine andere Lösung bevorzugst aber wenn ja, dann geht das über Gruppenrichtlinien ganz bestimmt für alle Benutzer.

Also alle Berechtigungen überall mit icacls setzen ist vermutlich sehr viel gefährlicher als UAC ausschalten, außerdem darfst du auch die Registry nicht vergessen (wofürs allerdings auch ein Tool gibt)

Das es für den Administrator genau so oft kommt wie für den User ist meiner Meinung nach normal weil das wie gesagt viel wichtiger ist. Die UAC soll ja gerade verhindern, dass du deine Rechte nicht unbewusst benutzt. Allerdings kenn ich mich nicht gerade perfekt aus mit dem Verhalten der UAC weil wir sie nicht verwenden. Deswegen kann ich leider auch nicht sagen welche Zugriffe sie alle triggern würden, da fehlen mir Erfahrungswerte. Schreib Zugriffe auf Filesystem und Registry sind klar aber ob gewisse API calls das auch tun...

Von wegen Sperren, geht auch über Gruppenrichtlinien und reg Keys, da kannst du extrem viel mit Bordmitteln machen, da hast du sicher kein Problem
 
So, guten Morgen.

Am neuen Rechner ist Win 8.1 Pro installiert.

Auf dem alten Analyse-Rechner (2009er Bj.) läuft Vista Ultimate. Den Rechner hatte ich bisher nicht benutzt.

ACHTUNG: Habe diesen alten PC mal eben gestartet und siehe da: Gleiche Problematik. Der normale Admin hat auf nahezu allen *.exe ein UAC-Schild drauf. Auf manchen kleineren Nicht-MS-Programmen ist kein UAC-Schild. Wo jedenfalls eins drauf ist, sind sämtliche "Uninstaller.exe".

Und bezgl. MS-Programme (also bspw IE.exe): Diese MS-Programm-exe darf ich mit dem normalen admin nicht verschieben; nur "lesen". Der "TrustedInstaller" hat die alleinige Berechtigung für "Vollzugriff". --> ???

Am Vista-Rechner habe ich den hidden-admin noch nicht freigeschalten, aber ich bin langsam echt am verzweifeln.

Ich probier jetzt mal den "Process Monitor"-Log und ev. auch im hidden-admin ein paar Policy-Einstellungen.

In der Registry will ich nicht zuviel rumpfuschen und über icacls jedem Standard-User Vollzugriff geben widerläuft den Sinn des Standard-Kontos.

Dann könnt ich eig. gleich jedem ein Admin-Konto einrichten und alle Bereiche außer den Analyse-Programmen per hidden-admin den Vollzugriff sperren --> IDEE !! Das probiere ich jetzt mal. :p
 
Zuletzt bearbeitet:
Wie gesagt bevor du irgendwas an den Rechten änderst, schalte UAC per GPO aus...

Aber nachdem du ja gesagt hast der neue Rechner ist unangetastetes Win8.1, das heißt dann ja "Alle Programme" die die UAC brauchen sind deine eigene Steuerprogramme oder? Nicht irgendwie Firefox oder Vlc oder irgendwelche Tools?
Weil ich mein wenn das Programm ein bisschen älter ist.... aus WinXP Zeiten oder früher, dann wills sicher nach C:\Programme\Programordner schreiben weil da die setting Files liegen wie das mal üblich war in single User Umgebungen... Das allein würde die UAC natürlich immer triggern... Nicht das einfach nur das ist
 
Was heißt denn immerzu "nicht MS-Programme", "alle exe" usw.? Definier das mal, sonst weiß hier keiner um was es geht.

Die UAC erscheint auch nicht einfach so und auch nicht, wenn irgendwo Rechte fehlen (da erscheint nämlich eine Meldung à la "Sie haben keine Berechtigung"), sondern Programme werden nur mit Admin-Rechten gestartet, wenn das Manifest das so beschließt. Also entweder ist die Anwendung nicht drauf ausgelegt oder nichts anderes. "Einfach so" ist nicht und wie gesagt sind Berechtigungsprobleme daran nicht Schuld.

Lass den "richtigen" Admin auch so wie er ist -> vollkommen sinnlos den zu aktivieren, denn das Gleiche kann ein "normaler" Admin genauso.

Das mit dem TrustedInstaller ist bereits seit Vista so. Lass es so wie es ist oder hast du Lust, dass dir die User nach belieben einfach mal irgendwelche das System zerschießen?
 
@Syberdoor:
GPO ... Group Policy Objekt: Wie stelle ich die UAC für sämtliche vorhandenen User aus? Bei Standard-Konten lässt sich der Schieberegler nicht auf "NIE" setzen. Danke.

