Was genau erlauben die Administratorprivilegien unter Windows?

Was genau erlauben die Administratorprivilegien unter Windows? (9 Beiträge, 252 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Nachdem ich ein Programm schreibe, dass sich manuell installiert und in die Registrierung schreibt musste ich mich ein klein wenig damit auseinandersetzen, weil man dem armen Kunden ja kein Programm antun kann, dass irgendeine Form von Warnung/Bestätigung verlangt.

zB Installation ins Userverzeichnis und nicht unter Program Files...

Gibt es irgendwo eine genaue Definition wofür genau man die Administratorprivilegien braucht?

test

Hi!

Zügeln wir das Pferd von hinten auf: was genau möchtest Du machen? Und wie ist eine "manuelle Installation" zu verstehen?

Vereinfacht kann man sagen: alles was systemweit (also für alle Benutzer) gelten soll braucht Admin-Rechte, also praktisch der gesamte HKEY_LOCAL_MACHINE-Zweig der Registy, ebenso wie schon erwähnt kann man nur als Administrator in systemkritische Verzeichnisse schreiben (%ProgramFiles% bzw. %ProgramFiles(x86)%, %WINDIR% uÄ.), Dienststart/stop (erstellen sowieso), und der Zugriff auf fremde Verzeichnisse (sofern NTFS als Dateisystem zum Einsatz kommt und nicht explizit Rechte vergeben wurden).

Wohin ein normaler User immer schreiben¹ darf: sein eigenes Profilverzeichnis, seine eigenes Temp-Verzeichnis (%TMP% bzw. %TEMP%) und in der Registry in den gesamten HKEY_CURRENT_USER-Zweig.

Solltest Du also was installieren wollen, das nur der Benutzer verwenden soll bzw. Einstellungen benutzerbezogen speichert kommt sowas also idealer Weise in HKCU bzw. %APPDATA% - alles Andere wird wohl unter HKLM bzw. %ProgramFiles% oder %ProgramFiles(x86)% besser aufgehoben sein (braucht aber dann Admin-Rechte bei der Installation bzw. im Betrieb).

Eine Übersicht der Sicherheitsgruppen und den Rechten dazu findest Du unter https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/windows_security_default_settings.mspx?mfr=true
Ist zwar noch für XP, aber nachdem sich da schon etwas länger nichts verändert² hat bist Du damit auch für Vista aufwärts auf der sicheren Seite.

Eine größere Aufstellung ab XP (bis hin zu Windows 8) gibt es auch unter http://technet.microsoft.com/en-us/library/cc771990.aspx

¹Achtung: wenn das mandatory Profiles (also vorgegebene Profile) sind kann man da zwar reinschreiben, aber die Änderungen werden bei einer Abmeldung verworfen
²mit Ausnahme der Hauptbenutzer (Power Users), die mit der UAC und den damit verbundenen Abfragen nach Admin-Rechten immer mehr an Bedeutung verloren hat

hth,

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

Ich bin weder die NSA noch der BND. Dennoch weiß ich, was ich letzten Sommer getan habe.

Und wie ist eine "manuelle Installation" zu verstehen?

Kein ClickOnce, kein Windows Installer.
Die Direktive ist jeden einzelnen unnötigen Mausklick zu entfernen, alles vollständig zu automatisieren und das Programm so klein wie möglich zu halten.

Deswegen bin ich wie folgt vorgegangen:

Meine "Installation" beschränkt sich also auf das Erstellen der Diabolo2000_Autostart.exe im Autostart Verzeichnis, die sich um Updates kümmert und dem eigentlichen Programm Diabolo2000_VX.XXX.exe das jetzt ins Userverzeichnis kommt und dem Schreiben & Lesen in die Registry.
Die ursprüngliche .exe die man anklickt kümmert sich um alles, das heißt mit einem Doppelklick rennt das ganze ohne, dass der User etwas machen will (und das für immer: Im Taskmanager beenden: automatischer Neustart. Die .exe Dateien löschen? Geht nicht, sie laufen ja!

Eine Übersicht der Sicherheitsgruppen und den Rechten dazu findest Du unter
https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/windows_security_default_settings.mspx?mfr=true
Ist zwar noch für XP, aber nachdem sich da schon etwas länger nichts
verändert2 hat bist Du damit auch für Vista aufwärts auf der sicheren Seite.

Eine größere Aufstellung ab XP (bis hin zu Windows 8) gibt es auch unter
http://technet.microsoft.com/en-us/library/cc771990.aspx

Das habe ich gesucht, danke.

test

Erstellen der
Diabolo2000_Autostart.exe im Autostart Verzeichnis

Igitt, igitt. Wäre ein Eintrag in HKCU\*\Microsoft\*\Run (kenne den genauen Pfad jetzt nicht) nicht sauberer?

______________________________________________________________
IP-Sperren in Österreich? http://respectmynet.eu/view/430

24.09.2013, 11:14 Uhr - Editiert von hurda7, alte Version: hier

Der Chef fand die Idee auch nicht so prickelnd (

), darum gibt es jetzt eine finale Verknüpfung im Autostart Ordner zu einer .exe an einem fixen Platz und ich lerne Interprozesskommunikation mit Pipes um maximal eine Instanz zu garantieren, die alte Instanz beim Start der neuen zu schließen und die neue .exe zu kopieren.

Igitt, igitt. Wäre ein Eintrag in HKCU\*\Microsoft\*\Run (kenne den genauen
Pfad jetzt nicht) nicht sauberer?

Ich möchte keine Autostarts über die Registry abwickeln.

test

Na solange er nicht die win.ini bemüht...

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

Ich bin weder die NSA noch der BND. Dennoch weiß ich, was ich letzten Sommer getan habe.

Das gibt es ja leider nicht mehr

test

Gerne

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

Ich bin weder die NSA noch der BND. Dennoch weiß ich, was ich letzten Sommer getan habe.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung