none
Absturz durch UAC bei Autostart - Windows 10 Enterprise RRS feed

  • Frage

  • Hallo,

    habe jetzt Windows10 Enterprise. Das macht zwar manches leichter, aber vieles nicht besser. (Ich bleibe dabei: Seit dem Wechsel von 2000 zu XP und allen nachfolgenden Versionen ist alles von Upgrade zu Upgrade nur unpraktischer geworden).

    Neuestes Problem: Wenn ein Programm über Autostart gestartet werden soll, das von der UAC als zustimmungspflichtig eingestuft wird weil es als Admin ausgeführt werden muss, und nicht aus dem Store stammt, kommt nicht etwa die Aufforderung zur Ausführung, sondern der Rechner friert ein und ist nicht mit Geld und guten Worten zum Weiterarbeiten zu bewegen. Es hilft nur ausschalten. Danach ist allerdings der EFI-Startsektor korrupt und muss wieder hergestellt werden damit der Rechner überhaupt noch startet. Selbst die UEFI-Konsole oder BIOS sind nicht mehr erreichbar. Beim nächsten Start das gleiche Spiel. Die gesamte Installation ist faktisch im Eimer (einschließlich aller Daten auf der Systemplatte).

    Der Rechner läuft sowieso im Entwicklermodus, anders kann man mit Windows 10 nicht überleben, das hilft in dem Fall aber nichts.

    Zum Glück habe ich Notzugänge eingerichtet und konnte darüber die Autostartprogramme entfernen. Aber so kann es ja wohl nicht sein, dass man wegen der S....-UAC Autostart nicht mehr nutzen kann.

    Weiß jemand eine Möglichkeit, der UAC mitzuteilen, dass sie den Autostart von Programmen zuzulassen hat, auch wenn die nicht von Microsoft zertifiziert sind? (Gern auch über Registry ... Registry-Veränderungen kann man wenigstens nach Updates schnell wieder herstellen ...)

    Falls jemand eine Idee hat: Im Voraus besten Dank.

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Dienstag, 30. Mai 2017 06:41

Antworten

  • @all, die ähnliche Probleme mit der UAC haben:

    Ich konnte das Problem jetzt lösen. Vorab: Es handelt sich ohne jeden Zweifel um einen Bug in der UAC, der aber umgangen werden kann.

    Zunächst müssen Windows Kits installiert werden. Aus diesen im Bereich ADK gibt es den Compatibility-Avisor für 32 und für 64 bit. Mit dem für das jeweilige Programm richtigen Avisor läßt sich eine Datenbank von UAC-Ausnahmen (anzuhaken "RunAsInvoker" aus den Additional Compatibility Modes) erstellen. Dies muss pro Programm gemacht werden. Dann die Datenbank abspeichern und installieren.

    Nach Installation der Datenbank starten die Programme ohne die UAC-Abfrage aufgrund Whitelist dennoch als Administrator. Das Problem mit dem Absturz tritt dann nicht mehr auf. Man kann sich so auch aller anderen lästigen UAC-Abfragen entledigen.

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Dienstag, 4. Juli 2017 07:44

Alle Antworten

  • Da Du anscheinend Profi bist

    --> schalt die UAC einfach ab ;)

    Was sagt denn das Eventlog zu dem Verhalten? Gibts da Einträge?

    UND: Wer zwingt Dich denn zur Nutzung von Windows 10 das Du den alten Systemen so nachtrauerst?


    Freundliche Grüße

    Sandro
    MCSA: Windows Server 2012
    Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)


    Dienstag, 30. Mai 2017 06:56
  • Hallo Sandro,

    erst einmal thx

    Würd ich gern - aber ganz, nicht blos pro forma über die Einstellungen. Du weißt ja, in Win10 kann man viel einstellen, was im Hintergrund dann doch weiterarbeitet (Cortana, Bibliotheken, Telemetrie und der ganze Spywaremist in Windows). Wo kann ich die Registryänderungen dafür finden???

    In Win7 habe ich mir halbwegs mit dem inbuilt Admin beholfen, das geht aber unter Win10 auch nicht mehr, weil etliche Programme in der Hauptgruppe nicht mehr zu starten gehen. Es gibt zwar Registry-Anderungen dazu, die funktionieren allerdings nicht vollständig (z.B. nicht bei der Diktiersoftware Dragon).

    Das Eventlog sagt nix, so weit kommt der Start nicht. Ist ja auch logisch, da schon der EFI-Startsektor beschädigt wird. Es handelt sich um Programme wie die SSD-Überwachung von Kingston usw und eigene Assembler-Routinen.

    Zu Deinem UND: Tue ich, Win2000 auf 8 internen Rechnern seit 17 Jahren mit einem einzigen Problem in all der Zeit, ein einziger Bluescreen nach Festplattenschaden der Systemplatte. Und wir sind damit beispiellos produktiv, es ist in allen Belangen 3 bis über 10mal schneller als Win7 oder Win10 (soweit es das Geforderte kann).  Beispiel: Rechtschreibkorrektur eines 300-Seiten-Manuskripts und Win2000 15 min unter Win7 fast einen halben Tag. Aber das funktioniert nicht mehr mit den Internet und auch nicht mit UEFI und GPT. Deshalb muss man auf den am Netz hängenden Rechnern in den sauren Apfel beißen und wenn große Platten gefordert sind auch. Zum Glück läuft wenigstens Office 2000 (außer Outlook) unter Win10.

    Schöne Grüße und thx

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Dienstag, 30. Mai 2017 08:11
  • Und wenn man die UAC abschaltet, dann laufen die sog. Store-Apps gar nicht mehr, da hierfür die UAC Voraussetzung ist.

    Vor dem Wechsel nach Windows 10 muss man sich tatsächlich die Mühe machen, für alles neue kompatible Software zu beschaffen. Ins besonders die Anforderung als Admin sollte i.d.R. nicht erforderlich sein.
    Für Überwachungssoftware gibt es hierfür eigentlich das Systemkonto, dass die wesentlichen erforderlichen Berechtigungen mitbringt um Software als Dienst bereitzustellen.
    Für Autostart sollte keine Adminberechtigung erforderlich sein.

    Wenn aber eine Software den EFI-Startsektor überschreibt dann liegt das weniger an Windows sondern an der Software, die EFI scheinbar noch nicht kennt. In diesem Sinne ist die UAC da wohl eher sicher um eben solche Beschädigungen zu verhindern.

    Es ist nicht immer alles besser, aber eben anders und es wird eher inkompatibel.
    Das ist wie damals mit der Volterhöhung ohne Ankündigung im Stromnetz von 220 auf 240. Da ist doch einiges durchgebrannt, was eben nur für 220 gedacht war.

    Ich entwickle nun Software seit fast 40 Jahren und solche Schwierigkeiten sind mir mit meiner Software bisher noch nicht begegnet.
    Dienstag, 30. Mai 2017 08:57
  • Hi,
     
    Am 30.05.2017 um 08:41 schrieb Spockspockspock:
    > Neuestes Problem: Wenn ein Programm über Autostart gestartet werden
    > soll, das von der UAC als zustimmungspflichtig eingestuft wird
     
    Warum braucht sie Adminrechte?
    Wo fehlen die Schreibrechte?
    Erweitere diese in %programfiles%, HKLM ...?
     
    > Der Rechner läuft sowieso im Entwicklermodus, anders kann man mit
    > Windows 10 nicht überleben,
     
    Kann ich nicht bestätigen, ich wüsste nicht, wozu ich den
    Entwicklermodus brauche. Vielleicht nutze ich andere Software.
     
    > Zum Glück habe ich Notzugänge eingerichtet und konnte darüber die
    > Autostartprogramme entfernen.
     
    Das ist über offline Zugriff und u.U. laden von Registry Strukturen,
    wenn sie in den RUN Keys steht immer möglich. Das braucht keinen
    "Rettungs-User".
     
    > Weiß jemand eine Möglichkeit, der UAC mitzuteilen, dass sie den
    > Autostart von Programmen zuzulassen hat, [...]
     
    Nein, Die gibt es nicht. So funktionert UAC nicht.
    UAC ist "immer", es gibt keine Excludes. Die Ausnahme, die du siehst
    sidn "Autoelevations", aber 100% UAC kompatibel.
    AutoElevation ist aus Sicherheitsgründen nur für MS signierte
    Anwendungen erlaubt.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Dienstag, 30. Mai 2017 18:44
  • Am 30.05.2017 um 10:11 schrieb Spockspockspock:
    > Du weißt ja, in Win10 kann man viel einstellen, was im Hintergrund dann
    > doch weiterarbeitet (Cortana, Bibliotheken, Telemetrie und der ganze
    > Spywaremist in Windows). Wo kann ich die Registryänderungen dafür finden???
     
     
    und
     
    ... oder schon fertig: Siehe Signatur
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Dienstag, 30. Mai 2017 18:46
  • Am 30.05.2017 um 20:44 schrieb Mark Heitbrink [MVP]:
    > Warum braucht sie Adminrechte?
     
    Ich kann es nicht reproduzieren.
     
    Pack die Software in die Aufgabenplanung, Trigger "bei Anmeldung". Was
    passiert dann?
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Dienstag, 30. Mai 2017 20:20
  • Hallo Mark,

    danke für die Links.

    Die Programme sind vom Programmhersteller schon als Programme definiert, die als Admin auszuführen sind.

    Ja, unter der Verwendung der Aufgaben friert Windows 10 auch ein (immer). Der EFI-Sektor wird wie im Autostart unregelmäßig mal beschädigt und mal nicht. Die Startuprepair von Windows kann das regelmäßig nicht korrigieren.

    Im Gegensatz zum Autostart bekomme ich einen Eventlogeintrag, den ich nicht verstehe: Stromunterbrechung(!?) was völliger Quatsch ist, denn alle anderen Funktionen des Rechners vom Ventilator bis zur Graphikkarte arbeiten ganz normal und ohne Unterbrechung.