Die per UAC blockierten Programme sind brandaktuelle Image-Tools, Forensic-Programme udgl. VLC etc ist auf dem Rechner nicht drauf. Auf dem Vista-PC funktioniert das 3. Forensic-Tool merkwürdigerweise problemlos als Standard-User. Und dort ist VLC installiert, der auch von allen Benutzern ohne UAC gestartet werden kann.

Wo die Programme installiert sind, macht keinen Unterschied. Am Vista-Rechner ist VLC in Progamme (x86) und das 3.Forensic-Tool im normalen Programme-Ordner. Beide machen keine Probleme.

Aber wie kann ein stinknormales Image-Tool von der UAC geblockt werden? (Und zig weitere Programme)

@Yuuri:
Nicht-MS-Programme: Internet Explorer (ie.exe) oder Editor.exe sind MS-Programme. Image-Software oder Forensic-Tools sind Programme, die nicht von MS stammen.

Die MS-Programme haben sogar beim normalen Admin nur Lese-Berechtigung. Die Nicht-MS-Programme darf ich zum größten Teil nicht ohne UAC-Admin-Log-In öffnen.

Als Standard-Admin kann ich die ie.exe nicht aus dem ordner "Internet Explorer" auf den Desktop verschieben (testweise). Zugriff wird verweigert ("Sie verfügen nicht über die Berechtigung") --> Als ADMIN! Hallo Microsoft?? :freak:
Auch be diversen Kontext-Menü-Einträgen sind UAC-Schilder drauf, oder bspw. in der Systemsteuerung bei einem Teil der Einstellungen.


Der hidden-admin hat diese Berechtigung, der kann und darf alles verschieben.
Der hat auch auf keinem einzigen Icon ein UAC-Schild. Auch auf keinen Kontext-Meün-Einträgen etc.

Ich will ja auch nicht sämtlichen Usern Vollzugriff auf alles gewähren, sondern mMn normale Programme als Standard-User ohne Passwort-Eingabe öffen dürfen. "runas" hilft nicht, weil dann das Programm erst als Admin geöffnet wird, was ich vermeiden muss.

Danke trotzdem für eure Hilfe. Ich check jetzt mal kurz endlich die vorher genannten zwei Dinge (Process Monitor) bzw. Admin-Benutzer anlegen und stellenweise einschränken.
 
sigfrid87 schrieb:
Nicht-MS-Programme: Internet Explorer (ie.exe) oder Editor.exe sind MS-Programme. Image-Software oder Forensic-Tools sind Programme, die nicht von MS stammen.
Zum Vergrößern anklicken....
Wie die Namen schon erahnen, brauchen die mit Sicherheit erhöhte Rechte. Also ist da wohl nix mit "normaler User", sondern nur mit Admin-Rechten. Geht dann wohl nicht anders und dein "Sicherheitskonzept" löst sich in Luft auf.

Du könntest mal beim Support des Herstellers nachfragen, ob/warum erhöhte Rechte benötigt werden.

edit: Alternativ könntest du auch mal ResHack runterladen und die Anwendung darin öffnen. Im Ordner 24/1/1033 müsste dann das Manifest liegen. Bei foobar sieht das z.B. so aus:
Code: 
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
	<dependency>
		<dependentAssembly>
			<assemblyIdentity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" publicKeyToken="6595b64144ccf1df" processorArchitecture="*"/>
		</dependentAssembly>
	</dependency>
	<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
		<security>
			<requestedPrivileges>
				<requestedExecutionLevel level="asInvoker" uiAccess="false"/>
			</requestedPrivileges>
		</security>
	</trustInfo>
	<asmv3:application xmlns:asmv3="urn:schemas-microsoft-com:asm.v3">
		<asmv3:windowsSettings xmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">
			<ms_windowsSettings:dpiAware xmlns:ms_windowsSettings="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</ms_windowsSettings:dpiAware>
		</asmv3:windowsSettings>
	</asmv3:application>
	<compatibility xmlns="urn:schemas-microsoft-com:compatibility.v1">
		<application>

			<supportedOS Id="{e2011457-1546-43c5-a5fe-008deee3d3f0}"/>

			<supportedOS Id="{35138b9a-5d96-4fbd-8e2d-a2440225f93a}"/>

			<supportedOS Id="{4a2f28e3-53b9-4441-ba9c-d69d4a4a6e38}"/>

			<supportedOS Id="{1f676c76-80e1-4239-95bb-83d0f6d0da78}"/>
		</application>
	</compatibility>
</assembly>
Relevant ist hier Zeile 10: <requestedExecutionLevel> Wenn dort requireAdministrator drin steht, braucht das Tool definitiv Admin-Rechte.

