WinFuture-Forum.de: Frage zu "runas" (Administratorenrechte) und Umgebung (Laufwer - WinFuture-Forum.de

Zum Inhalt wechseln

Alle Informationen zum Thema Windows 7 in unserem Special. Windows 7 Download, FAQ und neue Funktionen im Überblick.
Seite 1 von 1

Frage zu "runas" (Administratorenrechte) und Umgebung (Laufwer


#1 Mitglied ist offline   oborchard 

  • Gruppe: Mitglieder
  • Beiträge: 2
  • Beigetreten: 27. November 14
  • Reputation: 0

geschrieben 27. November 2014 - 09:39

Hallo zusammen,

ich habe folgende Frage / Problem und hoffe ich habe nur einen einfachen Denkfehler :-)

Wir haben (wie so viele andere wohl auch) eine Umgebung in einer ganz normalen AD Domäne.
D.h. die User haben gemappte Laufwerke und Zugriffsrechte auf diese. Nun haben aber auch zuviele User Admin-Rechte die Stück für Stück entzogen werden sollen. Es gibt aber noch viele Programme (vor allem Eigenentwicklungen), die nunmal Admin Rechte benötigen.
Also wurde auf dem Rechner des Users ein lokaler User angelegt, der Mitglied der lokalen Administratorengruppe ist. Wird nun ein Programm gestartet, welches erhöhte Rechte benötigt, kann dies unter "Programm als anderer Benutzer starten" - oder "runas" erledigt werden.

Problem ist allerdings - wird ein Programm in dieser Art und Weise gestartet, z.b. Excel, wird die Umgebung bzw. die Rechte des eigentlichen Benutzers nicht mit durchgegeben d.h. man startet Excel zwar mit erhöhten Rechten aber hat keinen Zugriff mehr auf die ursprünglich gemappten Laufwerke (und kann mangels Rechte sich diese auch nicht nachträglich Mappen).

Gleiches gilt (dachte ich hätte einen Geistesblitz) wenn man "als Administrator starten" auswählt - auch hier wird man nach einem Konto gefragt welches dieses Recht erteilen darf - man wählt den lokalen Admin aus - und das Programm läuft genau wie oben dummerweise gekapselt in der eigenen Umgebung -> kein Zugriff auf Laufwerke

Auch Runas mit dem Parameter /env (den ich hier als sinvoll vermutet hätte) ändert rein Garnichts an diesem Verhalten.

Wie also bekomme ich es hin, dass ein User mit normalen Benutzerrechten, ein Programm mit Admin-Rechten auf seinem Rechner startet und gleichzeitig dann innerhalb dieses Programm Zugriff auf seine Laufwerke etc. hat ?

Danke und Gruß
0

Anzeige



#2 Mitglied ist offline   Fenrir 

  • Gruppe: Mitglieder
  • Beiträge: 1
  • Beigetreten: 27. November 14
  • Reputation: 0

geschrieben 27. November 2014 - 10:50

Hallo oborchard,

wenn ich Dich richtig verstehe möchtest Du, dass Domänenbenutzer lokal auf Ihrem Rechner Admin-Rechte bekommen?
Dann fügst Du den Domänenbenutzer auf dem jeweiligen Client-PC der Gruppe der Administratoren hinzu.
Beispiel:
Domäne heißt test.de, User heißt Klaus.
Dann hat Klaus in der Domäne nur normale Domänenbenutzer-Rechte, also auf jedem Client, an den er sich anmeldet.
Nun fügst Du das Konto test\Klaus auf dem Client der lokalen Gruppe der Administratoren hinzu. Damit erhält Klaus auf diesem einen Rechner lokale Administrator-Rechte.

Grüße
0

#3 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 27. November 2014 - 11:02

Ich seh da grad ein bißchen einen Konflikt: auf der einen Seite sollen ggf. vorhandene Adminrechte entzogen werden (auf jeden Fall gut) und auf der anderen Seite aber wieder "untergeschoben" werden, damit Programm X funktioniert. Das beißt sich grad irgendwie. :huh:

Ich glaub nicht, daß man da ernsthaft einen Tip geben kann, ohne die Konzeptionierung dieser Transition(en) zu kennen - oder die fraglichen Programme, die da (noch) querschießen. Ansonsten beißt sich das nur noch mehr als jetzt schon.


Nur so viel: es ist völlig normal unter den Umständen, daß das "nicht so funktioniert", wie Du es Dir vorstellst; wenn Du ein Programm (egal welches) unter einem anderen Benutzer ausführst, gilt natürlich *dessen* Benutzerkontext und nicht der ursprüngliche. Wenn Du das möchtest, bleibt Dir nichts anderes übrig, diese(n) Benutzer doch in die Administratorengruppe zu stecken ODER natürlich selbst eine Gruppe aufzumachen, die KEINE expliziten Adminrechte hat, der aber gerade die notwendigen Berechtigungen zugeteilt wurden (Stichwort: Least Priviledge-Prinzip).

Lokale Benutzer halt ich in der Domain aber für den falschen Ansatz. Die kann man nicht in der Domain verwalten, und insbesondere gibt es dann - mit Pech - nach einer Weile PC1\Benutzer1, PC2\Benutzer1 und PC3\Benutzer1 zusätzlich zu DOMAIN\Benutzer1... welche alle voneinander verschieden sind.


