none
Suche Rat, UAC Probleme RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich wende mich nun Hilfesuchend an euch alle um zu Fragen wie andere Administratoren mit der UAC umgehen. Ich schildere nun kurz mein Problem:

    Wir setzen in einem Großen Unternehmen auf Server 2012R2 als RDP Host und die Benutzer bekommen Ihre Programme als Remote-App Verbindung zugewiesen. Diese Methode des Arbeitens ist erforderlich da das Unternehmen stark Vernetzt ist und Standorte des Unternehmens auf der Zentralen Infrastruktur arbeiten sollen.

    Nun ist dort ein Programm im Einsatz welches erfordert das die Benutzer Vollzugriff (Lesen/schreiben/löschen) auf das Hauptverzeichnis haben (so weit kein Problem) und das die UAC abgeschaltet ist. Das Problem mit der UAC: Wenn der erste Benutzer morgens das Programm startet wird beim ausführen der programm.exe mittels einer .ini geprüft ob ein Update vorliegt. Wenn ja beendet sich die programm.exe selber und ruft die update.exe auf welche dann die programm.exe mit der neuen Version ersetzt und benötigte Komponenten im Hauptverzeichnis austauscht (.dll, .exe)

    Auf der Server 2008R2 Farm konnte ich dem noch mit abgeschalteter UAC entgegenkommen, bei Server 2012R2 und Windows10 geht es nicht mehr - zumindest bekomme ich es nicht hin.

    Nun stehe ich mit meinem Problem bestimmt nicht alleine da, wie machen es andere?

    Für Anregungen und Hilfestellungen bin ich Dankbar

    Christian

    Montag, 2. Januar 2017 09:34
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Hallo Christian,

    Programme die so arbeiten stellen ein Sicherheitsrisiko dar was man nicht unterschätzen sollte.

    https://www.youtube.com/watch?v=qk9GW4E94R8 ab 17:38 bis 28:30 Minuten wird das Problem erklärt.

    Ich würde sofern es möglich ist den Update Prozess vor der ersten User Anmeldung durch einen Automatismus abarbeiten lassen (Dummy User und ein passendes Skript was das Programm startet). Die User sollten von dem Update gar nichts merken dürfen.

    Gruß Benjamin

    Benjamin Hoch
    MCSE: Data Platform
    MCSE: Data Management and Analytics
    MCSA: SQL Server 2012/2014
    MCSA: Windows Server 2012
    Blog


    Montag, 2. Januar 2017 09:44
    |

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden

    Hallo Christian,

    Programme die so arbeiten stellen ein Sicherheitsrisiko dar was man nicht unterschätzen sollte.

    https://www.youtube.com/watch?v=qk9GW4E94R8 ab 17:38 bis 28:30 Minuten wird das Problem erklärt.

    Ich würde sofern es möglich ist den Update Prozess vor der ersten User Anmeldung durch einen Automatismus abarbeiten lassen (Dummy User und ein passendes Skript was das Programm startet). Die User sollten von dem Update gar nichts merken dürfen.

    Gruß Benjamin

    Benjamin Hoch
    MCSE: Data Platform
    MCSE: Data Management and Analytics
    MCSA: SQL Server 2012/2014
    MCSA: Windows Server 2012
    Blog


    Montag, 2. Januar 2017 09:44
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin,

    Benjamin hat in beiden Punkten recht:

    1. nur weil der Entwickler zu faul ist, sich ein Update-Verfahren zu überlegen, das den Microsoft Development Guidelines entspricht, musst Du nicht gleich Deine Sicherheitsrichtlinie über den Haufen werfen.

    2. So etwas im Benutzerkontext durchzuführen ist immer Mist, zumal auf einem gemeinsam genutzten System. Vielleicht kann man ja die Update.exe nächtlich mit erhöhten Rechten starten und gut ist?

    Wie es andere machen? Die Palette variiert von "klar, UAC aus, stört doch bloß" bis "am Terminal Server-Image wird nichts verändert ohne die richtige Versionierung, und selbstverständlich bleibt UAC dabei an" ;-)

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Montag, 2. Januar 2017 10:24
    |
  • Question
    Anmelden
    0
    Anmelden
    wenn ich es richtig verstanden habe, liegt die Software zentral auf eurem Rechner. Ich würde daher die Updates selbst übernehmen und wie bei jeder anderen Software von Zeit zu Zeit selbst ausrollen.

    Chris

    Montag, 2. Januar 2017 16:45
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    danke für eure Hinweise.

    Basierend darauf habe ich das Update auf den Terminalservern jetzt in ein ein Task verpackt das Morgens einfach per XCOPY innerhalb einer bat die Daten kopiert. So ist zum Betriebsbeginn alles für die Benutzer bereit.

    Bei den kommenden Windows10 Clients werde ich das ganze in das Logonscript verpacken denke ich.

    Danke an alle die sich Zeit genommen haben und mir ihre Denkweise geschildert haben.

    LG - Christian

    Dienstag, 10. Januar 2017 14:18
    |