[Win11] Eigenschaften->Erweitert->Als Administrator ausführen ...geht nicht.

[Ruediger Lahl]

Moin zusammen

Wenn ich hier ein Programm automatisch mit Admin-Rechten starten lassen
will, kann ich rechtsmausig auf der Verknüpfung
"Eigenschaften->Erweitert->Als Administrator ausführen" einstellen. Das
Programm sollte dann nach meinem Verständnis ohne die Passwortabfrage
für den Admin starten. Macht es aber nicht, das Passwort wird nach wie
vor abgefragt.

Was mache ich flasch, bzw. verstehe ich da nicht?
--
bis denne

[Christoph Schneegans]

Ruediger Lahl schrieb:

> Wenn ich hier ein Programm automatisch mit Admin-Rechten starten lassen
> will, kann ich rechtsmausig auf der Verknüpfung
> "Eigenschaften->Erweitert->Als Administrator ausführen" einstellen. Das
> Programm sollte dann nach meinem Verständnis ohne die Passwortabfrage
> für den Admin starten. Macht es aber nicht, das Passwort wird nach wie
> vor abgefragt.

Natürlich, das auch in allen früheren Windows-Versionen so,
wahrscheinlich seit XP. Jeder Benutzer kann dieses Häkchen an einer (für
ihn schreibbaren) .lnk-Verknüpfung setzen. Dadurch darf natürlich keine
Rechteanhebung möglich sein.

Typischerweise verwendet man die Aufgabenplanung
(%windir%\system32\taskschd.msc), um Programme automatisch mit erhöhten
Rechten auszuführen. Was genau hast du denn vor?

--
<https://schneegans.de/windows/safer/> · SAFER mit Windows

[Takvorian]

Ruediger Lahl schrieb:

> Wenn ich hier ein Programm automatisch mit Admin-Rechten starten lassen
> will, kann ich rechtsmausig auf der Verknüpfung
> "Eigenschaften->Erweitert->Als Administrator ausführen" einstellen. Das
> Programm sollte dann nach meinem Verständnis ohne die Passwortabfrage
> für den Admin starten. Macht es aber nicht, das Passwort wird nach wie
> vor abgefragt.

Wenn eine automatische Erhöhung stattfinden soll, entweder das Programm via
Schtasks.exe starten, dafür muss eine spezielle Aufgabe angelegt werden oder
das Programm via runas im Konto "Administrator" ablaufen lassen, wobei man
das Passwort im Skript (vbs) übergeben kann. Bei deiner Methode wird immer
UAC aufgerufen und das Passwort abgefragt.

[Ruediger Lahl]

*Christoph Schneegans* schrieb:

Ich möchte per Batch ein geöffnetes Bitlocker-Laufwerk wieder schließen.
manage-bde.exe -lock "x:" ist da wohl der richtige Weg, aber ohne
Admin-Rechte geht das nicht. Ein YT-Video zeigt, wie man das als Batch
mit einer Desktop-Verknüpfung und eben dafür
"Eigenschaften->Erweitert->Als Administrator ausführen" ohne
Admin-Prompt mit einem Klick erledigen kann.
https://youtu.be/YgoH_QSRCaA?t=668 Ich "befürchte", der ist
standardmäßig als admin unterwegs...

Ich habe das versucht in eine Aufgabe zu kleiden, was auch gelingt. Der
Schönheitsfehler dabei ist aber wohl, dass auch schtasks gerne
admin-Rechte haben möchte :-( Bringt mich dann auch nicht weiter.
--
bis denne

[Takvorian]

Ruediger Lahl schrieb:

> Ich möchte per Batch ein geöffnetes Bitlocker-Laufwerk wieder schließen.
> manage-bde.exe -lock "x:" ist da wohl der richtige Weg, aber ohne
> Admin-Rechte geht das nicht. Ein YT-Video zeigt, wie man das als Batch
> mit einer Desktop-Verknüpfung und eben dafür
> "Eigenschaften->Erweitert->Als Administrator ausführen" ohne
> Admin-Prompt mit einem Klick erledigen kann.
> https://youtu.be/YgoH_QSRCaA?t=668 Ich "befürchte", der ist
> standardmäßig als admin unterwegs...

Seit Vista sind Adminkonten nur noch Konten mit eingeschränkten Userrechten,
man kann also nicht mehr wie in XP als Admin unterwegs sein. Mit dieser
Einstellung wird also immer das Passwort gefordert, das Video ist Nonsens.
Und wenn er als reiner Admin unterwegs wäre, müsste er nicht "als Admin
ausführen" einstellen.

> Ich habe das versucht in eine Aufgabe zu kleiden, was auch gelingt. Der
> Schönheitsfehler dabei ist aber wohl, dass auch schtasks gerne
> admin-Rechte haben möchte :-( Bringt mich dann auch nicht weiter.

In der Aufgabe muss eingestellt werden "Mit höchsten Berechtigungen
ausführen".

[Ruediger Lahl]

*Takvorian* schrieb:

> Ruediger Lahl schrieb:
>> Ich möchte per Batch ein geöffnetes Bitlocker-Laufwerk wieder schließen.
>> manage-bde.exe -lock "x:" ist da wohl der richtige Weg, aber ohne
>> Admin-Rechte geht das nicht. Ein YT-Video zeigt, wie man das als Batch
>> mit einer Desktop-Verknüpfung und eben dafür
>> "Eigenschaften->Erweitert->Als Administrator ausführen" ohne
>> Admin-Prompt mit einem Klick erledigen kann.
>> https://youtu.be/YgoH_QSRCaA?t=668 Ich "befürchte", der ist
>> standardmäßig als admin unterwegs...
>
> Seit Vista sind Adminkonten nur noch Konten mit eingeschränkten Userrechten,
> man kann also nicht mehr wie in XP als Admin unterwegs sein. Mit dieser
> Einstellung wird also immer das Passwort gefordert, das Video ist Nonsens.
> Und wenn er als reiner Admin unterwegs wäre, müsste er nicht "als Admin
> ausführen" einstellen.

Und wie macht er es sonst? In den Kommentaren meinen die User auch, das
es geht.

>> Ich habe das versucht in eine Aufgabe zu kleiden, was auch gelingt. Der
>> Schönheitsfehler dabei ist aber wohl, dass auch schtasks gerne
>> admin-Rechte haben möchte :-( Bringt mich dann auch nicht weiter.
>
> In der Aufgabe muss eingestellt werden "Mit höchsten Berechtigungen
> ausführen".

Hilft leider nicht. :-(
--
bis denne

[Christoph Schneegans]

Ruediger Lahl schrieb:

> Ich möchte per Batch ein geöffnetes Bitlocker-Laufwerk wieder schließen.
> manage-bde.exe -lock "x:" ist da wohl der richtige Weg, aber ohne
> Admin-Rechte geht das nicht.

Nicht zuletzt deshalb habe ich mich auf externen Festplatten für
VeraCrypt entschieden.

[Takvorian]

Ruediger Lahl schrieb:

> *Takvorian* schrieb:
>
>> Ruediger Lahl schrieb:
>>> Ich möchte per Batch ein geöffnetes Bitlocker-Laufwerk wieder schließen.
>>> manage-bde.exe -lock "x:" ist da wohl der richtige Weg, aber ohne
>>> Admin-Rechte geht das nicht. Ein YT-Video zeigt, wie man das als Batch
>>> mit einer Desktop-Verknüpfung und eben dafür
>>> "Eigenschaften->Erweitert->Als Administrator ausführen" ohne
>>> Admin-Prompt mit einem Klick erledigen kann.
>>> https://youtu.be/YgoH_QSRCaA?t=668 Ich "befürchte", der ist
>>> standardmäßig als admin unterwegs...
>>
>> Seit Vista sind Adminkonten nur noch Konten mit eingeschränkten Userrechten,
>> man kann also nicht mehr wie in XP als Admin unterwegs sein. Mit dieser
>> Einstellung wird also immer das Passwort gefordert, das Video ist Nonsens.
>> Und wenn er als reiner Admin unterwegs wäre, müsste er nicht "als Admin
>> ausführen" einstellen.
>
> Und wie macht er es sonst? In den Kommentaren meinen die User auch, das
> es geht.

Natürlich geht das, aber nur mit UAC und Passwort. Du siehst ja selbst, dass
es so, wie im Video behauptet, nicht geht. Einfach einstellen "als Admin
ausführen" und man bekommt dadurch ohne Passwort Adminrechte? Wenn das
ginge, wäre Windows ein Witz, kannst du eigentlich auch nicht ernsthaft
angenommen haben. ;-)

>>> Ich habe das versucht in eine Aufgabe zu kleiden, was auch gelingt. Der
>>> Schönheitsfehler dabei ist aber wohl, dass auch schtasks gerne
>>> admin-Rechte haben möchte :-( Bringt mich dann auch nicht weiter.
>>
>> In der Aufgabe muss eingestellt werden "Mit höchsten Berechtigungen
>> ausführen".
>
> Hilft leider nicht. :-(

Welches Konto ist es denn? In einem Adminkonto muss das klappen.
Ich würde sowas aber nicht mit der Aufgabenplanung machen. Wenn ich für
jeden Task, den ich automatisch ohne UAC mit erhöhten Rechten ausführe, erst
eine Aufgabe erstellen müsste, müsste ich die Aufgabenplanung seitenweise
mit Aufgaben vollknallen, ein irrer Aufwand und bei Neuinstallation müsste
all dieser Krempel exportiert und wieder importiert werden... Nein, das
läuft über Runas-Skripte und die funktionieren in jedem normalen Userkonto
oder im Adminkonto einfach über eine Verknüpfung zum Skript.
Man kann bei Runas auch mit dem Parameter /savecred arbeiten, dann muss das
Passwort nur einmal eingegeben werden, danach geht es immer ohne. Ist aber
weniger empfehlenswert, weil im Prinzip eine Sicherheitslücke. Die Skripte
kann man verschlüsseln, wenn man will....
Wenn aber andere User keinen Zugriff haben, kann man auch /savecred
verwenden.

[Ruediger Lahl]

*Takvorian* schrieb:

> Ruediger Lahl schrieb:
>> *Takvorian* schrieb:
>>> Ruediger Lahl schrieb:
>>>> Ich möchte per Batch ein geöffnetes Bitlocker-Laufwerk wieder schließen.
>>>> manage-bde.exe -lock "x:" ist da wohl der richtige Weg, aber ohne
>>>> Admin-Rechte geht das nicht. Ein YT-Video zeigt, wie man das als Batch
>>>> mit einer Desktop-Verknüpfung und eben dafür
>>>> "Eigenschaften->Erweitert->Als Administrator ausführen" ohne
>>>> Admin-Prompt mit einem Klick erledigen kann.
>>>> https://youtu.be/YgoH_QSRCaA?t=668 Ich "befürchte", der ist
>>>> standardmäßig als admin unterwegs...
>>>
>>> Seit Vista sind Adminkonten nur noch Konten mit eingeschränkten Userrechten,
>>> man kann also nicht mehr wie in XP als Admin unterwegs sein. Mit dieser
>>> Einstellung wird also immer das Passwort gefordert, das Video ist Nonsens.
>>> Und wenn er als reiner Admin unterwegs wäre, müsste er nicht "als Admin
>>> ausführen" einstellen.
>>
>> Und wie macht er es sonst? In den Kommentaren meinen die User auch, das
>> es geht.
>
> Natürlich geht das, aber nur mit UAC und Passwort. Du siehst ja selbst, dass
> es so, wie im Video behauptet, nicht geht.

Ich sehe aber, das es IM Video geht. Warum sollte der Autor an der
Stelle faken?

> Einfach einstellen "als Admin
> ausführen" und man bekommt dadurch ohne Passwort Adminrechte? Wenn das
> ginge, wäre Windows ein Witz, kannst du eigentlich auch nicht ernsthaft
> angenommen haben. ;-)

Tja... Lässt du das Ding von einem Trigger in der Aufgabenplanung
ausführen, läuft das ohne Passwortabfrage. Die Möglichkeit bietet Win
also. Soviel zu deinem "Witz".

>>> In der Aufgabe muss eingestellt werden "Mit höchsten Berechtigungen
>>> ausführen".
>>
>> Hilft leider nicht. :-(
>
> Welches Konto ist es denn? In einem Adminkonto muss das klappen.

Als Benutzer in dem Task ist der hier eingerichtete 'admin' angegeben.

> Ich würde sowas aber nicht mit der Aufgabenplanung machen.

Sondern? Ich sehe das als einzigen Weg, das Ding ohne
admin-Passwort-Abfrage laufen zu lassen. Im Video gehts, bei mir nicht...

> Wenn ich für jeden Task, den ich automatisch ohne UAC mit erhöhten
> Rechten ausführe, erst eine Aufgabe erstellen müsste, müsste ich die
> Aufgabenplanung seitenweise mit Aufgaben vollknallen, ein irrer
> Aufwand und bei Neuinstallation müsste all dieser Krempel exportiert
> und wieder importiert werden... Nein, das läuft über Runas-Skripte
> und die funktionieren in jedem normalen Userkonto oder im Adminkonto
> einfach über eine Verknüpfung zum Skript.