    Bei den Programmen handelt es sich übrigens um SSD-Tools, die von Acronis und von Kingston stammen, von der Originalseite heruntergeladen sind und mit gültigem Zertifikat signiert sind und ausdrücklich für Windows 10 ausgezeichnet sind.

    Jemand vom Microsoft-Service hat mir bei Installationsschwierigkeiten einmal gesagt, mein Prozessor und Mainboard seien nicht zu Windows 10 kompatibel - was ich mir bei einem Intel I7 3820 auf Sockel 2011 mit MSI-Mainboard nicht wirklich vorstellen kann.

    Wir sind übrigens scheinbar beide ziemlich alte Hasen- mein erstes Programm habe ich 1969 geschrieben. Damals noch unter CPM - DOS war noch nicht in Mode und Rechner hatten gar keine Graphikkarte im heutigen Sinne. Mit eigenem Code habe ich auch nie Probleme. Assembler und VBA laufen immer ... Aber vielleicht kommt daher meine Abneigung gegen Betriebssysteme die alles selber machen wollen und die man nicht kontrollieren kann.

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Mittwoch, 31. Mai 2017 16:48
  • Hi,
     
    Am 31.05.2017 um 18:48 schrieb Spockspockspock:
    > Bei den Programmen handelt es sich übrigens um SSD-Tools, die von
    > Acronis und von Kingston stammen,
     
    Ok, Gegentest: Nehmen wir ein Program, daß /keine/ Festplatten
    manipulieren kann ... packen es in den Autostart, setzen "immer als
    Admin ausführen". Was passiert dann?
     
    Starte doch einfach mal regedit im Autostart oder die MMC oder als
    Drittanibeter "Registry Workshop von Torchsoft".
    Die wollen immer Adminrechte, meine UAC steht auf "ganz oben",
    Autoelevation ist deaktiviert.
     
    Sind es /deine/ Programme oder die UAC mit Autostart im generellen?
    Mein User ist Mitglied der Administratoren ich arbeite ohne Runas
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Mittwoch, 31. Mai 2017 17:13
  • Dann bist du nachweislich älter;-)

    Ich habe auch Acronis True Image im Einsatz, allerdings brauche ich keine weiteren Tools.
    Kannst du die nicht einfach weglassen?

    Nun, was die Microsoft-Leute angeht, so kochen die auch nur mit Wasser. Als der ADO-Fehler vom 12.April in sämtlichen Windowssystemen auftauchte konnte ich bei Microsoft auch niemanden überzeugen, dass dies deren Fehler war. Die sprachen auch von fehlenden DLL's oder Treibern. Nach über 4 Wochen gabs dann endlich den Update, dabei hatte ich dann 1 Tag später schon meine Umgehung fertig.

    Und? Den Fehler schon mal an Acronis/Kingston gemeldet?
    Bei Kingston steht ja nur bis Windows 8.1 und bei Acronis finde ich keine SSD-Tools, es sei denn, beide sind identisch!

    Mittwoch, 31. Mai 2017 17:24
  • Hi Mark,

    habs mit einem meiner absoluten Lieblinge probiert: Word2000. Es passiert genau das gleiche. Und etwas moderner mit CorelDraw auch.

    Naja, ich hab jetzt alles, was Adminrechte braucht, aus dem Autostart genommen. Vielleicht habe ich ja den Ärger auch nur deshalb, weil ich bei Win7 immer mit dem Systemadminkonto der Hauptgruppe gearbeitet habe, wo es solche Probleme natürlich nicht gibt. Hatte ich mir freigeschaltet. Geht aber in Win10 jetzt auch nicht mehr. Man kann ihn zwar noch freischalten, aber viele Programme laufen nicht mehr in der Hauptgruppe.

    Habe übrigens seit Erscheinen von Win7 mit 4 Rechnern ausschließlich in der Hauptgruppe gearbeitet und auch nicht ein einziges Problem gehabt - da sieht man, wie sinnlos der ganze Hürdenlauf ist. - Placebosicherheit! Oder wie es in der "Feuerzangenbowle" heißt: Mädizin muss bätter schmecken, sonst nötzt sie nichts...

    Aber vielen Dank für die Hilfe

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Donnerstag, 8. Juni 2017 12:27
  • Hallo bfürchau,

    ja, habe das an acronis und Kingston gemeldet, aber nix gehört. Glaube auch nicht, dass es daran liegt, denn wenn man die Programme ohne Autostart laufen läßt gibt es ja keine Probleme. Das ist die UAC, sonst niemand.

    Wenn der User durch die Sicherheitsmaßnahmen nicht behindert wird, glaubt er ja nicht, dass es welche gibt ...

    Ich könnte die schon weglassen, will ich aber nicht gern, weil sich SSDs ziemlich geräuschlos und ohne eine Chance zur Rettung von einer Sekunde auf die andere verabschieden. Deshalb will ich rechtzeitig wissen, wenn es kritisch wird. Starte die halt jetzt von Hand. Siehst Du, deshalb mag ich Win2000 so, da gibt es so was nicht.

    Danke

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Donnerstag, 8. Juni 2017 12:34
  • Jaja, aber unter Win2000 kann man wohl keine SSD's fahren und auch vieles andere nicht.

    Das ist wie mit den Autos. Neue Diesel müssen Filter ohne Ende haben und können fahrtechnisch verboten werden. Aber lass das Auto erst mal 30 Jahre alt sein, dann darfst du auch als Rußschleuder wieder in die Innenstadt.
    Ist das nun das gute oder das schlechte Alte;-).

    Donnerstag, 8. Juni 2017 14:53
  • @ bfürch

    Hallo,

    da irrst Du Dich aber. Win2000 kann SSD, SATA I - III, NTFS sowieso, RAID, Softwarevirtualisierung und auch Hardwarevirtualisierung wenn es der Prozessor kann, es läuft sogar störungsfrei auf Mainboards für die es keine Win2K-Treiber mehr gibt und bedient strörungsfrei Quad- Hexa- und Octocore-Prozessoren, Platten bis 2TB, TCPIP auch mit mehreren Netzkarten (hatte schon 5 in einem Proxy), soviel RAM wie das Mainboard kann und - als Datacenterversion - Multiprozessormainboards bis zu 32 Prozessoren. Du brauchst nicht einmal Rolls, weil man jedem User entweder auf Basis von Gruppen oder durch Ordner gesteuert einzeln beliebige Rechte erteilen oder nehmen kann. Du brauchst auch keine Downloadprogramme, weil - oh Wunder - die temporary Internetfiles ganz einfach gesichert werden können, wenn man sie braucht, weil sie zugänglich sind. Man kann Daten und System trennen und es schreibt nicht alles mögliche irgenwo in die Tiefen des Betriebssystems, wo Du es nie wiederfindest, es speichert dort, wo Du es ihm sagst und verwendet keine Hardlinks (äußerst angenehm!).

    Es hat übersichtliche Textmenüs wo man mit ganz wenigen Klicks alle Funktionen erreicht (schlecht für Handy aber Metro und Ribbon ist dafür der letzte Dr... für PC) ohne erst Hieroglyphen lernen zu müssen und man bekommt ein extrem schlankes (1/2 CD) und deshalb extrem schnelles (auf moderner Hardware) Betriebssystem.

    Was es nicht kann: HTML5, IPv6 und GPT. Und es hat keinen Virenscanner (Win10 keinen brauchbaren) und keine Betriebssystemfirewall (Drittsoftware nötig und möglich). Leider hat es auch schon diese "Eigenen Dateien", die inzwischen als Libraries zu einem der größten Hindernisse für die tägliche Arbeit geworden sind, zwingt aber noch nicht dazu, sie mitlaufen zu lassen. Und manchmal muss man halt für die Peripherie Treiber installieren.

    Tja, dafür, dass Windows 2000 inzwischen bald 2 Jahrzehnte alt ist, ist es wohl angesichts seiner Fähigkeiten doch eher das gute Alte, das mit wenig Aufwand zu einem sehr guten Neuen aufgebaut werden könnte - wenn man nur ein Betriebssystem will und keine Spyware für die Werbeindustrie. Ich: -) Du -( (?) Win10: [8-(] (falls unbekannt: Frankensteinsmiley)

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Freitag, 9. Juni 2017 11:39
  • @bfuerchau

    Sorry, wollte Deinen Namen nicht verstümmeln - war ein Versehen.

    Und noch ein Nachtrag: Win2K kann auch tausende von Partitions verwalten (auf einem System), soviele wie die Festplatten hergeben. Man ist nämlich nicht auf Laufwerksbuchstaben angewiesen sondern kann sie auch ohne Buchstaben einem Ordner zuweisen (1 Partition pro Ordner). Was wie ein Ordner aussieht, ist in Wahrheit eine Partition. 3 primäre Partitionen pro Platte à 2TB = 6TB pro Platte mal Zahl der möglichen Platten lt. Rechner und dann so viele logische Partitions, wie es mögliche Ordner gibt ...

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Montag, 12. Juni 2017 11:51
  • Moin,
     
    Am 08.06.2017 um 14:27 schrieb Spockspockspock:
    > Naja, ich hab jetzt alles, was Adminrechte braucht, aus dem Autostart
    > genommen.
     
    Verwirrend. Hattest du es als geplante Aufgabe mit 30 Sekunden
    Verzögerung nach Anmeldung probiert?
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Freitag, 16. Juni 2017 08:45
  • Am Thu, 8 Jun 2017 12:27:06 +0000 schrieb Spockspockspock:

    Naja, ich hab jetzt alles, was Adminrechte braucht, aus dem Autostart genommen.

    Wenn sich ein Programm manuell per Skript mit erhöhten Rechten starten lässt, dass klappt das auf jeden Fall
    auch dann, wenn man das Skript in den Autostart legt.
    Und was soll ein beschädigter "EFI-Sektor" sein? Ist damit die EFI-System-Partition gemeint? Wenn ein Programm
    im Autostart scheitert, darf dort nichts kaputt gehen. Da ist mit der Installation gewaltig was faul.

    Samstag, 17. Juni 2017 13:29
  • Hallo Peter,

    ja, mit EFI-Sektor meine ich natürlich die EFI-Systempartition, Partition -1 nach Wiederherstellungspartition -0 vor -2 Windowsbootpartition auf Bootdatenträger 0 (von 4).

    Die fraglichen Programme nehmen sich schon beim Start selbst Adminrechte. Das gleiche passiert auch dann, wenn man ein Programm das keine Adminrechte braucht mit Adminrechten starten läßt (über Dateieigenschaften, nicht per Script) und in den Autostart nimmt (z.B. eben Word aus Office 2000 das im Übrigen unter Win10 bestens und fehlerfrei in allen Funktionen läuft).

    Mit beschädigt meine ich, dass die Maschine danach bootunfähig ist und auch die Windows startup-repair kann den Fehler nicht beheben. Es kommt nicht einmal mehr das Bootlogo, also Fehler in der EFI-Partition, denn das Bootlogo wird über die BGRT aufgerufen und die steht in der EFI-Partition. Einzige Abhilfe: Wiederherstellung der EFI-Patition mit Acronis-Startdisc.

    Es handelt sich um eine bar-metal-Installation (Win10 Enterprise X64) auf einem neuen und mit Win10 PE für UEFI vorbereiteten und von Anfang an GPT-formatierten Datenträger (SSD 120 GB) der nur das System beinhaltet. Die Daten- und Backupplatten waren bei der Installation noch nicht im Rechner. Dass die optischen Laufwerke noch IDE sind wirds wohl nicht ausmachen. Daten werden nicht in die Libraries sondern klassisch an ihrem Ort direkt gespeichert, die Libraries sind sogar ausgeblendet und gar nicht aufrufbar, es landen also auch keine Daten im System - auch keine Downloads. Hibernation ist off, so dass sich auch einmal aufgetretene Fehler nicht vererben können, Cookies, Flashcookies, temporäre Internetfiles und was so sonst noch Ärger machen kann wir halbstündlich per Aufgabe gelöscht (VISTR), Offlinedaten gibt es gar nicht erst, ebenso kein Cortana und keine Telemetrie (über Registry, Gruppenrichtlinien, Dienste abgeschaltet).

    Mit "normalen" Programmen, die keine Adminrechte verlangen, startet der Rechner problemlos.

    Wüsste nicht, was da schief gegangen sein sollte - außer durch das "segensreiche" Wirken der UAC. Hast Du eine Idee? Aber vielleicht erledigt sich das ja auch bald: Ab 1703 soll man auch wieder im inbuilt Admin der Hauptgruppe arbeiten können und da gibt es (oder gab es mindestens unter Win7) keine Probleme mehr mit der UAC.

    Aber jedenfalls danke für Deine Anregung

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Sonntag, 18. Juni 2017 12:24
  • Hallo Mark,

    als geplante Aufgabe nach dem Start geht das natürlich schon, da kann die UAC ja die Zustimmung einholen. Ich habe die Programme in den Autostartordner (des Bedieners) genommen und da gibt es dann die Probleme.

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Sonntag, 18. Juni 2017 12:37
  • Am Sun, 18 Jun 2017 12:24:08 +0000 schrieb Spockspockspock:

    ja, mit EFI-Sektor meine ich natürlich die EFI-Systempartition, Partition -1 nach Wiederherstellungspartition -0 vor -2 Windowsbootpartition auf Bootdatenträger 0 (von 4).

    OK, also die ESP. "EFI-Sektor" ist was anderes. Wie gesagt, wenn der Start eines Programmes in Windows scheitert, sollte in der ESP nichts kaputt gehen, es sei denn, das Programm will darin usachgemäß rumfummeln.

    Die fraglichen Programme nehmen sich schon beim Start selbst Adminrechte.

    Abgesehen von der Autoelevation bestimmter Windows-Module kann sich kein Programm "Adminrechte nehmen". Sowas ist ausgeschlossen.
    Man kann Programme per Skript via schtasks.exe starten, so dass sie automatisch ohne UAC-Prompt mit erhöhten Rechten ausgeführt werden. In Adminkonten klappt das. Oder man macht sich ein Runas-Skript per WSH, das UAC für das Programm automatisch per Passwort bestätigt. Wenn so ein Skript manuell funktioniert, dann funktioniert es auch im Autostart beliebiger Konten.
    Generell haben Programme keine erhöhten Rechte zu nutzten und wenn man reinen Usern solche Programme genehmigt, kann man ihnen auch gleich Adminrechte geben...

    Wüsste nicht, was da schief gegangen sein sollte - außer durch das "segensreiche" Wirken der UAC.

    Der User muss die UAC-Abfrage entweder manuell bestätigen oder eben automatisch per Skript oder über schtasks.exe den Start mit erhöhten Rechten festlegen.

    Hast Du eine Idee? Aber vielleicht erledigt sich das ja auch bald: Ab 1703 soll man auch wieder im inbuilt Admin der Hauptgruppe arbeiten können und da gibt es (oder gab es mindestens unter Win7) keine Probleme mehr mit der UAC.

    Mit dem Systemkonto "Administrator" kann man natürlich auch in 1703 nicht arbeiten, weil das halbe Windows darin nicht funktioniert, denn UAC ist in diesem Konto nicht aktiv. Und in Win 7 gab es noch keine Metro/UWP-Apps, die von UAC abhängig sind.

    Montag, 19. Juni 2017 11:44
  • Hallo,

    "Mit dem Systemkonto "Administrator" kann man natürlich auch in 1703 nicht arbeiten, weil das halbe Windows darin nicht funktioniert, denn UAC ist in diesem Konto nicht aktiv. Und in Win 7 gab es noch keine Metro/UWP-Apps, die von UAC abhängig sind."

    Stört nicht, benutze weder Metro noch Apps sondern klassische Programme, die ganz normal ihre Arbeit tun, Textmenüs haben, keine Hieroglyphenribbons und alles auf dem eigenen Rechner halten (z.B. Office 2000). Aber auch die starten dummer Weise zum Teil zur Zeit nicht in der Hauptgruppe (z.B. Dragon 10, das noch mit Office 2000 kann). Das Gute daran: Für die Dinger gibt es gar keine Schadsoftware mehr, die damit zurecht kommt.

    Den Appstore habe ich  nicht ein Mal geöffnet seit es ihn gibt und der wird auch zu bleiben. Insofern ist mir das egal ob die Apps ohne UAC laufen, Hauptsache meine Programme laufen wieder (und das soll ab 1703 so sein) und ich habe keinen Ärger mit dem ganzen unnötigen Ballast.

    Das mit dem Runas-Script probiere ich aus. Danke dafür.

    Trotzdem viel Spaß damit, wenn es Dir so gefällt, wie es ist - mir gefällt es schon seit XP nicht mehr sonderlich und immer weniger.

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Montag, 19. Juni 2017 13:09
  • Moin,
     
    Am 18.06.2017 um 14:37 schrieb Spockspockspock:
    > als geplante Aufgabe nach dem Start geht das natürlich schon, da kann
    > die UAC ja die Zustimmung einholen. Ich habe die Programme in den
    > Autostartordner (des Bedieners) genommen und da gibt es dann die Probleme.
     
    Moment mal, jetzt kommt langsam Licht ins Dunkel. /WO/ hattest du vorher
    die "Autostart" Einträge?
     
    Für mich ist "Autostart"= Current User / Logonuser
     
    Hast du den Autostart eine /anderen/ Users aka Admin verwendet, wenn du
    selbst aus Benutzer arbeitest?
     
    Das klappt dann nicht, weil die UAC das Elevation Fenster nicht zeigen
    kann. Dann solltest du als "Autostart" Ordner nicht den eines Admin
    nehmen, sondern das SYSTEM.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Dienstag, 20. Juni 2017 09:15
  • Hallo Mark,

    ich arbeite grundsätzlich NIE als Benutzer, auf meinen Rechnern gibt es nur Adminkonten (eins für den berechtigten Benutzer und 2 Notzugänge für den Fall von Störungen, die normalerweise nicht benutzt werden). Es gilt one machine one man und es gibt nur lokale Konten, kein Microsoftkonto, ganz old school.

    Als Autostart habe ich das Verzeichnis

    C:\Users\IB2S-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

    im Dateiexplorer verwendet, wobei IB2S-2 ein lokales Adminkonto ist mit dem auch gearbeitet wird.

    Aber nachdem es mit einer Aufgabe Programmstart und Trigger 60 sec. nach Startup funktioniert, ist das Problem gelöst. Warum dadurch dass das Elevation Fenster nicht angezeigt werden kann, die EFI-Partition irreparabel beschädigt wird ist mir zwar unklar aber seis drum, ein Windowsmysterium mehr.

    Dass seit Einführung von XP immer weniger funktioniert bin ich ja gewöhnt ...

    Danke für die Lösung

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Dienstag, 20. Juni 2017 10:54
  • Am Tue, 20 Jun 2017 10:54:40 +0000 schrieb Spockspockspock:

    Dass seit Einführung von XP immer weniger funktioniert bin ich ja gewöhnt ...

    Alles, was man in Windows versteht und richtig zu bedienen weiß, funktioniert auch. In Win 10 funktioniert viel mehr als im alten XP.
    Wer sowas schreibt, hat sich seit XP nur noch unzulänglich mit den Windows-Grundlagen beschäftigt. Man kann nicht einfach davon ausgehen, dass alles so läuft wie in einer Uralt-Version. Da wird man freilich feststellen, dass man mit altem Wissen von Version zu Version immer mehr vor die Wand läuft. In Windows 2050 stellt man dann fest, dass überhaupt nichts mehr funktioniert, seltsamerweise aber alle anderen recht zufrieden damit sind. ;-)

    Dienstag, 20. Juni 2017 18:00
  • Nun, mit jedem Update von Windwos baut Microsoft immer neue Fehler ein.
    Stichwort ".NET 4.7": Was durch dieses Zwangsupdate auf einmal alles nicht mehr läuft...
    .NET sollte endlich das Problem der DLL-Hölle (C++-Runtime u.v.m) lösen, wobei es nun neu eine .NET-Hölle gibt.

    Zumal Microsoft der Meinung ist, vor den Geräten sitzen ausschließlich "Dummies" die mit allen möglichen Apps beglückt werden müssen.
    Immerhin war es "früher" halt so, dass sich jeder die Software besorgt hat (kostenlos oder -pflichtig) die er eben benötigte. Wobei da die meisten erheblich komfortabler waren und sind als die Microsoft-Allerweltsapps.

    Was soll ich mit automatischen Wetter-Apps, Börsenticker, diversen Cloud-Diensten und Zwangskonten im Internet damit der PC überhaupt läuft?
    Warum darf ich auf meinem PC nicht Admin mit voller Berechtigung sein?
    Und wenn ich dann mit dem internen, aktivierten, Admin arbeite, wieso funktionieren dann einige Dinge gar nicht mehr obwohl ich doch nur ein anderes internes Konto verwende?

    Leider ist die "große Masse" der User zufrieden mit dem was Microsoft uns da bietet und wartet dann auch schon mal ein paar Wochen auf Updates, die dann die Funktionen wieder gangbar machen, die vor dem vorherigen Update bereits funktionierten.

    Warum muss Windows immer mehr können? Bisher war alles durch Treiberupdates der Hersteller gewährleistet, so dass neue Hardware dann auch funktionierte.
    Wieso meint Microsoft, das alleinige Entwicklungsrecht für alles und jedes zu haben?
    Ein Betriebssystem stellt die Basisfunktionalität eines Computers dar.
    Windows ist schon lange kein Betriebsystem mehr sondern ein Anwendungssystem.

    Die Monopolstellung von Microsoft wird da weidlich ausgenutzt, so dass man als Softwareentwickler da schon unter z.T. erheblichen Schwierigkeiten arbeiten muss.
    Erst das vorletzte kumulative Update (April 2017) führte dazu, dass meine Software, die von XP bis 10 tadellos lief, auf Windows 7 bis 10 und Server bis 2016 nicht mehr funktionierte. Die Behebung erfolgte mit dem Update im Mai, also 1 Monat später.
    Zum Glück konnte ich eine Umgehung programmieren, die die vorherige Version der kaputten DLL verwendete, so dass meine Anwender mit meiner Software erst mal weiterarbeiten konnte.
    Viele andere Anwendungen konnten dies aber nicht, so dass man geduldig auf den Behebung gewartet hat.
    Unter dem Motto: "Microsoft wird es schon richten..."

    Und was 2050 angeht, so gilt dann der adaptierte Spruch:
    "Und die Welt steht still wenn Microsoft es will!"


    • Bearbeitet bfuerchau Mittwoch, 21. Juni 2017 07:02
    Mittwoch, 21. Juni 2017 07:00
  • Hi,
     
    Am 20.06.2017 um 12:54 schrieb Spockspockspock:
    > Als Autostart habe ich das Verzeichnis
    > C:\Users\IB2S-2\AppData\Roaming\Microsoft\Windows\Start
    > Menu\Programs\Startup
     
    und der IB2S-2 ist dann der aktuelle Benutzer. ok, ich dachte du
    arbeitest als "IB2S-2" und nutzt den Autostart eines anderen Admin
    Benutzers. Dann hätte der Bug/Fehler zumindest minimal Sinn ergeben.
     
    Dann habe ich jetzt auch keine Idee mehr :-)
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Mittwoch, 21. Juni 2017 07:27
  • Am Tue, 20 Jun 2017 10:54:40 +0000 schrieb Spockspockspock:

    Warum dadurch dass das Elevation Fenster nicht angezeigt werden kann, die EFI-Partition irreparabel beschädigt wird ist mir zwar unklar aber seis drum, ein Windowsmysterium mehr.

    Dafür bräuchte man deine genau nachvollziehbare Vorgehensweise, weiterhin, um welches Programm es sich handelt.

    Mittwoch, 21. Juni 2017 12:05
  • @ Peter,

    dann erklär mir doch mal, worin der Fortschritt liegt, wenn ein Prozess (Rechtschreib- und Grammatikkorrektur eines Buches mit rund 1 Mio Anschlägen), der unter Win2000 auf einem Pentium 4 (Singlecore unter 1 GHZ und 768 MB RAM und IDE-HD) in 15 Minuten erledigt ist, dann unter Win7 wie unter Win10 einen Quadcore I7 Sockel 2011 mit SSD und 16 GB RAM mehrere Stunden belegt. Win2000 startet auf moderner Hardware auch wesentlich schneller als Win10 und, wenn man den Hibernation-Hokuspokus (reiner Taschenspielertrick) abschaltet, fährt es auch schneller runter.

    Ich sage ja nicht, dass es keine Fortentwicklung geben soll. Aber ich bin voll bei bfuerchau: Windows ist ein Betriebssystem und das sollte es bleiben. Microsoft kann gern auch Programme anbieten, aber bitte richtige Programme, wie Office 2000 zu seiner Zeit eines war, das ist auch heute immer noch ein Topprogramm (und läuft sogar unter Win10 X64) und nicht irgendwelche Apps in Handyqualität. Mit XP wurde ein Irrweg eingeschlagen: Statt Schadsoftware abzuwehren und Programme gegen Veränderung zu härten (was dann allerdings auch Herummanipulieren und Ausspionieren durch Microsoft verhindert hätte), läßt man alles munter rein und rumändern und hindert stattdessen den User an immer mehr Sachen, die nur deshalb gefährlich sind, weil das System nicht ausreichend gehärtet ist. Warum steuert man z.B. die Betriebssystemfirewall nicht so, dass ein- und ausgehend jedes Programm genau nur die Funktionen und Ports bekommt, die es wirklich zu seiner Funktion braucht und schießt ansonsten jeden auch ausgehenden Verkehr ab? Ein Trojaner, der weder nachladen noch heimtelefonieren kann wird gar nicht erst geschrieben, weil er sinnlos ist. Warum gibt man einem Programm nicht eine Art digitaler Ausweis, der den Start verhindert, wenn es unlegitimiert verändert wurde? Warum gibt man nicht dem unveränderten Programm genau die und nur die Rechte, die es wirklich benötigt sondern überträgt die des Users? Aber nein, alles bleibt offen, nur der User darf nichts.

    Der User wird zum Bedienknecht des Rechners, der dem User diktiert, was er darf und soll und das ist falsch. Der Computer muss der Rechenknecht des Users sein, nicht der User Slave des Rechners. Und es ist auch falsch und unverschämt, immer mehr Steuerungen und Skalierungen in die Gruppenrichtlinien (die Home gar nicht hat), manuelle Registryänderungen und ins Powershell zu verlegen oder gleich ganz zu verhindern, damit ja keiner mehr damit zurecht kommt.

    Alleine um den Dateiexplorer auch nur einigermaßen brauchbar zu machen, bedarf es ca. 25 Registryänderungen auf einem X64-System. Nur, damit er das und nur das anzeigt, was man braucht. Das heißt noch nicht, dass Windows deshalb vernünftig sucht. Und nach jedem Update muss man prüfen, was davon jetzt wieder zurückgesetzt wurde oder anders gemacht werden muss als bisher.

    bfuerchau hat auch Recht damit, dass ständig neue Fehler auftauchen. Selbst wenn man Updates in der Businessbranche verzögert erhält - einsatzbereit sind die deswegen noch lange nicht von fehlerfrei ganz zu schweigen.

    Dass "die große Masse" zufrieden ist, liegt einfach daran, dass "die große Masse" rumsurft, Facebookjunkie ist, noch ein bischen Twitter und vielleicht das eine oder andere Spiel macht und was eine Tabellenkalkulation ist fragt man am Besten den Arzt oder Apotheker. 

    Ich wünsche mir die Rückkehr von Windows zu einem stabilen, userbestimmten Betriebssystem und das, mit Verlaub, war unter Win2000 das letzte Mal der Fall.

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Donnerstag, 22. Juni 2017 12:19
  • Hallo Peter,

    unabhängig von unseren unterschiedlichen Meinungen über Windows:

    1. Es passiert bei allen Programmen, die administrative Rechte verlangen und nicht nur als Dienst gestartet werden.

    2. Es passiert auch bei Programmen, die keine adminstrativen Rechte benötigen, wenn man eingibt, dass sie als Aministrator ausgeführt werden sollen.

    3. Der Start erfolgt dadurch, dass das Programm dem Autostartordner des aktuellen Users zugefügt wird, der auch den Rechner startet. Dieser User ist ein Administrator (allerdings nicht "der" Administrator)

    4. Die Beschädigung erfolgt teils vor Einblenden des Startlogos (die 4 blauen Quadrat) teils danach vor Einblenden des Boot-Indikators, also vermutlich durch den Bootmanager.

    5. Beim nächsten Start bleibt der Bildschirm schwarz und der Rechner startet nicht mehr. Kein Bordmittel, auch nicht die Reparaturfunktionen der WinDVD (die ich nicht editiert habe) können den Fehler beheben.

    6. Der Schaden liegt im EFI-Sektor, denn nach einer vollständigen Wiederherstellung NUR des EFI-Sektors mittels Acronis startet der Rechner sofort klaglos normal und ohne Hinweis auf den vorher eingetretenen Fehler.

    Weißt Du was damit anzufangen?

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Donnerstag, 22. Juni 2017 12:37
  • Am Thu, 22 Jun 2017 12:37:41 +0000 schrieb Spockspockspock:

    3. Der Start erfolgt dadurch, dass das Programm dem Autostartordner des aktuellen Users zugefügt wird, der auch den Rechner startet. Dieser User ist ein Administrator (allerdings nicht "der" Administrator)

    Also lege ich z.B. mal eine Verknüpfung zu notepad.exe nach
    %AppData%\Microsoft\Windows\Start Menu\Programs\Startup
    und stelle in der Verknüpfung unter "Erweitert" ein, dass sie als Admin ausgeführt werden soll.

    Beim Neustart startet Windows dann natürlich völlig normal. Man bekommt keine Fehlermeldung und Notepad ist einfach nicht gestartet, weil es so nun mal nicht klappen kann. Auf keinen Fall kann dadurch die Bootkonfiguration beschädigt werden. Wenn dieses Beispiel bei dir hingegen zu solchen Fehlern führt, ist gewaltig was faul. Da müsste man den Bootvorgang dann genau analysieren.

    Donnerstag, 22. Juni 2017 13:34
  • Am Thu, 22 Jun 2017 12:19:54 +0000 schrieb Spockspockspock:

    Der User wird zum Bedienknecht des Rechners, der dem User diktiert, was er darf und soll und das ist falsch.

    Ihr macht da beide zum Großteil schlicht sachlich falsche Unterstellungen. Ich passe mir alle Systeme exakt nach meinen Vorstellungen an und mache das, was ich will. Das kann jeder, wenn er weiß, wie er seine Vorstellungen umsetzen kann. Ich könnte den ganzen Artikel jetzt von oben bis unten zerpflücken, aber so eine OT-Diskussion ist hier fehl am Platz. Du kannst aber gerne nach
    Newsgroup: de.comp.os.ms-windows.misc
    kommen, da können wir das in epischer Breite durchackern. In solchen Webforen wie hier ist das nur ne Qual und zudem unerwünscht.

    Donnerstag, 22. Juni 2017 13:46
  • Es sind leider keine Unterstellungen sondern Erfahrungswerte.
    Beispiel CorelDraw X4:
    Das nicht gerade preiswerte Produkt, dass bis 8.1 tadellos funktionierte, wurde bei der Installation wegen Inkompatibilität abgwiesen. Die Meldung kam aber nicht aus dem Installer sondern vorher von Microsoft.
    Nach langem googeln gab es dann die Lösung:
    CD komplett auf die Festplatte kopieren, den Setup.Exe in SetupXXX.Exe umbenennen und anschließend problemlos installieren. 700€ gespart!

    Beispiel Druckerinstallation:
    Warum kann ich nicht gleich wie früher in die verfügbare Liste der Drucker kommen um Hersteller und Modell auszwählen dass ich natürlich kenn?
    Warum versucht Windows da erst minutenlang a) im lokalen Netz den Drucker zu suchen, den es ja nicht finden kann und b) lässt mich erst online suchen bevor nun endlich die Herstellerliste angezeigt wird?

    Warum sterben reihenweise Anwendungen, nur weil Microsoft .NET 4.7 verteilt obwohl ich meine Anwendung für .NET 4.0 bestimmt habe?

    Und so zieht sich das von Problem zu Problem: nichts ist einfacher geworden.

    Freitag, 23. Juni 2017 06:41
  • Richtig bfuerchau,

    Beispiel Corel X3 (Fehlermeldung: Dieses Programm kann nicht unter Windows ausgeführt werden). Es kann erst nach der Installation von Corel 11 installiert werden, das aber nicht installiert werden kann, weil es "inkompatibel" ist. Allerdings hat Corel Draw 11 einen eigenen Installer, der Win10 offensichtlich nicht bekannt ist und sich daher Corel Draw 11 aus Corel 11 installieren läßt. Die Installation wird also offensichtlich absichtlich verhindert, denn ein Installer, den Windows10 nicht kennt, kann durchaus ein Programm installieren, das nicht zum starten zu bringen ist, weil es im Gegensatz zu Corel X3 wirklich inkompatibel ist. Danach kann aber Corel X3 normal installiert werden. Allerdings ist die Menueleiste, die normalerweise schwarz sein soll, in Win10 unveränderlich weiß, so dass das Menü nun weiße Schrift auf weiß ist. Ebenso nicht mehr zu laufen zu bringen ist Acronis advanced Backup and Restore 10, obwohl es noch nicht einmal ein Windows-Programm ist sondern in weiten Teilen auf Linux basiert (und das trotz windows-bash oder vielleicht sogar deswegen?). Auch das Programm zur Anzeige von älteren Windowshilfen läßt sich nicht mehr installieren, ebensowenig wie die für Einstellungen notwendige Firmware der Microsoft Livecam 3000 (es gibt zwar einen Treiber, aber keine Einstellungsmöglichkeit). Auch das Becker-Programm für Naviupdates läuft neuerdings nicht mehr fehlerfrei, obwohl es aktuell ist und so weiter. Nächstes Ärgernis: Win10 hat zwar einen Kompatibilitätsmodus für Win95, Win98  und XP aber nicht für 2000. Honi soit qui mal y pense ....

    @Peter Hagendorf

    Dass Microsoft darüber keine Diskussion will ist mir klar. Ist mir aber herzlich egal, Kritik muss möglich bleiben wir sind ja schließlich weder in Trumpland noch in Norkorea. Aber ich nehme Dich beim Wort.

    Wenn es so einfach ist, wie Du sagst, dann verrat mir doch die Einstellungen für meine vier drängendsten Probleme für die ich derzeit keine Lösung habe.

    1. Wie ersetze ich dieses Ringelding das sich Fortschrittsindikator nennt und nur nervt durch einen ordentlichen Ladebalken, der über Fortschritt, voraussichtliche Restdauer (sehr wichtig, deshalb der Indkator unbrauchbar) und soeben verarbeitete Datei informiert. Beim Kopieren von Dateien gibt es so etwas, ich brauche es aber überall, auch bei Systemprozessen, Systemstart und Herunterfahren.

    2. Wie erreiche ich systemweit Textmenüs (aufklappbar, kaskadiert), die auf der Oberfläche sämtliche Funktionen eines Programms verfügbar machen statt der blöden Ribbons und zwar für alle Teile de Systems und die Programme bzw. Apps ohne dass man irgendwelche versteckten Funktionen stundenlang suchen muss.

    3. Wie kann ich verhindern, dass die blöden Libraries von direkt und nicht über sie gespeicherte Dateien im Userordner zusätzliche Kopien und zum Teil sogar unaufgefordert Fortschrittsbackups (z.B. von Steganosdateien) auf der Systemplatte anlegen und damit das System zuwächst obwohl weder Shadowkopien noch die Generationssicherung aktiviert sind?

    4. Wie verhindere ich, dass Systemprozesse und Updates Systemdateien auf andere als die Systemplatte, also auf meine Daten- und Backupplatten schreiben und das System auf eine konkrete Platte beschränken, zugleich, dass Daten, die vom System erzeugt werden, auf einer Datenplatte an einem von mir bestimmten Ort landen und nicht auf der Systemplatte.

    Könnte man das leicht einstellen und gegen Änderungen durch Updates und Systemüberprüfungen (sfc /scannow) schützen, wäre Win10 vielleicht zumindest nicht ganz schlecht. Ansonsten muss es sich Kritik gefallen lassen.

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Freitag, 23. Juni 2017 10:25
  • X3 hat wohl da dasselbe Problem wie X4, mit den weißen Menüs kann ich aber leben.

    zu 1)
    Ich denke mal, den Fortschrittsbalken hat man bewusst weg gelassen da man nicht mehr weiß oder vorher feststellen will oder kann, wie lange etwas voraussichtlich dauert. Und wen hat denn tatsächlich mal interessiert, welche Datei gerade kopiert wird zumal das z.T. so schnell geht, dass man das nicht lesen kann oder der Pfad so lang ist, das er nicht in die Anzeige passt.

    Und wie heißt das Sprichwort doch gleich: "Es ist fertig, wenn es fertig ist!".

    zu 2)
    Überhaupt nicht. Ribbons werden durch die Anwendung selber generiert und können nicht durch die "alten" Menüs ersetzt werden. Für meine BI-Anwendung verlangt (leider) der Anwender schöne bunte Ribbons weil er das durch Microsoft gewöhnt ist (Pavlov lässt grüßen).

    zu 3) und 4)
    Weil Microsoft das so will und den Usern halt alles abnimmt weil es ja doch nur belastet.

    Freitag, 23. Juni 2017 11:52
  • Am Fri, 23 Jun 2017 10:25:48 +0000 schrieb Spockspockspock:

    Ansonsten muss es sich Kritik gefallen lassen.

    Aber nicht an der falschen Stelle, wo sie nichts bringt. Gib MS entsprechendes Feedback, wenn dir z.B. Ribbons nicht gefallen. Ich mag eher die umständlichen Klappmenüs nicht und ein Dateimanager mit Werkzeugleiste wie in Win 10 ist allemal besser als ohne wie in Win 7. Ein Dateimanager ohne Werkzeugleiste ist einfach nur ein Witz.
    Besser wärs gewesen, du hättest zum eigentlichen Thema etwas geantwortet, z.B. zum Notepad-Test.
    Für sonstige Probleme einen eigenen Thread aufmachen.

    Freitag, 23. Juni 2017 12:14
  • Hallo Peter,

    1. habe natürlich bei Microsoft das auch schon mehrfach (auch über das Insiderprogramm) kundgetan. Außer einer batzigen Reaktion, dass Microsoft das eben so wolle und die DAUs das einfach hinzunehmen hätten erfolgte ansonsten nicht einmal eine Antwort oder Rückfrage.

