ComputerBase Menü
Aktuelles

Großteil der Programme nur als Admin ausführbar - Berechtigungsproblem?

Syberdoor schrieb:
Das mit dem Manifest kannst du doch nicht so verallgemeinernd sagen... Das ist vielleicht bei .NET Applikationen der Fall, aber man kann jede Menge Programme schreiben die das nicht haben
Zum Vergrößern anklicken....
Doch das kann man verallgemeinernd schreiben. Jede Anwendung hat ein Manifest und wenn man keins mitgibt zur Compile Time, gibts ein standardmäßiges Manifest. Das ist bei jeder ausführbaren Datei der Fall, nicht nur bei .NET oder sonstwas. Zumal die UAC ja anscheinend immer triggert, ergo muss es vom Manifest kommen (insofern er keine Kompatibilitätseinstellungen o.ä. gesetzt hat).
 
So, erstes Zwischenerkenntnis:
Scheinbar benötigt ein Großteil der installierten Programme bewusst mehr Rechte, als ein Standard-User bekommt. Folglich habe ich, wie angekündigt, mehrere Admin-Konten erstellt und diesen die Zugriffe auf die jeweiligen "Eigene Dokumente" der anderen Admins gesperrt (Sperre schlägt Zugriffsrecht).

@Yuuri: Ja, du hast Recht. Ich bin kein ITler, aber in meinem Unternehmen einer von zwei Personen, für die ein PC kein "Zauberkasten" ist. Ich assemble meine Spiele-PCs selber und wenn ich ein Problem bei der Anwendung habe (so wie hier), weiß ich zumindest, wonach ich suchen muss. Wenn mir dann jemand Schritt-für-Schritt-Anleitungen oder zumindest Schlüsselwörter gibt, dann finde ich mich schon zu recht. Dein Hinweis, dass ich aufpassen soll was ich tue, ist bei mir Grundvoraussetzung, wenn ich an einem PC oder Gerät im Root-Modus arbeite. Dem Hidden-Admin habe ich ein Passwort gegeben und ihn wieder versteckt. (Standardmäßig hat der kein Passwort. Sehr schlau seitens MS.) Den Trusted-Installer habe ich nachgelesen; empfinde ich für 99% der User als sinnvoll, für mich aber als störend und bevormundend. Ich arbeite mit Windows seit zig Jahren und mit jeder Version werde ich mehr und mehr in meinem Handlungsspielraum eingeschränkt. :rolleyes:

@Syberdoor: Habe deinen Tipp mit gpedit.msc getestet. (Anm.: Zwischen "Sicherheitseinstellungen" und "Sicherheitsoptionen" war noch ein Unterpunkt "Lokale Richtlinien" ... oder so; weiß es grad nicht auswendig).

Die erste Option habe ich geändert und getestet, ob es erfolgreich war. --> Leider Nein.
Danach die anderen drei Dinge gecheckt, wovon 2 bereits so eingestellt waren, wie vorgeschlagen. --> Immer noch kein Erfolg.
Habe alles wieder rückgängig gemacht...

@miac: Ich gehe einfach davon aus, dass die meisten Programme, die auf dem Rechner laufen, erweiterte Rechte brauchen. Einige reine Lese-Programme (Image-Reader bspw.) machen keine UAC-Probleme. Also liegt es wohl an den Analyse-Programmen udgl.


WEITERGEHENDE FRAGE:

Da der PC jetzt mehrere Admins hat, die allesamt keinen Internet-Zugang haben (der PC hängt wie gesagt weder im Internet noch Intranet) habe ich mir überlegt, für die einzelnen User USB-Ports zu blocken. Dann ist das Installieren von Software auch nicht mehr möglich (außer über CD/DVD; aber das lass ich jetzt mal außen vor) und es wird vermieden, dass Daten falsch aufgespielt werden.

Kann ich mit Win-internen Mitteln die (unbenutzten) USB-Ports für einzelne User (Achtung: Admins) blockieren?
(Also so, wie ich einzelnen Usern den Zugriff auf verschiedene Ordner geblockt habe)

Bei einer ersten Google-Recherche habe ich nur Tools dazu gefunden; will aber eben nichts auf diesen Rechnern installieren, was nicht der Analyse dient.

Das einzige zum Thema GPO war der folgende Link: (Hoffe, das ist forum-regelkonform?)

http://www.petri.com/disable_usb_disks_with_gpo.htm

Das werd ich eben mal testen...

Danke für weitere Tipps; danach geb ich Frieden, versprochen. :)
 
@ yuuri:
Ich mein nicht ob Windows ein Default Manifest verwendet oder irgendwas sondern dass du das im Resource Hacker nicht siehst. Ich kann dir eine exe schicken wo alles komplett leer ist im Resource Hacker wenn du das mal gesehen haben willst.... Und die Sache mit dem "Anwendungsinstallationen erkennen und erhöhte Rechte anfordern" klingt doch sehr nach Heuristik und nicht nach Manifest das einfach sagt "ich brauche UAC" ...

@sigfrid87:
Was meinst du mit "die (unbenutzten) USB-Ports" ? technisch gesehen ergibt es keinen Sinn irgendwelche Ports freizulassen, sonst könnte ja jeder einfach an so einen Port einen USB Hub anstecken und hätte wieder alle was es will.

Meinst du damit Maus und Tastatur funktionieren?
Die einfachste Einstellung wäre vermutlich unter:
Benutzerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff --> Alle Wechslemedienklassen: jeglichen Zugriff verweigern (sperrt auch CD/DVD, Also wenn du das tust solltest du dir für einen Benutzer vielleicht eine Ausnahme machen damit du selber noch was installieren kannst ohne jedesmal die gpo zu ändern...)
Oder Wechseldatenträger: Lesezugriff verweigern
 
Zuletzt bearbeitet: (mehr)
@Syberdoor: Ohje, ich drück mich manchmal echt blöd aus. Mit "unbenutzte USB-Ports" meinte ich die USB-Anschlüsse, die weder durch USB-Maus/Tastatur benutzt werden, noch durch License-Dongles (für die jeweiligen Programme).

Ich habe am Freitag ein wenig mit Wechseldatenträger-Zugriffe (Lese, Schreib etc) gespielt und konnte es erfolgreich sperren. Danach wurde logischerweise auch der License-Dongle nicht mehr gelesen und die Analyse-Software hat mangels gültiger Lizenzprüfung gestreikt.

Versucht habe ich noch nicht, die usbstor.inf und usbstor.sys für die drei Fallbearbeiter-Admins (teilgesperrte Admins) zu sperren. Dadurch könnten keine neuen (!) USB-Datenträger angeschlossen werden, womit mein Problem (Fremdsoftware installieren oder Viren unbeabsichticht einschleusen) vom Tisch wäre. Es würden nur mehr im Haupt-Admin-Konto jeder Datenträger erlaubt sein, um so externe Festplatten mit Fällen einzulesen und für die Analyse vorzubereiten.

Melde mich am Montag wieder, wenn ich das geprüft habe.

@miac: Lese ich mir am Montag durch. Danke für die Infos. Nehme aber an, dass die gänzliche UAC-Deaktivierung übers Ziel hinausschießt. Vielleicht komme ich aber so auf weitere Ideen.
 
Das dürfte der einzige weg sein (laut meinen recherchen muss man aber inf und pnf sperren) weil dongles auch nur usb sticks sind
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Bestimmte Programme nicht mehr "als Admin ausführen"
Antworten
14
Aufrufe
4.336
Jesterfox
Jesterfox

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz