Erweiterung der Programmregeln

Ccosmo · 29. März 2008

Ich bin gerade auf folgendes Problem gestoßen:

Wenn ich den Registrierungseditor Registrar (Trial) (http://www.resplendence.com) starte, meldet sich surun und teilt mir mit, daß das Programm mit erhöhten Rechten laufen müsse. Das ist aber in diesem Fall nicht so. Damit ich nun nicht bei jedem Start die Abfrage erneut beantworten muß, sehe ich 2 Möglichkeiten, die beide jedoch nicht wirklich befriedigen:

Möglichkeit 1: Ich lehne ab und erstelle das als Regel (das Einfahrt-verboten-Schild). Möchte ich aber im Einzelfall Registrar doch mit Admin-Rechten starten (über das Kontextmenü), macht surun das nicht. Die einzige Möglichkeit in diesem Fall besteht darin, die Regel wieder zu löschen.

Möglichkeit 2: Ich schalte die Automagie-Hooks ab. Jetzt startet Registrar bei normalem Aufruf über die Shell mit eingeschränkten Rechten, kann aber jederzeit über das Kontextmenü auch mit Admin-Rechten gestartet werden. Problem ist aber jetzt, daß auch diejenigen Programme, für die bereits zuvor eine Regel erstellt worden ist, daß sie aus der Shell grundsätzlich mit Admin-Rechten gestartet werden sollen, immer nur mit eingeschränkten Benutzerrechten laufen (sofern ich sie nicht über das Kontextmenü mit Admin-Rechten starte); die gesamte zweite Symbol-Spalte in der Programmliste ist ja in diesem Fall entfernt.

Was ich als erforderlich ansehe ist, daß eine weitere Regelkomponente hinzugefügt wird, durch die Regel über das Nachfragen aufgesplittet wird für den Start über das Kontextmenü und für die Automagie.

KKay · 29. März 2008

Mist! :huh:

Du hast so recht. :-(

Ich habe über blöd programmierte Apps, die ein "requireAdminitrator" im Manifest haben, aber das gar nicht brauchen, nicht nachgedacht.

Das werde ich wohl so lösen, dass das Einbahnstraßenschild in die Spalte der Windows-Flagge wandert. (Immer, nicht, niemals automagisch starten).

Somit würde das bedeuten, dass entsprechend markierte Programme wirklich nur mit der Automagie NICHT gestartet werden, wohl aber per "Starte als Admin".

Siehst Du da irgendwelche negativen Interferenzen?

Ccosmo · 30. März 2008

Wenn ich mir das so durch den Kopf gehen lasse, denke ich, daß das nicht ausreicht; wir brauchen tatsächlich eine zusätzliche Regel. Deshalb:

Dein Ansatz würde das von mir geschilderte Problem mit Registrar zwar lösen, doch wenn ich dich richtig verstanden habe, soll diese Einbahnstraßen-Regel aus der ersten Spalte entfallen. ("... wandert"). Das bedeutet aber doch wohl - wenn ich das richtig sehe - daß es keine Möglichkeit mehr gibt, bei einem Programm auch den Start mit Admin-Rechten über das Kontextmenü ganz zu verbieten. Das kann aber erforderlich sein, wenn ich für ein Benutzerkonto einer anderen Person den Start bestimmter Programm mit erweiterten Rechten unter allen Umständen unterbinden möchte.

Wobei mir einfällt, daß ich beim Durchlesen der Beiträge hier im Forum mal etwas über eine Benutzer-Blacklist gelesen habe. Je nachdem wie die umgesetzt werden soll, könnte auch darin ein Ansatz bestehen. Dazu kurze Erläuterung: Würde die Blacklist bedeuten, daß von dem gelisteten Konto zwar vom Administrator in die Programmliste freigegebene Programme mit Admin-Rechten gestartet werden können, jedoch keine hinzugefügt und auch anderes (Surun-Einstellungen etc.) nicht, wäre das eventuell ein Ansatz (müßte man im Detail diskutieren). Zur Zeit kann ich ja nur festlegen daß alle oder kein Benutzerkonto sich surun selber einrichten können. Ein Benutzerkonto, daß sich ein Admin zusätzlich für sich selber zum Arbeiten einrichtet, sollte zum Beispiel wohl immer alle Einstellungsmöglichkeiten haben, ein Konto für eine dritte Person dagegen vielfach nicht.

