Win 10 UAC-Abfrage für einzelnes Programm "hinterlegen" oder "ausschalten"

[Brati23]

Moin

Ich habe der Sicherheit wegen ein "normales" Benutzerkonto, also keine Admin-Rechte mit meinem Benutzer.

Ein script welches beim aufstarten über die Aufgabenplanung automatisch Dienste beendet, sollte daher möglichst ohne UAC-Abfrage ausgefürt werden, ohne dabei (zu viele) Sicherheitslücken zu öffnen.
Dies aus Bequemlichkeit um nicht jedesmal das Admin-Passwort einzugeben.

Unter Windows 7 scheint das noch per Aufgabenplanung machbar.
In Win 10 bekomme ich es trotz "Mit höchsten Privilegien ausführen" nicht hin. "Zugriff verweigert"

Falls es auf sowas rausläuft.. Dann reicht mir ein: Ist nicht so einfach realisierbar

Besten Dank schonmal und Grüsse
Brati

 

[Zer0DEV]

NSudo = https://github.com/M2Team/NSudo

Dein auszuführendes Programm wird dann eben über die Kommandozeile (Eingabeaufforderung) gestartet.

 

[Brati23]

Danke für Deine Antwort.
Kann danach nicht jede Anwendung per Eingabeaufforderung mit NSudo ohne Passworteingabe gestartet werden?
Dann könnt ich schon fast das Admin-Konto wieder aktivieren.

 

[areiland]

In Win 10 bekomme ich es trotz "Mit höchsten Privilegien ausführen" nicht hin. "Zugriff verweigert"

Dann lässt Du die Aufgabe mit Deinem Benutzeraccount ausführen und genau das darfst Du eben nicht, sondern Du musst "Unabhängig von der Benutzeranmeldung ausführen" wählen, damit das funktionieren kann.

 

[whats4]

ich hätte auch an "run as" gedacht...
aber das tool, das @Zer0DEV gepostet hat, gefällt mir. kannte ich nicht.

 

[Brati23]

Du musst "Unabhängig von der Benutzeranmeldung ausführen" wählen, damit das funktionieren kann.

Beides mit "Unabhängig von der Benutzeranmeldung ausführen"

Wenn ich bei "Bei Ausführen der Aufgabe folgendes Benutzerkonto verwenden:" das Admin-Konto wähle kann ich speichern aber beim ausführen passiert nichts.

Wenn ich bei "Bei Ausführen der Aufgabe folgendes Benutzerkonto verwenden:" das Normalbenutzer-Konto wähle steht: Diese Aufgabe erfordert, dass das angegebene Benutzerkonto über die Rechte "Anmelden als Stapelverarbeitungsauftrag" verfügt.

Edit: Vielleicht sollte ich mich mit dem Admin-Konto anmelden um das zu hinterlegen...

 

[areiland]

Ja, Du solltest diese Einstellungen mit dem Adminkonto hinterlegen. Oder aber bei "Unabhängig von der Benutzeranmeldung ausführen" das Adminkonto angeben.

 

[BrollyLSSJ]

Ich habe keine Erfahrung damit, weil nie benutzt, aber eventuell könntest du mal einen Blick auf den UAC Grabber werfen.

 

[Brati23]

Ja, Du solltest diese Einstellungen mit dem Adminkonto hinterlegen. Oder aber bei "Unabhängig von der Benutzeranmeldung ausführen" das Adminkonto angeben.

Ich habe jetzt das Admin-Konto hinterlegt und "Unabhängig von der Benutzeranmeldung ausführen" angewählt.
Es passiert nichts im Sinne von das Fenster der Eingabeaufforderung ist nicht sichtbar. Das script startet aber sehr wohl und die Dienste werden beendet. "Ausgeblendet" ist abgewählt.

Soweit also schonmal nicht schlecht

 

[areiland]

Ja, unabhängig von der Benutzeranmeldung ausführen sorgt dafür, dass es kein sichtbares Fenster mehr gibt.

"Ausgeblendet" sorgt nur dafür, dass die betreffende Aufgabe nicht von der Aufgabenplanung angezeigt wird. Die ist dann nur noch mit Schtasks in der Eingabeaufforderung zu sehen oder wenn man im Menü "Ansicht" die ausgeblendeten Aufgaben manuell einblenden lässt.

 

[Brati23]

Vielen Dank für die Hilfe!!! Funktioniert wie es soll.

 

[Brati23]

Boing! Ich schon wieder.

Nach dem Erfolg von #11 dachte ich mir: Hey, das ist eine gute Sache. Da kann ich ja PowerToys.exe auch gleich als Admin starten da es sonst immer rumnörgelt wegen fehlenden Adminrechten und nicht (richtig) funktioniert.

Also die in #9 eingerichtete Aufgabe als Vorlage genommen, bei "Aktionen" auf "C:\Program Files\PowerToys\PowerToys.exe" gewechselt und gespeichert. Die Aufgabe #9 funktioniert, gerade nochmal getestet.

Wenn ich die Aufgabe manuell "Ausführe" öffnet sich PowerToys.exe nicht. Wenn ich neustarte, ("Trigger" Beim Systemstart), passiert auch nichts.

Der Pfad stimmt und ich habe es auch noch mit anderen Programmen versucht (Firefox, VLC)
Es passiert ebenfalls nichts.

Ich steh auf dem Schlauch Kann ja nicht sein, dass ich die .exe in eine .bat packen muss?

Soll ich mal Bilder der Einstellungen hochladen oder ist für Euch eh schon klar wo der Fehler liegt? Kristallkugel!

 

[areiland]

Wenn ein sichtbares Fenster öffnen soll, dann darf "Unabhängig von der Benutzeranmeldung ausführen" nicht aktiviert sein. In dem Fall muss der Task ja dem Benutzerkonto zuordenbar sein, das die Aufgabe ausführt.

 

[Brati23]

Wenn ein sichtbares Fenster öffnen soll, dann darf "Unanhängig von der Benutzeranmeldung ausführen" nicht aktiviert sein.

Es würde auch reichen wenn PowerToys.exe minimiert startet bzw. rechts unten angezeigt wird. Dann liegt es also an "Unanhängig von der Benutzeranmeldung ausführen"?

Ich werds mal ändern auf meinen Benutzer. Aber dann habe ich ja keine Admin-Rechte mehr. Oder reicht ein "mit höchsten Privilegien ausführen"?

Edit: ich glaub der 20er ist runter.

Edit2: Ne doch noch nicht. Dachte es wird mit meinem Benutzer ausgeführt, nimmt aber die Admin-Rechte.
Aber wenn beim Benutzer Admin hinterlegt ist und "Nur ausführen wenn Benutzer(Admin) angemeldet", dann tut sich logischerweise nichts.

Edit3: Ein "mit höchsten Privilegien ausführen" reicht nicht wenn der Normal-Benutzer hinterlegt ist.

Edit4: Ich versuchs jetzt einfach mal mit ner .bat

 

[areiland]

Wenn Du keine Adminrechte besitzt, dann kann sich der Task ja keine nehmen. In dem Fall böte es sich an, den Task als Benutzer mit Adminrechten ausführen und dann kann die Aufgabe in Deinem Benutzerprofil ausgeführt werden und bekommt dennoch höhere Rechte.

 

[Brati23]

In dem Fall böte es sich an, den Task per als Benutzer mit Adminrechten ausführen und dann kann die Aufgabe in Deinem Benutzerprofil ausgeführt werden und bekommt dennoch höhere Rechte.

Ich bin nicht ganz sicher ob ich Dich richtig verstanden habe. Edit: (Achso Du meinst in der Aufgabenplanung? Aber der Admin-Nutzer ist ja nicht aktiv also wird nichts ausgeführt. Oder meinst Du zwei Aufgaben einrichten?)

Also ich habe bei den Eigenschaften der PowerToys.exe den Hacken bei "Programm als Administrator ausführen" hinterlegt. Funktioniert nicht. Bei Doppelklick schon, da wird dann das Passwort abgefragt. Aber die Aufgabe manuell angestossen geht nicht auf "Wird ausgeführt".

Kurz nachgefragt:

• "Unabhängig von der Benutzeranmeldung ausführen" fällt weg? (weil Fenster sichtbar sein soll)
• Da jetzt nur noch "Nur ausführen, wenn der Benutzer angemeldet ist" möglich ist fällt das Admin-Konto bei "Bei Ausführen der Aufgabe folgendes Benutzerkonto verwenden:" weg. Hier muss das Benutzerkonto vom aktiven Nutzer gewählt werden? (Den der Admin ist ja nicht aktiv)

Edit1: Quelle Im Bereich “Sicherheitsoptionen” können Sie ein Konto angeben, unter dem das Programm ausgeführt wird. Weil wir hier ein anderes Konto verwenden und das Programm unter dem Konto des Administrators ausgeführt werden soll, geben wir hier unseren Benutzer “admin” an.

Auch hier ergibt sich mir nicht wie das funktionieren soll wenn ja der "admin" nicht angemeldet ist.
Später wird zwar unter "Trigger" eingestellt "Bei jedem Benutzer". Funktionieren tut es bei mir aber trotzdem nicht.

 

[Brati23]

Leider habe ich es noch immer nicht hinbekommen. Kurze zusammenfassung:

PowerToys.exe soll unter Win10 mit einem nicht Admin-Benutzer bei Neustart automatisch als Admin ohne UAC-Abfrage gestartet werden.

Ich habe mir aus Sicherheitsaspekten einen "nicht-Admin-Benutzer" erstellt obwohl ich der einige Nutzer an dem Gerät bin. Falls das in dieser Konstlation nicht nötig ist könnt ich ja auch zurück zum Admin-Konto was das Problem ebenfalls lösen würde.

Steh ich auf dem Schlauch oder ist es per normaler Benutzer nicht machbar?

 

[heuwagen]

Hallo,
mit dem Problem hatte ich auch lange zu kämpfen, weil ich genau das auch so haben wollte, mir Sicherheitsaspekte aber auch wichtig waren und ich nicht ständig in meinem Win 10 rumwurschteln wollte. Neben anderen Tipps habe ich auf der Seite runas uac einen Link zu sogenannten "runastools" entdeckt und mich letztlich für RunAsRob entschieden, das private Anwender kostenlos nutzen dürfen. Seitdem hat sich das Problem für mich erledigt.

 

[Viper73]

Das Thema ist zwar schon älter, aber falls noch jemand (wie ich) auf diesen Thread stößt, da eine Lösung gesucht wird, habe ich noch eine Alternative gefunden die echt einfach umzusetzen ist:

• eine Textdatei mit der Endung ".bat" statt ".txt" erstellen (zb. "start.bat")
• folgenden Text einfügen

C:\Windows\System32\cmd.exe /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" "C:\Programmpfad\Startdatei.exe""

- das "C:\Programmpfad\Startdatei.exe" mit dem Pfad des Programmes, welches man starten möchte, ersetzen

Speichern und die Datei ausführen, und schon startet das Programm und es wird die Admin Abfrage unterdrückt.

 

[IDontWantAName]

wird dann aber nur mit Rechten des Nutzers gestartet (RUNASINVOKER) und somit ohne Adminrechte