... Weswegen ich, auch und gerade für den Übergang, die "dedizierte Gruppe" für den besseren Ansatz halte, auch wenn das durchaus etwas aufwendiger ist.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#4 Mitglied ist offline   oborchard 

  • Gruppe: Mitglieder
  • Beiträge: 2
  • Beigetreten: 27. November 14
  • Reputation: 0

geschrieben 27. November 2014 - 11:28

Hi,

nun ich verstehe zwar, dass wenn ich ein Programm unter "einem anderen Benutzer" ausführe, das ganze auch in dessem Kontext läuft - und ich somit keinen Zugriff auf gemappte Laufwerke des ursprünglichen Users habe.

Was ich aber nicht verstehe (und das ist eben das Problem) ist - wenn ich ein Programm "als Administrator" ausführe, dass eben nicht nur die Rechte elevated werden, sondern das Programm AUCH im userkontext des Admins ausgeführt werden.

also Beispiel : Ich habe einen Domänenuser, der auch lokal "nur" user ist
gleichzeitig habe ich einen lokalen Benutzer - der in der lokalen Administratorengruppe ist (ob gut oder schlecht mal außen vorgelassen :-)

jetzt starte ich einen CMD - normal aus User - dann bin ich im Userkontext - ohne Adminrechte : richtig
Ich starte den CMD mittels rechtem Mausklick und "als anderer Benutzer ausführen" - und gebe die Credentials des lokalen Users mit Adminrechten an : Der CMD läuft elevated und im Kontext des lokalen Admins (weil : "als anderer Benutzer starten") -> auch noch richtig

aber : Ich starte den CMD mittels rechtem Mausklick und "als Administrator starten" - will also nur "elevaten" : dann kommt die UAC fragt nach einem Konto mit welchem ich den Vorgang ausführen darf - ich gebe den lokalen User (mit Adminrechten an) und was passiert ? der CMD läuft genau wie oben - zwar elevated aber auch eben im Kontext des lokalen Users (sieht man wenn man echo %username% nutzt) und eben DAS sehe ich als nicht wirklich richtig bzw. sinnvoll an ? Ich möchte ein Programm - aus welchen Gründen auch immer, dediziert mit elevated Rights starten dürfen, gleichzeitig aber meine Laufwerke nutzen können.

Wie gesagt, vielleicht habe ich was meinen Lösungsversuch angeht, auch einen Denkfehler, bin ja auch für jeden anderen Tip dankbar wie man das Konstrukt lösen kann. Kann doch so ungewöhnlich garnicht sein, dass die normalen user auf der einen Seite keine Adminrechte haben sollen, andererseits aber viele User (z.b. Programmiere) für gewisse Tasks eben noch AdminRechte benötigen ?

Gruß
0

#5 Mitglied ist offline   Decay 

  • Gruppe: aktive Mitglieder
  • Beiträge: 884
  • Beigetreten: 09. Juni 04
  • Reputation: 7
  • Geschlecht:Männlich

geschrieben 27. November 2014 - 13:00

Ich verstehe gerade die Problematik nicht.
Wenn ich den normalen Domain-User in die Gruppe lokaler Admins aufnehme, hat zwar dieser User entsprechende Rechte auf die Maschine, jedoch nicht in der Domäne.

Vorteil hierbei:
Dieser User hat gleichzeitig entsprechende Rechte innerhalb der Domäne, wie Laufwerke mappen und volle Rechte auf der Maschine.

Als Domain-Admin kann ich aber für diesen User diverse Rechte wieder entziehen (Thema GPOs), was er nicht darf.
So könnte er diese Einschränkungen nur ausführen, wenn er sich lokal anmelden tät, aber das kann man über die lokalen Richtlinien auch aufheben (eventuell auch auf Domänen-Ebene).
0

#6 Mitglied ist offline   Richarde 

  • Gruppe: Mitglieder
  • Beiträge: 2
  • Beigetreten: 14. Juni 20
  • Reputation: 1

geschrieben 14. Juni 2020 - 11:58

Hallo, ich stehe vor einem ähnlichen Problem und wollte wissen ob es hier schon eine Lösung gibt?

Ich habe bisher kein Weg gefunden die Kontext-Funktion "Als Administrator ausführen" per Befehl nachzustellen.
0

#7 Mitglied ist offline   Richarde 

  • Gruppe: Mitglieder
  • Beiträge: 2
  • Beigetreten: 14. Juni 20
  • Reputation: 1

geschrieben 14. Juni 2020 - 17:36

Ich habe nun selbst eine Lösung gefunden die ich hier gern teilen möchte falls jemand mal ein ähnliches Problem hat.

Ich habe ursprünglich 2 Konten auf dem Rechner gehabt:

Admin_Kasse (Administrator Konto)
Kassennutzer (Standardkonto)

Die Lösung welche bei mir letztendlich funktioniert ist folgende:

Ich habe das Standard Administrator Konto aktiviert, dies ist ein normales Admin Konto aber ohne UAC.
Das macht man in dem man die CMD als Admin startet - also Eingabeaufforderung "Als Administrator ausführen" und dort den folgenden Befehl eingibt:
net user administrator * /active:yes
dann ein Passwort eingeben und wiederholen um das Konto zu schützen.

Nun habe ich das Programm Blitzkasse unter diesem Administratorkonto neu installiert.
Anschließend habe ich auf dem Desktop des Kassennutzers eine Verknüpfung zu der Anwendung erstellt, diese aber per runas angepasst:

runas /profile /savecred /user:Administrator „C:\Programme (X86)\Blitzkasse\Blitzkasse.exe“

Das funktioniert jetzt gut und auch nach Neustart. Alle anderen Versuche haben nicht funktioniert und es benötigt wirklich dieses Standard Admin Konto.

Ich hoffe ich kann damit noch jemandem Helfen der das gleiche Problem hat und stehe auch gern für Fragen zur Verfügung.

Viele Grüße
Richarde
1

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0