Guten Abend! Ich habe ein Programm, dass nur mit Admin-Rechten unter Win7 gestartet werden kann. Auf dem Rechner können mehrere User angemeldet sein. Jetzt kann ich dem User lokale Admin-Rechte geben, dass ich nicht so gerne machen möchte oder aber jeder User kennt das Admin-Passwort, damit diese Anwendung ausgeführt werden kann. Es wäre sehr schön, wenn ich dem einzelnen User ausschließlich für eine Anwendung Admin-Rechte zu verfügung stellen könnte. Ist das möglich?
Man kann das Programm mit Runas als Admin starten. Dann muss man zwar erstmal das Passwort in eine CMD schreiben - was genauso unschön ist. Aber es gibt wieder andere Programm die können die cmd Dateien "verschlüsseln". Aber ich würde erstmal rausfinden Warum das Programm mit Admin rechten laufen muss, eventuell kann man dann diese rechte einzeln vergeben. Denn wenn das Programm einmal mit Admin rechten läuft, dann ist es recht einfach diese Rechte zu übernehmen.
Hagebuttenfee schrieb: > Es wäre sehr schön, wenn ich dem einzelnen User ausschließlich für eine > Anwendung Admin-Rechte zu verfügung stellen könnte. Ist das möglich? Das hebelt das Sicherheitskonzept von Windows aus, denn der sonst keine Admin-Rechte habende Benutzer kann sich so --rein prinzipiell-- Admin-Rechte auch für anderes verschaffen. Jedes Programm, das von einem Programm aus gestartet wird, hat die gleichen Rechte wie das startende Programm. Und damit hat jedes Programm, das aus diesem "mit Admin-Rechten" gestartetem Programm gestartet wird, auch Admin-Rechte. Mit einem einfachen "Datei-Öffnen"-Dialog kann so schon viel Unheil angerichtet werden - so können damit Dateien geöffnet oder auch gelöscht, überschrieben und verändert werden, auf die der Benutzer selbst nicht zugreifen darf. Sinnvoller ist es, herauszufinden, warum die Anwendung meint, Admin-Rechte zu benötigen.
Im Netzwerk hängt ein Datenerfassungsgerät. Schaltet man das Gerät aus und an, dann können sich manchmal die Einstellungen vom Gerät ändern (z.B. die IP-Adresse). Im "Empfangsrechner" greift man nicht dierekt über die IP-Adresse auf das Gerät zu, sondern mit einer Software vom Hersteller ordnet man eine Kanalnummer der jeweiligen IP-Adresse zu. Mittels der Kanalnummer kann man z.B. in C-Programmen oder vielen anderen Programmiersprachen dann mit dem Gerät kommunizieren. Da dies aber ein "Treiber" ist, der im Hintergrund läuft und wahrscheinlich die Einträge zur Zuordnung Kanal/IP-Adresse in der Registry steht und die umgeschrieben werden müssen, sind Admin-Rechte nötig. Feste IP-Adresse im Gerät einstellen ist nicht klug und am DHCP-Server dürfen keine weiteren Einstellungen vorgenommen werden, so dass z.B. diesem Gerät mit der spez. MAC-Adresse eine vom Router stets eine konstante IP-Adresse vergeben werden könnte, ausgeschlossen ist.
Hagebuttenfee schrieb: > Da dies aber ein "Treiber" ist, der im Hintergrund läuft und > wahrscheinlich die Einträge zur Zuordnung Kanal/IP-Adresse in der > Registry steht und die umgeschrieben werden müssen, sind Admin-Rechte > nötig. genau das ist aber nicht der Fall. du kannst einfach die Passenden Rechte in der Registry geben. In Windows kann man so ziemlich jeden Zeug recht zuordnen.
Hagebuttenfee schrieb: > Feste IP-Adresse im Gerät einstellen ist nicht klug und am DHCP-Server > dürfen keine weiteren Einstellungen vorgenommen werden, Wenn Designfehler auf merkwürdige Vorgaben treffen, muss zur Umgehung desselben die Sicherheitsarchitektur von Windows ausgehebelt werden. Alles klar. Wer hat obige Festlegungen getroffen?
