Forum: SuRun Probleme RSS
Meldung: "The Windows Shell is currently running with administrative rights"
MaGer #1
Mitglied seit 05/2012 · 3 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Betreff: Meldung: "The Windows Shell is currently running with administrative rights"
Hallo,
ich habe letztlich SuRun gefunden, weil ich danach gesucht habe, wie man eine Software mit Admin.-Rechten unter dem jeweiligen User-Account laufen lassen kann. Wir nutzen ein größeres Softwarepaket, welches Änderungen im Environment in diverse Registry Keys schreiben will (sowohl unter HKCU und HKLM) und wir es bislang auch mit Freigabe der Keys nicht geschafft haben, dass die User ohne lokalen Admin arbeiten können. Deswegen will ich es jetzt mal mit SuRun versuchen und hatte es auf meinem Rechner mit XP Prof. installiert (per Shell Befehl, weil ich so dann auch die Clients installieren will). In die Gruppe "SuRunners" habe ich alle Benutzer unserer Domäne eingetragen, weil wir bei knapp 150 (wechselnden) Anwendern nicht alle einzeln eintragen können. Mein eigener User ist aus obigen Grund lokaler Admin auf dem Rechner.
Wenn ich nun die Anwendung per Shell mittels "surun /runas XXX.exe" starte, kommt die im Betreff genannte Meldung "The Windows Shell is currently running with administrative rights! You need to log off and on before using SuRun". Doch auch nach Neustart kommt die Meldung wieder. Und im Forum habe ich leider bislang auch nichts dazu gefunden.
Da es gut sein kann, dass ich etwas falsch gemacht habe, habe ich es oben etwas genauer beschrieben. Wäre schön, wenn mir jemand helfen oder wenigstens Tipps geben könnte.
Danke,
Matthias
Kay (Administrator) #2
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1464 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Hallo Matthias,

Ich vermute, Du startest XXX.exe per remote Shell aus Deinem Admin-Konto heraus.

Die Meldung kommt immer, wenn die Windows Shell (normal Explorer.exe) mit gehobenen Rechten läuft, aber der angemeldete Benutzer in der Gruppe SuRunners ist.

Eigentlich bräuchte die Meldung bei "/RunAs" nicht kommen, ist aber historisch so gewachsen.

Bist Du in Administratoren und in SuRunners?
Der normale Weg unter XP ist entweder Administratoren oder SuRunners.

SuRun /RunAs kann von allen Benutzern gestartet werden, auch von nicht Mitgliedern von "SuRunners".

Wenn Du Dich als lokaler Admin aus SuRunners austrägst, sollte das Shellscript laufen.

Gruß

Kay
MaGer #3
Mitglied seit 05/2012 · 3 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Hallo Kay,

danke für die schnelle Antwort. Soetwas in der Art habe ich mir schon gedacht. Leider hilft mir das nicht richtig weiter, weil:
1. etliche Anwender bei uns haben schon lokale Admin Rechte, was oft notwendig ist. Somit ist mein Anwender typisch
2. ich ja gezielt die "Domänen-Benutzer" in die Gruppe SuRunners eingetragen hatte, somit also auch die lokalen Admins wie mein User ...
Gibt es noch andere "Lösungen"?

Grüße,
Matthias
Cosmo #4
Mitglied seit 03/2008 · 451 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Ich glaube, du solltest deinen Ansatz aus einer anderen Richtung suchen.

Klar, bei einem solch widerborstigen Programm brauchtest du bislang Admin-Rechte beziehungsweise das Admin-Konto zum Arbeiten, aber mit SuRun eben nicht mehr. Genau darin liegt ja auch der Sinn von SuRun. Ein Admin-Konto (pro Einzelplatz) sollte natürlich da sein, aber eben nicht als Arbeits-Konto. Also nimm dein Konto aus der Gruppe der Administratoren heraus, das sollte dich zum Ziel bringen.

P.S. Was allerdings bleibt, ist das Problem, daß alle bislang von deinem Konto erstellten Objekte auf Grund der Eigentümerschaft auch zukünftig durch dein Benutzerkonto änderbar sind, also nicht durch die Rechtetrennung gesichert sind. Das ist bitter (wegen der Notwendigkeit, daß Konto neu zu erstellen), aber kein SuRun-Problem.
Thomas
MaGer #5
Mitglied seit 05/2012 · 3 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Hallo Cosmo,
einfach gesagt, aber: Es sind ungefähr 150 Anwender in verschiedenen Niederlassungen, wo man manuell die lokalen Admin Rechte entfernen müsste ...
Und viele Anwender haben sich an "ihre Admin Rechte" gewöhnt, da kommt ein Entzug immer nicht so gut.
Grüße,
Matthias
Cosmo #6
Mitglied seit 03/2008 · 451 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Hallo Matthias,

so ist es. Unsicher und bequem ist ja so sexy. Das ändert aber nichts daran, daß es unsicher ist. Das läßt man einfach so und ignoriert das Risiko - der schwarze Peter folgt früher oder später - oder man muß halt Zeit und Geld investieren, um Fehler der Vergangenheit zu korrigieren.

Fehler der Vergangenheit: Wenn in einem großen Unternehmen eine Software - möglicherweise individuell erstellt - eingesetzt wird, die die Seit mehr als 10 Jahren bestehende Rechtetrennung des Betriebssystems unterläuft, indem man die Anwender zu "Administratoren" erhebt, dann erhebt sich aus der Entfernung der Verdacht, daß die Verantwortlichen in der Vergangenheit nicht verantwortlich gehandelt haben. Und je länger man damit wartet, das zu ändern, desto mehr wird das weh tun. Fingerzeig: Wenn der Support für XP in knapp 2 Jahren nach dem vorliegenden Absichten des Herstellers eingestellt und der Wechsel des Betriebssystems unvermeidlich wird, wird das alles noch ärger, denn dann werden die erforderlichen Korrekturen auch noch unter Zeitdruck stehen. Und ob diese Software, die du andeutungsweise beschrieben hast, unter W7 / W8 nicht noch ganz andere Probleme aufwirft, könnte ich mir grundsätzlich durchaus auch vorstellen.

Von daher: Tut was daran, bevor die Entwicklung auch überrennt.

P.S.: Die Admins zu dem, was sie in Wirklichkeit sind, nämlich Benutzer, umzuwandeln, auch ohne (zunächst) das Problem der Eigentümerschaft anzugehen, ist zwar noch keine wirkliche Sicherheit, aber ein Schritt in die richtige Richtung und besser als der Ist-Zustand. Von dem Hersteller besagter Software eine Anpassung an der heutige Zeit zu verlangen, wäre selbstverständlich. Und Admin-Rechte aus dem Grund, weil die Anwender glauben, auf so etwas einen Anspruch (ohne daß es im Arbeitsvertrag drin steht) zu haben, darf in einem Unternehmen schon gar kein Argument sein. Sonst kann ja auch gleich jemand kommen und verlangen, ihn zum Chef zu machen, nur weil sein Ego das braucht und er anderenfalls in Depression verfällt 8-( .
Thomas
Schließen Kleiner – Größer + Auf diesen Beitrag antworten:
Prüfcode: VeriCode Gib bitte das Wort aus dem Bild ins folgende Textfeld ein. (Nur die Buchstaben eingeben, Kleinschreibung ist in Ordnung.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Weitere Zeichen:
Gehe zu Forum
Nicht angemeldet. · Kennwort vergessen · Registrieren
This board is powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2015 by Yves Goergen
Seite erstellt in 101,3 ms (59,3 ms) · 71 Datenbankabfragen in 14,3 ms
Aktuelle Zeit: 27.06.2017, 07:22:19 (UTC +02:00)