    2. Trotz Bedenkens habe ich Deinen Vorschlag getestet. Ergebnis:

    a. Beim ersten Start Bluescreen 

    b. Beim zweiten Start Reparaturversuch ohne Erfolg, Bluescreen

    c. beim dritten Start bleibt der Bildschirm schwarz und es kommt nicht einmal mehr das Boot-Logo

    d. Nach Wiederherstellung des EFI-Sektors mit Acronis startet Windows 10 1mal normal ohne Notpad.

    e. Bleibt der Autostarteintrag drin, beim nächsten Start wieder Bluescreen und von vorn

    f. Wird er gelöscht, startet Windows beim nächsten Mal auch wieder normal.

    Spielt aber keine Rolle mehr, als Aufgabe mit Startverzögerung funktioniert es ja.

    3. Natürlich hast du recht, dass es Mist ist, wenn man die Funktionen nicht erreichen kann und erst suchen muss. Das wäre allerdings bei den von mir gewünschen Textmenüs wirklich gewährleistet. So müßte ein aufgeräumter Dateiexplorer aussehen, der alles bietet was man braucht, aber auf das Wesentliche fokussiert ist:


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Freitag, 23. Juni 2017 15:07
  • Am Fri, 23 Jun 2017 15:07:42 +0000 schrieb Spockspockspock:

    Spielt aber keine Rolle mehr, als Aufgabe mit Startverzögerung funktioniert es ja.

    Wenn der harmlose Notepad-Link im Autostart derartige Auswirkungen hat, ist mit der Installation was faul.
    Man müsste das dann z.B. mit dem Process Monitor genauer prüfen. Dass es über eine Aufgabe funktioniert, ist zwar normal, aber ein derart kaputtes System würde mir nicht genügen. Das ist auch der allererste Fall dieser Art, der mir je bekannt wurde.

    Samstag, 24. Juni 2017 18:21
  • Hallo Peter,

    erst einmal danke für Deine Geduld. Mir gefällt das auch nicht aber ich hatte

    - eine fabrikneue Kingston SSD

    - mit einem fabrikneuen SATAIII-Kabel angesteckt

    - eine nicht editierte (also originale) InstalltionsDVD verwendet

    - diese vorher mit MD5 geprüft

    - die SSD lt. MS-Beschreibung mit WinPE für EFI/GPT vorbereitet

    - zur Installation nur die Systemplatte im Rechner gehabt

    - für die Installation extra ein SATA-DVD-Laufwerk eingebaut und kein IDE-Laufwerk verwendet

    - die GPT-Partition vor Installation durch die Installationsroutine formatiert

    - die Installation durchlaufen lassen ohne zu manipulieren

    - lediglich nur ein lokales Konto verwendet und die ganze Spyware abgeschaltet (per Menü).

    - Hardware ist von Kingston, MSI, Seagate und Intel

    Als ich in die Registry eingegriffen habe war der Fehler schon da.

    Ich wüßte nicht, was bei dem Ablauf schief gehen sollte außer dem, was ich generell kritisiere, dass die neueren Windowsversionen eben nur wenig tauglich sind.

    XP und Vista habe ich mir aus guten Gründen gespart. Unsere internen Arbeitsplätze laufen, nachdem ich mit Win7 gelernt habe, was ein Bluescreen ist, den ich vorher nicht gekannt habe, äußerst erfolgreich wieder auf Win2000 - wir sind mit erheblichen Produktivitätsgewinn (messbar) gegenüber Win7 zu 2000 zurückgekehrt. 8 + 8.1 habe ich mir wieder gespart. Bei den Arbeitsplätzen, bei denen wir das Internet brauchen, muss ich mich halt damit abfinden, dass Windows ist, wie es ist, wo wirklich gearbeitet werden muss, bleibt es bei 2000.

    Ich denke nicht, dass da bei der Installation was schief gegangen ist (s. oben), ich denke, dass da am System was total verpeilt ist aber im Internet ist man halt auf ein neueres System angewiesen, weil der IE6 manches wirklich nicht mehr kann, leider. 

    Ich habs aufgegeben und mache, was man mir Ende der 60er bei der Ausbildung zum Assembler-Programmierer beigebracht hat: Wenn was nicht geht, lass es und such einen anderen Weg, der geht und den gibt es immer.

    Aber jedenfalls: Danke für Deine Mühe.

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Sonntag, 25. Juni 2017 12:35
  • Am Sun, 25 Jun 2017 12:35:48 +0000 schrieb Spockspockspock:

    - die SSD lt. MS-Beschreibung mit WinPE für EFI/GPT vorbereitet
    - die GPT-Partition vor Installation durch die Installationsroutine formatiert

    Alles überflüssig und bringt Fehlermöglichkeiten mit sich. Man löscht den Datenträger in diskpart mit "cle" und installiert dann in den unpartitionierten Speicher. Das Setup erstellt den ganzen UEFI-Partitionszirkus automatisch. Da die SSD wohl sicher kleiner als 2 TB war, hätte ich keine UEFI- sondern eine BIOS-Installation gemacht, es sei denn, jemand meint, irgendein UEFI-Feature unbedingt haben zu müssen.

    Montag, 26. Juni 2017 17:52
  • @ Peter

    Zitat: Da die SSD wohl sicher kleiner als 2 TB war, hätte ich keine UEFI- sondern eine BIOS-Installation gemacht, es sei denn, jemand meint, irgendein UEFI-Feature unbedingt haben zu müssen.

    Eine Systemplatte ist eine Systemplatte und enthält OS und installierte Programme. Daten, Backups oder Schattenkopien und Generationskopien haben dort nichts zu suchen (auch wenn Microsoft sich maximale Mühe gibt, diese gute alte Regel so unmöglich wie möglich zu machen). Wozu sollte die Systemplatte über 2 TB haben.

    Trotzdem: UEFI ist das proprietäre System zu GPT und nicht das inzwischen nun wirklich betagte BIOS. Das ist wie bei DOS: Windows 3.1, 95 und 98 liefen noch auf DOS, 2000 hatte seine eigene Technologie und kann nur noch DOS-Befehle verarbeiten ohne sie zu brauchen. Und GPT hat einige nicht zu unterschätzende Vorteile, so für Systemplatten vor allem die Wiederherstellungsinformationen und die Prüfsumme pro Sektor. Deshalb UEFI und GPT vor allem auch auf Systemplatten, auch wenn da 120 GB mehr als genug sind.

    Wenn es etwas besseres neues gibt, bin ich schon dabei, aber besser muss es halt sein...

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Dienstag, 27. Juni 2017 09:52
  • Am Tue, 27 Jun 2017 09:52:05 +0000 schrieb Spockspockspock:

    Eine Systemplatte ist eine Systemplatte und enthält OS und installierte Programme.

    Die es halt je nach Installationsart (UEFI oder BIOS) auf unterschiedlich viele Partitionen verteilt, was die Verwaltung, Sicherung und Wiederherstellung einfacher oder komplizierter und fehleranfälliger gestaltet.
    Ich habe gerne eine einzige Partition, die somit System, Boot und Recovery ist. Mit Sicherung dieser Partition ist das gesamte System gesichert und ggf. wiederhergestellt. Bei UEFI kommt auch noch eine MSR-Partition, System-Partition und Recovery-Partition dazu. Mit den Minipartitionen "System" und "Recovery" sind eine Menge potenzieller Fehler verbunden, die ich mir gerne erspare.

    Daten, Backups oder Schattenkopien und Generationskopien haben dort nichts zu suchen

    OK

    Wozu sollte die Systemplatte über 2 TB haben.

    Geräte mit einer HD > 2 TB gibt es ja. Wozu UEFI, wenn kleiner als 2 TB? GPT geht auch ohne UEFI.

    Trotzdem: UEFI ist das proprietäre System zu GPT

    Eine BIOS-Installation kann GPT ebenso nutzen. Selbst die Windows-Partition könnte auf einer GPT-Platte liegen. Der GPT-Partitionsstil braucht keine UEFI-Firmware. Bei Legacy-Boot muss nur die Bootpartition auf MBR vorliegen. MS nennt die Partition, von der gebootet wird, seltsamerweise "Systempartition" und die Windows-Partition "Bootpartition".

    und nicht das inzwischen nun wirklich betagte BIOS.

    Hier ist auf allen Geräten mit UEFI-BIOS UEFI deaktiviert, weil ich nichts davon haben will, Secure Boot schon gar nicht. Die große interne Datenplatte ist hier GPT, weil > 2 TB, die System-SSD ist MBR und hat nur C: und sonst nichts.

    Mittwoch, 28. Juni 2017 17:39
  • @all, die ähnliche Probleme mit der UAC haben:

    Ich konnte das Problem jetzt lösen. Vorab: Es handelt sich ohne jeden Zweifel um einen Bug in der UAC, der aber umgangen werden kann.

    Zunächst müssen Windows Kits installiert werden. Aus diesen im Bereich ADK gibt es den Compatibility-Avisor für 32 und für 64 bit. Mit dem für das jeweilige Programm richtigen Avisor läßt sich eine Datenbank von UAC-Ausnahmen (anzuhaken "RunAsInvoker" aus den Additional Compatibility Modes) erstellen. Dies muss pro Programm gemacht werden. Dann die Datenbank abspeichern und installieren.

    Nach Installation der Datenbank starten die Programme ohne die UAC-Abfrage aufgrund Whitelist dennoch als Administrator. Das Problem mit dem Absturz tritt dann nicht mehr auf. Man kann sich so auch aller anderen lästigen UAC-Abfragen entledigen.

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Dienstag, 4. Juli 2017 07:44
  • Da frage ich mich tatsächlich, wie du denn darauf gekommen bist.
    In einer normalen Suche kann man sowas doch gar nicht finden.

    Das würde ja auch wieder das Arbeiten mit VB6-Entwicklung ohne internen Admin ermöglichen.

    Dienstag, 4. Juli 2017 09:06
  • Hallo bfuerchau,

    draufgekommen bin ich durch Zufall, ich hab einfach mal in den Compatibility Advisors gestöbert. Eine genaue Bedeutung der einzelnen Funktionen habe ich allerdings bisher noch nirgends beschrieben gefunden.

    Du hast da jede Menge Compatibility-Einstellungen zur Verfügung, die vom normalen Programm aus nicht zu erreichen sind, so z.B. für Windows2000 SP1 oder SP2 oder SP3 je nach Wunsch und kannst sogar noch über 80 weitere Zusatzeinstellungen machen, z.B. für 8 und 16-bit-Anwendungen. Außerdem hast Du in den Additional Compatibility Modes 412 mögliche Eigenschaften und kannst einzelne Teile des Programms ansprechen.

    Ein bischen ärgerlich ist, dass eigene Datenbanken nicht in der Konsole bleiben sondern jedes mal neu geladen werden müssen. Du kannst aber jederzeit weitere Programme der Datenbank zufügen und installieren. Eine Doppelinstallation bereits installierter Informationen ist wie bei den .reg-Dateien unschädlich.

    Genau was ich sage: Windows kann viel, aber es ist alles so versteckt, dass man es am Besten nicht finden soll. Jetzt suche ich nach einer vernünftigen Beschreibung der Funktionen.

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Dienstag, 4. Juli 2017 17:54
  • Spockspockspock:

    Mit der Methode "RunAsInvoker" kann man Programme, die erhöhte Rechte anfordern, mit normalen Userrechten starten. Geht z.B. einfach per "set __COMPAT_LAYER=RunAsInvoker" für das betreffende Programm. Sie laufen dann eben nicht mit erhöhten Rechten, sondern mit normalen Userrechten. UAC meldet sich dann natürlich nicht. Dummerweise hat man dann aber oft Fehlfunktionen mit den Programmen. Gelegentlich brauchen sie nämlich wirklich erhöhte Rechte.
    Die Abstürze bei dir sind kein Bug von UAC, da sind andere Ursachen im Spiel. Außer bei dir stürzt niemandes Windows ab, wenn man z.B. Notepad mit erhöhten Rechten in den Autostart legt. Das sollte dir zu denken geben.

    Mittwoch, 5. Juli 2017 13:51
  • Hallo Peter,

    ich glaube, dass Du da nicht ganz recht hast:

    >>>>>Zitat<<<<<

    RunAsInvoker

    Mit dem Kompatibilitätsfix RunAsInvoker können Anwendungen mithilfe des vom übergeordneten Prozess geerbten Tokens starten. Wenn Sie den Fix RunAsInvoker anwenden, werden die Installationserkennung und die Manifestverarbeitung außer Kraft gesetzt, und der Rechteanhebungsstatus für die gesamte Anwendung wird festgelegt.

    Problemanalyse

    Der Kompatibilitätsfix RunAsAdmin kann als mögliche Lösung in Betracht gezogen werden, wenn eine Anwendung erhöhte Rechte anfordert, aber auch als Standardbenutzer erfolgreich ausgeführt werden kann. Verwenden Sie den Kompatibilitätsfix SpecificNonInstaller, wenn die Anwendung aufgrund der Installationserkennung erhöhte Rechte anfordert. Wenn die Anwendung den aktuellen Kontext anhebt, weil der Entwickler in einem Manifest die requireAdministrator-Ausführungsebene angegeben hat, sollte dieser Kompatibilitätsfix verwendet werden. Der Fix legt fest, dass für die Anwendung keine erhöhten Rechte erforderlich sind.

    >>>>>Zitat Ende<<<<<

    Das heißt ja wohl, dass ein Programm mit RunAsInvoker mit erhöhten Rechten startet, wenn es von einem Admin oder aus einem privilegierten Programm heraus gestartet wird, also ein höheres Token erbt (was auch schon der Wortsinn sagt: to invoke = aktivieren, anrufen, anflehen). Ist man natürlich als DAU im Standardbenutzer und ohne Aktivierung des Entwicklerstatus unterwegs, bekommt man natürlich eine Fehlfunktion. Aber wer das tut, ist sowieso selber schuld.

    Reichen diese Rechte auch nicht, muss man halt mit RunAsHighest im höchstverfügbaren Token ausführen.

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Mittwoch, 5. Juli 2017 15:33
  • Spockspockspock:

    ich glaube, dass Du da nicht ganz recht hast:

    ich schon. ;-)

    Mit dem Kompatibilitätsfix RunAsInvoker können Anwendungen mithilfe des vom übergeordneten Prozess geerbten Tokens starten.

    Das tun sie eh immer automatisch, sofern eben z.B. im Manifest nicht "braucht erhöhte Rechte" festgelegt ist.

    Wenn Sie den Fix RunAsInvoker anwenden, werden die Installationserkennung und die Manifestverarbeitung außer Kraft gesetzt, und der Rechteanhebungsstatus für die gesamte Anwendung wird festgelegt.

    Via RunAsInvoker mit normalen Userrechten gestartet, laufen solche Programme dann eben nicht mit erhöhten Rechten, sondern mit normalen Userrechten, wie man im Prozessexplorer leicht sehen kann.
    Teste im Adminkonto dies:
    set __COMPAT_LAYER=RunAsInvoker
    start C:\Windows\regedit.exe
    Regedit läuft nun mit normalen Userrechten, obwohl es in Adminkonten immer erhöhte Rechte verlangt und diese auch immer hat. Sieh dir einfach den Integrity-Level der gestarteten Prozesse im Prozess Explorer an. Wenn dort für das Programm "Hohe Verbindlichkeit" zu sehen ist, war deine ganze Bastelei ziemlich sinnlos.
    Wie gesagt, mit deiner Installation ist was faul.

    Donnerstag, 6. Juli 2017 15:44
  • Hallo Peter,

    ich hab es mit 2 Programmen ausprobiert: Mit Pegasus-Mail, wo ich den Start als Admin verlangt habe und das von Haus aus keine administrativen Rechte benötigt und mit dem Font Navigater aus Corel, der von sich aus administrative Rechte benötigt und anfordert.

    Beide Programme stehen nach Installation des Patches über ADK auf "Mittlere Verbindlichkeit", starten korrekt und zeigen keine Fehlfunktion.

    Allerdings arbeite ich als Administrator und nicht als Standarduser - da mag es anders aussehen und es sieht die Installtion über ADK anders aus, als über die Befehlszeile:

    

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Donnerstag, 6. Juli 2017 19:29
  • Spockspockspock:

    ich hab es mit 2 Programmen ausprobiert: Mit Pegasus-Mail, wo ich den Start als Admin verlangt habe und das von Haus aus keine administrativen Rechte benötigt

    Das ist recht sinnlos und bringt keine Erkenntnisse.

    und mit dem Font Navigater aus Corel, der von sich aus administrative Rechte benötigt und anfordert.
    Beide Programme stehen nach Installation des Patches über ADK auf "Mittlere Verbindlichkeit", starten korrekt und zeigen keine Fehlfunktion.

    Gut, so sollte es im Idealfall auch sein. Wenn das Programm, das normalerweise erhöhte Rechte verlangt, via RunAsInvoker mit normalen Userrechten gestartet wird und keinerlei Fehlfunktionen zeigt, ist das gewünschte Ziel ja erreicht. Da mischt sich dann natürlich auch UAC nicht ein.
    Du hattest aber im anderen Post behauptet, das derart gestartete Programm liefe bei dir als Administrator, also mit hoher Verbindlichkeit:

    starten die Programme ohne die UAC-Abfrage aufgrund Whitelist dennoch als Administrator.

    Wenn das so wäre, wäre die Aktion recht sinnlos gewesen, zudem müsste sich UAC einmischen. Das Programm sollte mit mittlerer Verbindlichkeit im Process Explorer zu sehen sein.

    Freitag, 7. Juli 2017 12:37
  • @Peter

    das Corel-Programm pfuscht in der Registry rum und verändert die Installation von Schriften, auch in installierten Programmen. Trotzdem läuft es mit RunAsInvolker ohne Fehler.

    Wenn es so wäre, wie Du schreibst, dass man nur die Manifestprüfung außer Kraft setzen muss und schon läuft Windows10 wie Windows 2000, dann wäre ja die ganze angebliche Sicherheit von Windows nur ein Bluff (wozu allerdings Microsoft tatsächlich neigt, siehe Beschleunigung von Start und Herunterfahren durch Hibernation - ein echter Taschenspielertrick), dann wäre je die UAC wirklich eine wirkungslose Gängelung des Users (was nicht fern liegt) und Microsoft ein weiterer Ableger von den Ideen von Ron L Hubbert und seiner Scientology und die UNC und alles andere nur dazu da, die User in die Arme der Eingeweihten oder in teuer Fortbildungen zu treiben.

    Sei mir nicht bös, diese Konsequenz Deiner Ausführungen vermag ich bis zum Beweis des Gegenteils nicht zu glauben.

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Samstag, 8. Juli 2017 08:25
  • Sorry, Schreibfehler: UAC nicht UNC

    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Samstag, 8. Juli 2017 09:49
  • Moin,
     
    Am 08.07.2017 um 10:25 schrieb Spockspockspock:
    > [...] dann wäre ja die ganze angebliche Sicherheit von Windows nur
    > ein Bluff
     
    Ich würde von "Bluff" zum "coolen Trick" wechseln. MS kann ganz simpel
    Security mit alter XP Technik liefern.
    a) alles nur Benutzer
    b) Application Whitelistung durch SRP
     
    Doof nur, daß keiner der Endanwender damit arbeiten kann, also muss der
    Drittanbieter "sichere" Software liefern, was die nicht machen. Die
    Hälfte von denen hat das MS Treiber/Service/Delegations Modell nicht
    verstanden und irgendwann braucht halt jemand Adminrechte.
     
    Die UAC ist nur ein Rettungsanker, wenn als Admin gearbeitet wird, wobei
    ich die Idee wirklich mittlerweile gut gelöst und charmant finde.
     
    2 AccessTokens für 2 Jobs. Simple as it is.
     
    Die einzige Lücke im System ist "Autoelevation" also der Tausch des
    Admintokens ohne nachfragen, der ist nur speziell MS signierten
    Executables erlaubt. Alle anderen müssen nachfragen und einen Dialog
    anbieten. Egal, was im Manifest steht.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Samstag, 8. Juli 2017 11:28
  • Spockspockspock:

    das Corel-Programm pfuscht in der Registry rum und verändert die Installation von Schriften, auch in installierten Programmen. Trotzdem läuft es mit RunAsInvolker ohne Fehler.

    Programme können in der Registrierung nur das verändern, wozu sie auch die Rechte besitzen.

    Wenn es so wäre, wie Du schreibst, dass man nur die Manifestprüfung außer Kraft setzen muss und schon läuft Windows10 wie Windows 2000,

    So einen Unsinn habe ich nie geschrieben. Da hast du alles völlig falsch verstanden.

    Sei mir nicht bös, diese Konsequenz Deiner Ausführungen vermag ich bis zum Beweis des Gegenteils nicht zu glauben.

    Du hast aus meinen Ausführungen völlig unzulässige Konsequenzen rausgelesen.
    Wie die Methode "RunAsInvoker" funktioniert, hatte ich dir ja an einem einfach nachvollziehbaren Beispiel mit Regedit.exe beschrieben. Da gibt's nichts zu glauben, einfach nachvollziehen und prüfen.
    Kann man für Programme auch in der Registrierung direkt einstellen und die Sicherheit von Windows ist damit in keiner Weise beeinträchtigt, im Gegenteil: Wenn Programme mit normalen Userrechten statt mit Adminrechten laufen, fördert das die Sicherheit.

    Samstag, 8. Juli 2017 16:28
  • @Mark

    Es ginge sogar noch viel einfacher: Updates nur vom bekannten Server des Programmlieferanten per IP-Prüfung, kein anderer ausführbarer Code kommt rein (was zugleich den Cookiewahnsinn beenden würde), saubere Trennung von Daten und Programm, keine Netzinstaller sondern Download des Installfiles, dann könnte man mit einer einfachen MD5-Prüfung feststellen ob das Programm noch sauber ist und ein- und ausgehende Regeln atomar für jede einzelne ausführbare Datei nur die Ports, die wirklich nötig sind und, soweit sicherheitsrelevant nur die IPs der Vertragspartner. Alles andere ein- und ausgehend gesperrt, wie Sophos das früher gemacht hat. Den verbleibenden Traffic ordentlich filtern. Das geht alles ohne Userbeteiligung und Schadsoftware, die nicht heimtelefonieren kann ist sinn- und deshalb machtlos und wenn man nicht über Netz installieren kann, kann man auch keine Zerstörungssoftware platzieren. Aber dann ginge halt manch anderes auch nicht, mit dem viel Geld verdient wird und das wollen die Hersteller natürlich nicht (während wir User das eigentlich schon wollen sollten, dass niemand auf unseren Rechnern ohne unser Zutun rumpfuschen kann).

    @Peter

    Naja, bei dem Weltmarktanteil von Windows macht es schon Sinn, die User mit faulen Tricks zu knechten und hilflos zu machen. Dagegen kommen nicht einmal Regierungen an. Da hast Du mich ja auf eine sehr gute Idee gebracht. Denk mal darüber nach, ob das nicht genau der Sinn ist. Programme zu vertreiben ist ein gutes Geschäft, aber die Kontrolle über alle Informationen zu gewinnen ... (bedeutet Weltherrschaft!) und die UAC ist ein sehr probates Mittel dazu.

    Zu Corel Fontnavigator: Es tut es, auch wenn es mit RunAsInvolker gestartet ist und mit "mittlerer Verbindlichkeit" läuft und zwar fehlerfrei. Allerdings stammt es von 2006. Interessiert es sich vielleicht gar nicht, was Windows will, weil es nur XP kennt? (Das war ein Scherz)

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Samstag, 8. Juli 2017 19:10
  • Spockspockspock:

    Zu Corel Fontnavigator: Es tut es, auch wenn es mit RunAsInvolker gestartet ist und mit "mittlerer Verbindlichkeit" läuft und zwar fehlerfrei.

    Das Programm kenne ich nicht. Ob es Adminrechte aufgrund fehlerhafter Installation verlangt oder sie für bestimmte Funktionen braucht oder schlicht veraltet und inkompatibel ist, kann ich nicht sagen. Wenn es mit normalen Userrechten problemlos läuft, ist es doch gut.

    Sonntag, 9. Juli 2017 11:49
  • Ich frage mich da immer, was da als veraltet oder inkompatibel erklärt wird.
    Wie schon mal geschrieben, ich habe Software in ATL-C++ sowie VisualBasic 6 seit Windows 98 entwickelt und diese läuft und läuft und läuft..., also auch auf Windows 10/Server 2016 ohne das ich in irgendeiner Weise eingegriffen habe.

    Wieso tun sich andere da immer so schwer?

    Montag, 10. Juli 2017 07:42
  • bfuerchau:

    Ich frage mich da immer, was da als veraltet oder inkompatibel erklärt wird.

    Je systemnäher Software ist, desto eher wird sie bei System-Upgrades wohl inkompatibel. Bei allen Upgrades zeigt sich z.B. schon immer AV-(Mal)Ware als Spaßbremse, indem sie zuverlässig für zerhackte Systeme sorgt, weil sie mit der neuen Windowsversion nicht mehr kompatibel ist. Und MS bringt ja nun alle 6 Monate eine neue Windowsversion raus, nette Herausforderung für alle Softwarehersteller und vor allem für die ONUs, die sich nun alle sechs Monate in Todesgefahr sehen bzw. alle sechs Monate umlernen sollen... Siehe auch
    https://heise.de/-3634057
    https://www.borncity.com/blog/2017/02/26/update-wahn-und-das-altern-der-software/
    usw.

    Mittwoch, 12. Juli 2017 13:53
  • @Peter,

    naja, so ganz unschuldig ist Microsoft daran ja nicht und es hat auch nicht immer mit Systemnähe zu tun. Beispiel:

    Office 2000 soll insgesamt inkompatibel sein. Alles Quatsch. Einmal von den Dienstprogrammen (wie den Quatro-Datenbankübersetzer) die kein Mensch mehr braucht und dem Internetmodul funktioniert Office 2000 in allen Teilen perfekt (einschließlich VB und Macros) mit 2 Ausnahmen: Die Officehilfe zickt, weil MS den (eigentlich kompatiblen) Treiber nicht mehr installieren läßt und Outlook kann nichts mehr speichern, weil das Windows-Adressbuch nicht mehr im Umfang von Windows enthalten ist und auch nirgends zum Nachinstallieren angeboten wird.

    Es wird also schon, wie bfuerchau sagt, Inkompatibilität behauptet, wo keine ist, kompatiblen Programmen die Installation verwehrt und perfekt laufenden Programmen eine Grundlage entzogen, damit sie nicht mehr laufen.

    Kaufmännisch verstehe ich das, trotzdem ggrrrrrrrrrrrrrrrrrr...

    Schöne Grüße

    Spockspockspock


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Donnerstag, 13. Juli 2017 12:14
  • Ja, auf diesen Entzug der Grundlage warte ich auch noch:
    In einem anderen Thread wird ja beauptet und auch darauf verwiesen, dass demnächst (irgendwann) MSADO (die COM-Variante) nicht mehr unterstützt werden soll, da man nur noch auf das C++-ODBC-Interface verweist.
    Damit wären dann sämtliche Datenbankanwendungen betroffen, die auf COM und OLEDB-Treiber gesetzt haben.

    Alternativ wird dann noch auf die DAO-Schnittstelle verwiesen, die aber auch nur noch mit Office-Installationen verfügbar ist und ausßerdem auch davon abgeraten wird (obsolete) und es ja ADO gibt.

    Da bin ich dann auch mal gespannt, da es ja zumindest in der .NET-Umgebung die OLEDB-Unterstützung ja noch gibt, was dann bedeuten würde, dass ausser Java (die haben JDBC) und .NET gar nichts mehr unterstützt wird, was eine Datenbank benötigt.

    Da kann ich nur hoffen, dass ich da schon sehr lange in Rente bin.

    Donnerstag, 13. Juli 2017 12:29
  • @bfuerchau

    klar, dass das kommt. Ich weiß zwar nicht, wie lange Du noch hast, aber wahrscheinlich wirst Du es nicht schaffen. Die Absicht ist doch klar: Programme (oh sorry ... Apps) sollen natürlich nicht mehr selbst sondern nur noch mit dotnet im Browser laufen. Am Liebsten in dem Spywareprogramm Edge und damit fallen sämtliche Daten dem Oberspywareprogramm Cortana zum Opfer. Ein weiterer Schritt zur digitalen Weltherrschaft. Ob die DAUs rechtzeitig merken, was da los ist und ein Rezept dagegen finden??? Übrigens: DAUs sind heute nicht mehr die, die die Neuerungen nicht wollen, sondern die, die nicht begreifen, wo das alles hinsteuert.

    Schöne Grüße

    Spockspockspock 


    Fortschritt ist nicht, das Alte abzuschaffen, sondern das schlechte Alte durch etwas besseres zu ersetzen, das gute Alte aber zu erhalten, bis es etwas wirklich besseres gibt.

    Freitag, 14. Juli 2017 06:50