Für 'runas' muss man IIRC das relevante Passwort ja irngwo hinterlegen.
Wie sicher ist das dann vor unbefugten auslesen geschützt?
--
bis denne

[Takvorian]

Ruediger Lahl schrieb:

> *Takvorian* schrieb:

>> Natürlich geht das, aber nur mit UAC und Passwort. Du siehst ja selbst, dass
>> es so, wie im Video behauptet, nicht geht.

> Ich sehe aber, das es IM Video geht.

In Videos geht alles, dummerweise in der Realität nicht.

> Warum sollte der Autor an der Stelle faken?

Wenn es kein Fake ist, dann hat er etwas verschwiegen, z.B. an UAC
rumgeschraubt.... Dann ist er aber ein Vollidiot, weil er es verschwiegen
hat. Sein hilfloses Gestotter und Rumgesuche ist eh schwer erträglich.
Einfach den Haken setzen, geht definitiv nicht.

>> Einfach einstellen "als Admin
>> ausführen" und man bekommt dadurch ohne Passwort Adminrechte? Wenn das
>> ginge, wäre Windows ein Witz, kannst du eigentlich auch nicht ernsthaft
>> angenommen haben. ;-)
>
> Tja... Lässt du das Ding von einem Trigger in der Aufgabenplanung
> ausführen, läuft das ohne Passwortabfrage. Die Möglichkeit bietet Win
> also. Soviel zu deinem "Witz".

Die Aufgabenplanung wird entweder mit erhöhten Rechten gestartet oder
verlangt irgendwo ein Passwort. In Adminkonten wird sie z.B. automatisch
erhöht, wenn UAC auf Standard ist, was man NICHT machen sollte. Setzt man
UAC auf die höchste Einstellung, erscheint immer UAC bei ihrem Start im
Adminkonto. Das Passwort wird zudem beim Anmelden im Adminkonto verlangt,
also auch hier wieder nur mit Passwort. Und wenn man automatisch anmelden
lässt, hat man das Passwort in der Registrierung hinterlegt. Kurz: Keine
Adminrechte ohne Passwort. Den Haken bei der besagten Einstellung kann man
aber im Userkonto setzen, das kann also unmöglich ohne Passwort zu
Adminrechten führen. Es bleibt dabei: wenn das ginge, wäre es ein Witz.

>> Ich würde sowas aber nicht mit der Aufgabenplanung machen.
>
> Sondern? Ich sehe das als einzigen Weg, das Ding ohne
> admin-Passwort-Abfrage laufen zu lassen.

Ich hatte zwei weitere Möglichkeiten genannt: Skript mit Passwort
oder Runas /savecred. Das Skript mit Passwort kann man verschlüsseln, wenn
man will, (EFS und Script Encoder), bei savecred wird das Passwort im
Anmeldeinformations-Manager gespeichert. Hast du Mitbenutzer, denen du
kriminelle Energien zutraust?
Es gibt dafür auch Fremdtools wie RunAsSpc, die praktisch nichts anderes
sind, als Skripte mit Passwort in Exe-Form.

> Wie sicher ist das dann vor unbefugten auslesen geschützt?

Kannst du ja testen. Mach es einfach und versuche dann als unbefugter User,
der das Passwort nicht kennt, es auszulesen. In dein Konto kommst du dann
schon mal nicht rein und die verschlüsselten Skripte kannst du ebenfalls als
unbefugter User nicht auslesen. Man kann Konten zwar leicht knacken und mit
neuem Passwort versehen, mit EFS verschlüsselte Daten bleiben dann aber für
immer verschlüsselt.... Diebe versuchen auch nicht, verschlüsselte Daten zu
knacken. Wenn allerdings der Geheimdienst hinter dir her ist, helfen dir die
üblichen Sicherheitsmaßnahmen eh nichts.

[Ingo Steinbuechel]

Hallo Ruediger,

"Ruediger Lahl" <ruedig...@gmx.de> schrieb:

> Und wie macht er es sonst? In den Kommentaren meinen die User auch, das
> es geht.

klar geht das, und zwar indem Du die UAC deaktivierst. Das willst Du
aber nicht wirklich.

Gruß Ingo

--
Threema - Sicherer und privater Messenger: https://threema.ch/de
Meine Threema-ID: https://threema.id/ZV9BWDXK
Warum Threema? https://warumthreema.de/