Darf man den Hersteller erfahren? Es gibt auch da oftmals Lösungen.....
Das Konzept ist leider Schrott. Dass man solchen Leuten ueberhaupt solche Kompetenzen gibt.... Lieber ein Sicherheitskonzept aushebeln...
Stichwort "Microsoft Application Compatibility Toolkit" Gibt viele Einstellmöglichkeiten, könnte auch hier hilfreich sein.
>Das hebelt das Sicherheitskonzept von Windows aus, denn der sonst keine >Admin-Rechte habende Benutzer kann sich so --rein prinzipiell-- >Admin-Rechte auch für anderes verschaffen. Ich arbeite zwar mit WinXP muss aber z.B. Coocox IDE auch als Admin ausführen, sonst meckert die IDE.
♪Geist schrieb: > Ich arbeite zwar mit WinXP muss aber z.B. Coocox IDE auch als Admin > ausführen, sonst meckert die IDE. und wie meckert sie? Für soetwas hilft der ProcMon da sieht man wo eventuell Rechte fehlen. Es gibt zwar auch software die Prüft extra ob man in der Admin-Gruppe ist, aber das ist recht ungeöhnlich.
Allenfalls muss man einen Service unter Admin laufen lassen, auf den das GUI dann connected
T. roll schrieb: > Allenfalls muss man einen Service unter Admin laufen lassen, auf den das > GUI dann connected dann kannst auch gleich als Admin arbeiten. sobalt eine GUI mit Admin rechten läuft kann man das ausnutzen.
Ich bekommen bei CooCox ohne Adminrechte folgende Meldung:
1 | Could not save master table to file 'C:\CooCox\CoIDE\configuration\ProgramData\.metadata\.plugins\org.eclipse.core.resources\.safetable\org.eclipse.core.resources'. |
2 | C:\CooCox\CoIDE\configuration\ProgramData\.metadata\.plugins\org.eclipse.core.resources\.safetable\org.eclipse.core.resources (Zugriff verweigert) |
♪Geist schrieb: > C:\CooCox\CoIDE\configuration\ProgramData\.metadata\.plugins\org.eclipse .core.resources\.safetable\org.eclipse.core.resources > (Zugriff verweigert) dann gibt doch mal schreibreichte auf das Verzeichniss. Ist ja wohl klar das auf C:\.. nicht jeder pauschal schreiben darf.
Ja eben! Die IDE hat mir der IT-Boy installiert, arbeiten sollte ich aber mit kastrierten Rechten. Unter meinem Account habe ich auf C keinen Schreibrechte. Habe dann Admin Acc extra nur für die Maschine bekommen und starte die IDE als lokaler Admin. Wie auch immer, ich habe kein Problem damit, dass ich lokal Adminrechte habe. Ich kann somit alles installieren, den Genuß haben 98% meiner Kollegen nicht :)
Hagebuttenfee schrieb: > am > DHCP-Server dürfen keine weiteren Einstellungen vorgenommen werden, so > dass z.B. diesem Gerät mit der spez. MAC-Adresse eine vom Router stets > eine konstante IP-Adresse vergeben werden könnte, ausgeschlossen ist. DAS ist das Problem, was geloest werden muss. Wer sagt das? wendelsberg
♪Geist schrieb: > Die IDE hat mir der IT-Boy installiert, arbeiten sollte ich aber mit > kastrierten Rechten. Wäre kein Problem, wenn die IDE ihre Einstellungen/Dateien/etc. an der "richtigen" Stelle unterbringen würde. Der von Dir erwähnte Pfad ist nach MS-Ansicht nicht die "richtige" Stelle; "richtig" ist irgendwas unter "C:\Dokumente und Einstellungen" bzw. "C:\Users", also etwas, was im Profil des jeweiligen angemeldeten Benutzers (das ist das Äquivalent von ~ unter unixoiden Systemen) oder aber im globalen Profil liegt.
Rufus Τ. Firefly schrieb: > Der von Dir erwähnte Pfad ist nach MS-Ansicht nicht die "richtige" > Stelle Das Problem ist u.a., dass sich die nach MS-Ansicht "richtige" Stelle mit jeder Windowsversion ändert. Ich habe mich nach längerem Studium für "C:\Dokumente und Einstellungen\MeinUsername\Anwendungsdaten\MeineFirma\MeinProgramm" entschieden, aber das ist nur eine von Zillionen Möglichkeiten, die schon irgendwann und von irgendwem empfohlen wurden. Von der Verpflichtung (fürs Windows-Logo), alles in der Registry zu speichern mal ganz abgesehen. Wer weiss noch, von wann bis wann das gültig war? Gruss Reinhard
Reinhard Kern schrieb: > Das Problem ist u.a., dass sich die nach MS-Ansicht "richtige" Stelle > mit jeder Windowsversion ändert. Ganz so schlimm ist es nicht, entscheidend ist, daß man die Umgebungsvariablen auswertet, und nicht sich selbst irgendwelche Pfade zusammenbastelt. Da gibt es %APPDATA% %USERPROFILE% %ALLUSERSPROFILE% %ProgramFiles% Die gibt es unter 2003/XP genauso wie unter 2008/7, und sie verweisen auf die entsprechenden Verzeichnisse: [pre] Windows 2003 (XP) ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users APPDATA=C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten
Reinhard Kern schrieb: > Das Problem ist u.a., dass sich die nach MS-Ansicht "richtige" Stelle > mit jeder Windowsversion ändert. Ganz so schlimm ist es nicht, entscheidend ist, daß man die Umgebungsvariablen auswertet, und nicht sich selbst irgendwelche Pfade zusammenbastelt. Da gibt es %APPDATA% %USERPROFILE% %ALLUSERSPROFILE% %ProgramFiles% Die funktionieren unter 2003/XP genauso wie unter 2008/7, und sie verweisen auf die entsprechenden Verzeichnisse: (Die Forensoftware mag den folgenden Text nicht, daher als Dateianhang) %ProgramData% %LOCALAPPDATA% Diese beiden Einträge sind bei 2008 neu hinzugekommen, wofür auch immer die da sein mögen ... MS halt. Sei es drum, durch Verwenden der Umgebungsvariablen bekommt ein Programm die Chance, sich weitestgehend "richtig" zu verhalten. Dazu gehört natürlich auch, daß Programme unter "%ProgramFiles%" installiert werden und nicht in irgendeinem eigenen Verzeichnis im Root. Nicht missverstehen: Ich verteidige hier nicht Entscheidungen oder Designs von Microsoft, wie ich an anderer Stelle bereits schrieb, dürfte ich in einem Wettbewerb "Fluchen über Microsoft" gute Chancen auf einen der ersten Plätze haben.
Rufus Τ. Firefly schrieb: > ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users > APPDATA=C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten Genau da sieht man, warum man nie genau durchschaut was MS eigentlich will: 1. Es müsste ja konsequenterweise heissen ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users\Anwendungsdaten wieso nicht?? Meinetwegen auch als AllUsersAppData... 2. Anwendungsdaten gibt es mehr, z.B. Lokale Einstellungen\Anwendungsdaten wofür ist das nun wieder gut?? Und warum gibt es das unter AllUsers nicht?? Und wenn man auf die Idee kommt, zu älteren Versionen, z.B. ab NT, kompatibel zu sein, kann man endgültig den Überblick verlieren. Und wie schon erwähnt, eigentlich wurde ja die Registry eingeführt um alle Probleme der Welt zu lösen, aber die war auch so vieldeutig wie das Orakel von Delphi. Sicher ist wohl nur eines: bei Windows 9 wird alles ganz anders. Das ist genauso chaotisch wie die Frage, wo automatisch zu startende Programme stehen können, da weiss inzwischen MS selbst nicht mehr wieviele Möglichkeiten es gibt. Es geht mir nicht ums Fluchen auf MS, aber man darf sich einfach nicht wundern, wenn sich jedes Programm anders verhält. Gruss Reinhard
Die "Human Interface Guidelines" bzw. deren aktuelle Inkarnation von Microsoft dürften zu den am meisten ignorierten Dokumenten auf diesem Planeten gehören ... wobei MS selbst aktiv daran mitarbeitet, daß es so ist & bleibt.
Reinhard Kern schrieb: > Genau da sieht man, warum man nie genau durchschaut was MS eigentlich > will: > > 1. Es müsste ja konsequenterweise heissen > ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users\Anwendungsdaten > wieso nicht?? Meinetwegen auch als AllUsersAppData... Unfug. So wie %USERPROFILE% auf "C:\Dokumente und Einstellungen\Reini\" zeigt, zeigt %ALLUSERSPROFILE% auf "C:\Dokumente und Einstellungen\Reini\All Users\". Reinhard Kern schrieb: > Und warum gibt es das unter AllUsers > nicht?? Wofür?
vn nn schrieb: > Unfug. So wie %USERPROFILE% auf "C:\Dokumente und Einstellungen\Reini\" > zeigt, zeigt %ALLUSERSPROFILE% auf "C:\Dokumente und > Einstellungen\Reini\All Users\". Nein. Tut es nicht. %ALLUSERSPROFILE% ist kein Pfad unterhalb von %USERPROFILE%.
vn nn schrieb: >> Und warum gibt es das unter AllUsers >> nicht?? > > Wofür? Vielleicht weil es Anwendungsdaten gibt, die für alle User gelten? Oder umgekehrt, wofür ist es denn beim User gut? Aber du hast die Fragestellung eh nicht begriffen, Rufus hat gemeint, man soll Umgebungsvariablen benutzen und nicht selbst Pfade basteln, aber da gibt es eben %APPDATA%, aber kein Equivalent für alle User: da muss man dann wieder selbst \Anwendungsdaten\ dranhängen - also völlig inkonsequent und Anti-Rufus. Und wenn sich dann der Pfad für %APPDATA% wieder mal ändert, steht man mit %ALLUSERSPROFILE%\Anwendungsdaten im Regen. Also hat Rufus völlig recht, bloss MS hält sich nicht dran. Deswegen habe ich ja auch von %ALLUSERSAPPDATA% geschrieben, das wäre die konsequente Lösung, aber die gibt es eben nicht. Gruss Reinhard
Reinhard Kern schrieb: > da muss man dann wieder selbst \Anwendungsdaten\ dranhängen - also > völlig inkonsequent und Anti-Rufus. Es mag dafür keine Environmentvariable geben, aber in der Registry steht es natürlich drin. Sieh Dir mal an, was alles unter
1 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
zu finden ist. Du suchst dort "Common AppData". > Deswegen habe ich ja auch von %ALLUSERSAPPDATA% geschrieben, das wäre > die konsequente Lösung, aber die gibt es eben nicht. Bei neueren Windows-Versionen gibt es dafür mittlerweile eine Environmentvariable - nämlich %ProgramData%. Insgesamt ist die Nutzung von Environmentvariablen nur ein Hilfsmittel, die im MS-Sinne konsequente Lösung ist die Verwendung der in der Registry gespeicherten Daten. Die vom jeweils angemeldeten Benutzer abhängigen Daten findet man unter
1 | HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
Und nochmal: Ich verteidige das Zeug nicht. Wirklich nicht.
Rufus Τ. Firefly schrieb: > Reinhard Kern schrieb: >> da muss man dann wieder selbst \Anwendungsdaten\ dranhängen - also >> völlig inkonsequent und Anti-Rufus. > > Es mag dafür keine Environmentvariable geben, aber in der Registry steht > es natürlich drin. Und da es bei Windows immer mehrere Wege gibt... ShGetFolder..., ShGetSpecialFolder... http://msdn.microsoft.com/en-us/library/windows/desktop/bb762494%28v=vs.85%29.aspx ab Vista dann das ganze als COM-Variante http://msdn.microsoft.com/en-us/library/windows/desktop/dd378457%28v=vs.85%29.aspx CSIDL_COMMON_APPDATA bzw. neu umbenannt FOLDERID_ProgramData
Rufus Τ. Firefly schrieb: > vn nn schrieb: >> Unfug. So wie %USERPROFILE% auf "C:\Dokumente und Einstellungen\Reini\" >> zeigt, zeigt %ALLUSERSPROFILE% auf "C:\Dokumente und >> Einstellungen\Reini\All Users\". > > Nein. Tut es nicht. %ALLUSERSPROFILE% ist kein Pfad unterhalb von > %USERPROFILE%. Richtig, war ein Scheibfehler. Eigentlich wollte ich darauf hinaus, dass %ALLUSERSPROFILE% nun mal auf einen Benutzerordner zeigt, genau wie %USERPROFILE%. Und dass es schlicht unsinnig wäre, es nun plötzlich auf einen Unterordner zeigen zu lassen. Reinhard Kern schrieb: > Vielleicht weil es Anwendungsdaten gibt, die für alle User gelten? Oder > umgekehrt, wofür ist es denn beim User gut? > > Aber du hast die Fragestellung eh nicht begriffen, Rufus hat gemeint, > man soll Umgebungsvariablen benutzen und nicht selbst Pfade basteln, > aber da gibt es eben %APPDATA%, aber kein Equivalent für alle User: da > muss man dann wieder selbst \Anwendungsdaten\ dranhängen - also völlig > inkonsequent und Anti-Rufus. Und wenn sich dann der Pfad für %APPDATA% > wieder mal ändert, steht man mit %ALLUSERSPROFILE%\Anwendungsdaten im > Regen. Also hat Rufus völlig recht, bloss MS hält sich nicht dran. > > Deswegen habe ich ja auch von %ALLUSERSAPPDATA% geschrieben, das wäre > die konsequente Lösung, aber die gibt es eben nicht. Nein, es ist schlicht Unsinn, ja, ich habe die Fragestellung begriffen. Daten in "All Users" können auch von jedem geändert werden. Dass du Dinge ändern kannst, die mich betreffen, wenn wir am selben Rechner sitzen, ist allgemein unerwünscht (wäre ja noch schöner, wenn du irgendwas von mir umstellen kannst). Globale Einstellungen sollte nur ein Admin ändern können, sind also somit völlig falsch dort. Richtig aufgehoben sind soe in Ordnern, wo nur dieser Schreibzugriff hat, wie %PROGRAMFILES% oder %PROGRAMDATA%.
vn nn schrieb: > wäre ja noch schöner, wenn du > irgendwas von mir umstellen kannst Ich bin der Admin, und selbstverständlich stelle ich Dinge ein die für alle gelten. Wenn dir sowas als Verstoss gegen die Menschenrechte erscheint, bist du schlicht nicht teamfähig und als Mitarbeiter in einer Firma mit mehr als einem Computerbenutzer ungeeignet. Von Leuten, die grüne Schriften auf lila Hintergrund einstellen, um ihre Selbstständigkeit zu demonstrieren, habe ich auch schon lange die Schnauze voll, die Rechner einer Firma sollten von jedem Mitarbeiter bedient werden können. Schliesslich sind sie Eigentum der Firma und nicht der Mitarbeiter. Gruss Reinhard
Reinhard Kern schrieb: > Ich bin der Admin, und selbstverständlich stelle ich Dinge ein die für > alle gelten. Wenn dir sowas als Verstoss gegen die Menschenrechte > erscheint, bist du schlicht nicht teamfähig und als Mitarbeiter in einer > Firma mit mehr als einem Computerbenutzer ungeeignet. Von Leuten, die > grüne Schriften auf lila Hintergrund einstellen, um ihre > Selbstständigkeit zu demonstrieren, habe ich auch schon lange die > Schnauze voll, die Rechner einer Firma sollten von jedem Mitarbeiter > bedient werden können. Schliesslich sind sie Eigentum der Firma und > nicht der Mitarbeiter. Gratuliere, du hast den Text nicht verstanden. Dieser bezog sich nämlich ausdrücklich darauf, dass du als User gegenseitig herumpfuschen kannst (genau das ist nämlich möglich, wenn die Einstellungen unter "All Users" liegen). Natürlich ist es für besagten Mitarbeiter dann auch ein leichtes, die Schriftfarbe auf grün zu ändern. Dinge, die nur der Admin ändern kann, sind überall aufgehoben, nur nicht unter "All Users", schließlich kann sie ja da erst wieder jeder ändern. Herr, wirf Hirn.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.