Uff, ich merke, daß ich von Hölzchen auf Stöckchen komme, aber ich hoffe, wir kriegen das sortiert.

KKay · 30. März 2008

Zur Zeit kann ich ja nur festlegen daß alle oder kein Benutzerkonto sich surun selber einrichten können.

Nein. Die Einstellung gilt für jeden Benutzer einzeln, das restriktive Benutzen auch.

Ich tue mich schwer mit Änderungen, wenn ich dann auch Dokumentation und andere Sachen wieder ändern muss... Da werde ich wohl diesmal nicht drum rum kommen. :-(

Zwei Einbahnstraßen...was solls.
Ich teste das morgen Abend.

Mmik-c-os · 30. März 2008

hallo kay
ich bin einer der in bischen probleme mit symboldeutungen hat
mir ist text viel lieber

darum frage ich nach einem mittelweg
könntest du den bearbeitendialog erweitern und mit den regel einträgen erweitern
in form einer checkbox mit text
(featurerequest: man könnte auch gleich den anwendungssuchdialog in eine pfadzeile reduzieren
an dessen ende ein knopf ist um dann doch wieder grafisch die anwendung zu sichen)

KKay · 31. März 2008

Mik.c.OS wrote: könntest du den bearbeitendialog erweitern und mit den regel einträgen erweitern
in form einer checkbox mit text
(featurerequest: man könnte auch gleich den anwendungssuchdialog in eine pfadzeile reduzieren
an dessen ende ein knopf ist um dann doch wieder grafisch die anwendung zu sichen)

Ja, geht beides.
Finde ich auch sinnvoll. ;-)
Wird bis spätestens Ende der Woche erledigt.

Kay

KKay · 2. Apr 2008

Die Regeln von SuRun wurden erweitert.

Im Beta-Thread gibt's was zu Testen :-)

Aartemis · 22. Mai 2008

Das mein Vorschlag auch zum Thema passt:

Und zwar habe ich ein Programm, das als Admin ausgeführt werden muss. Dieses Programm rufe ich immer mit verschiedenen Paramteren (Dateinamen) auf.

Wenn ich jetzt bei einem Aufruf (Programm.exe Datei.txt) einstelle, "nicht mehr fragen" "immer als Admin" gilt das nur für genau diesen Aufruf. Bei Programm.exe AndereDatei.txt funktioniert es dann nicht mehr.

Ich hätte also gerne eine Option, bei der man entweder mit Wildcards arbeiten kann. (Freigabe von "Programm.exe *") Oder dass es eine Option gibt, alle Parameter zulassen o.ä.

KKay · 22. Mai 2008

Die Wildcards stehen schon lange auf der ToDo-Liste. Ich tue mich nur sehr schwer damit, weil ich nicht glaube, das universell sicher lösen zu können.

Wahrscheinlich genügt es jedoch, wie vorgeschlagen, wenn ein "*" am Ende des Befehls angegeben wird.

Das ist einfach und die Verantwortung liegt beim Benutzer.

Ich werde das in die nächste Release einbauen. (Falls keiner darin eine Sicherheitslücke findet!)

BTW: Die von Dir gewünschten Prüfsummen über zu startende Programme stehen auch noch auf der Liste. Das wurde bereits in einem anderen Thread diskutiert. Bei: "rundll32.exe shell32.dll,Control_RunDLLAsUser appwiz.cpl" z.B. müssen Prüfsummen über drei Dateien erstellt werden. Dazu muss ich einen Editor schreiben, bzw. den Whitelist-Kommandozeilen-Editor erweitern. Das wird noch nicht in der nächsten Version kommen.