Übersicht: http://de.wikipedia.org/wiki/Benutzerkontensteuerung#Anfordern_von_erweiterten_Rechten
sigfrid87 schrieb:
Als Standard-Admin kann ich die ie.exe nicht aus dem ordner "Internet Explorer" auf den Desktop verschieben (testweise). Zugriff wird verweigert ("Sie verfügen nicht über die Berechtigung") --> Als ADMIN! Hallo Microsoft?? :freak:
Zum Vergrößern anklicken....
Das ist vollkommen korrekt so, berechtigt und richtig. Lies dich dazu bitte in den Trusted Installer und dessen Sinn ein. Doktor nicht an irgendwas herum, wovon du keinen Schimmer hast. Trusted Installier und "richtiger" Admin deuten sehr stark darauf hin, dass du es nicht weißt.
sigfrid87 schrieb:
Auch be diversen Kontext-Menü-Einträgen sind UAC-Schilder drauf, oder bspw. in der Systemsteuerung bei einem Teil der Einstellungen.
Zum Vergrößern anklicken....
Ist auch vollkommen korrekt. Auflösung/Themes soll ja auch der User einstellen können, Programme deinstallieren dagegen nicht.
sigfrid87 schrieb:
Der hidden-admin hat diese Berechtigung, der kann und darf alles verschieben.
Der hat auch auf keinem einzigen Icon ein UAC-Schild. Auch auf keinen Kontext-Meün-Einträgen etc.
Zum Vergrößern anklicken....
Weil dort die UAC deaktiviert ist. Lass den "richtigen" Admin weg, der bringt dir im Fall der Fälle nur Probleme, wenn du keine Ahnung hast, was du da tust.
sigfrid87 schrieb:
Ich will ja auch nicht sämtlichen Usern Vollzugriff auf alles gewähren, sondern mMn normale Programme als Standard-User ohne Passwort-Eingabe öffen dürfen.
Zum Vergrößern anklicken....
Dann erklär dies dem Hersteller der Software. Anscheinend benötigt die Software nun mal erhöhte Rechte und das Manifest gibt es so vor. Da kannst du nichts machen, außer den Usern Admin-Rechte erteilen.
sigfrid87 schrieb:
Admin-Benutzer anlegen und stellenweise einschränken.
Zum Vergrößern anklicken....
Lass es sein. Admin ist Admin, da kannst du nichts dran rütteln.
 
Zuletzt bearbeitet:
Du musst gpedit.msc starten und dann Nach "Richtlinien für Lokaler Computer" --> "Computerkonfiguration" --> "Windows-Einstellungen" --> "Sicherheitseinstellungen" --> "Sicherheitsoptionen". Da sind unter dem Keywort Benutzerkontensteuerung alle GPOs zur UAC.

Als erstes kannst mal schauen ob es vielleicht reicht wenn du "Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern" deaktivierst. Vielleicht triggert das ja einfach falsch bei deinen Anwendungen...

Ansonsten wenn du Sie aus haben willst sollte es reichen wenn du zusätzlich:
"Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus" auf "Erhöhte Rechte ohne Eingabeaufforderung" setzt

"Benutzerkontensteuerung: Administratorgenehmigngsmodus aktivieren" auf "Deaktiviert" setzt und

"Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind" auch auf "Deaktiviert"

Interessanterweise scheinen die weiteren Settings auch für Standardbenutzer unwichtig zu sein. Ich würds also mal nur mit dem ersten Probieren und wenn das nicht reicht die andern dazu
 
Also für mich hört sich das Ganze auch eher so an, daß das recht spezielle Software ist, die nicht ohne Grund die UAC triggert.

Gibt es denn auch gängige software auf dem PC, die bei einer normalen (selbstgemachten) Installation auf z.B. einem Testrechner auch die UAC feuert?

Hintergrund:
Wenn der PC Lieferant eine "Installationsabkürzung" wählt, dann kann es zu Inkonsistenzen kommen, die dieses Verhalten auslöst. Es gibt spezielle Installersoftware, die z.B. ein Produkt aufspielt um gleich alle Updates mit zu installieren. Damit spart man einen Haufen Zeit. Das machen z.B. große Unternehmen. Aber das funktioniert nur bei gleichartiger Hardware.
 
Das ist natürlich generell eine Sache die noch nciht angesprochen wurde. Natürlich muss dir so oder so der Hersteller der Software eigentlich da support leisten. Die reden sich natürlich immer raus, aber wenn sie die Software für Windows 8.1 freigeben ist es deren Job dass sie läuft. Und sie müssen dir sagen können was du ein oder umstellen musst/kannst/darfst damit sie geht.

@Yuuri: Das mit dem Manifest kannst du doch nicht so verallgemeinernd sagen... Das ist vielleicht bei .NET Applikationen der Fall, aber man kann jede Menge Programme schreiben die das nicht haben
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Bestimmte Programme nicht mehr "als Admin ausführen"
Antworten
14
Aufrufe
4.327
Jesterfox
Jesterfox

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz