Standard user admin rechten op applicatie geven met icacls

maandag 12 juni 2017 11:28

Acties:

0 Henk 'm!

Topicstarter

Beste IT-ers,

Sindskort ben ik Junior Technisch Applicatiebeheerder Windows en nog steeds aan het leren. Wij beheren ongeveer 500 Windows clients met SCCM 2016. In een notendop zorgen wij voor de Windows software op de Windows 10 machines in de organisatie.

Nu loop ik tegen de volgende uitdaging aan. De klant heeft een softwarepakket aangevraagd, maar deze heeft admin rechten nodig om op te starten. De gebruikers zijn standaard geen admin, dus er komt een mooie ALC popup met de vraag of je even de credentials v.d. adminstrator wilt invoeren.

Uiteraard heb ik al gegoogled, maar kom op dingen uit als een shortcut maken en dan runas administrator, maar omdat het pakket uit meerdere .exe's bestaat, lijkt dat wat omslachtig. Ook admin rechten geen op de map van het programma in program files werkt niet. Toen stuitte ik op "iCACLS". Ik kom alleen niet helemaal uit de tutorials, hoe ik dat zou moeten ombuigen naar de oplossing voor mijn specifieke probleem. Kan iemand mij op weg helpen? Thanks!

...

i7 2600K / Gigabyte GA-Z68x-UD3H-B3 / 8GB Corsair / ZoTac GTX570 / 60GB SSD

maandag 12 juni 2017 17:39

Killah_Priest

Software voor gebruikers welke local admin rechten vereisen dien je ten alle tijden te weren. Anno 2017 hoort dit gewoon niet. Ik ga niet de security van de omgeving welke ik in beheer heb omlaag schroeven omdat de developers van de betreffende applicatie hun werk gewoon niet goed gedaan hebben.

maandag 12 juni 2017 12:49

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Vraag eerst eens bij de leverancier op, welke rechten exact benodigt zijn en waar...

ICACLS is gewoon een methode om rechten te zetten, maar als je niet weet welke rechten je in moet stellen kun je daar op dit moment nog weinig mee.

Met procesmonitor kun je overigens wel vaak zien waar een gebruiker een "access denied" op krijgt, maar dat kan een erg tijdrovend proces zijn.

De applicatieleverancier moet maar gewoon zorgen dat zijn applicatie goed gebouwd is. Hij moet dit probleem op gaan lossen... Een app die Admin rechten nodig heeft om te kunnen draaien is gewoon geen goed gebouwde applicatie...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 12 juni 2017 12:55

Acties:

0 Henk 'm!

El_Bandito

Topicstarter

Thanks, vraag had ik inderdaad al uitstaan bij de leverancier, waarvoor het programma adminrechten nodig heeft, dus waar hij heen wilt schrijven etc. Ben benieuwd.

i7 2600K / Gigabyte GA-Z68x-UD3H-B3 / 8GB Corsair / ZoTac GTX570 / 60GB SSD

maandag 12 juni 2017 13:02

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

El_Bandito schreef op maandag 12 juni 2017 @ 12:55:
Thanks, vraag had ik inderdaad al uitstaan bij de leverancier, waarvoor het programma adminrechten nodig heeft, dus waar hij heen wilt schrijven etc. Ben benieuwd.

Let meteen even op onderstaande link:

Certification requirements for Windows Desktop Apps

Paragraaf 9 gaat over de guidelines voor het gebruik van UAC en het draaien van apps in de security context van een administrator.

Soms is het onontkomelijk, vaak slecht programmeerwerk....Hoe vaak ik al geen apps tegengekomen ben die userspecifieke informatie in de HKLM registry-key weg wil schrijven....

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 12 juni 2017 14:08

Acties:

0 Henk 'm!

Squ1zZy

Question Mark schreef op maandag 12 juni 2017 @ 13:02:
[...]

Let meteen even op onderstaande link:

Certification requirements for Windows Desktop Apps

Paragraaf 9 gaat over de guidelines voor het gebruik van UAC en het draaien van apps in de security context van een administrator.

Soms is het onontkomelijk, vaak slecht programmeerwerk....Hoe vaak ik al geen apps tegengekomen ben die userspecifieke informatie in de HKLM registry-key weg wil schrijven....

Disassemblen en procmon is altijd een optie

maandag 12 juni 2017 14:51

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Squ1zZy schreef op maandag 12 juni 2017 @ 14:08:
[...]
Disassemblen en procmon is altijd een optie

true, maar eigenlijk ben je dan uren aan het verbranden omdat een andere partij zijn zaken niet op orde heeft. Ik probeer dit soort zaken ook eerst altijd terug te duwen.

Áls een applicatie al specifieke rechten nodig heeft, dan moet dit gewoon duidelijk in de aanwezige documentatie van de leverancier terug te vinden zijn... En vervolgens krijgt de leverancier dan van mij de vraag waarom zijn installer de rechten niet juist instelt voor een goede werking.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 12 juni 2017 17:39

Acties:

Beste antwoord ✓
0 Henk 'm!

Killah_Priest

Software voor gebruikers welke local admin rechten vereisen dien je ten alle tijden te weren. Anno 2017 hoort dit gewoon niet. Ik ga niet de security van de omgeving welke ik in beheer heb omlaag schroeven omdat de developers van de betreffende applicatie hun werk gewoon niet goed gedaan hebben.

maandag 12 juni 2017 17:47

Acties:

0 Henk 'm!

DukeBox

loves wheat smoothies

Killah_Priest schreef op maandag 12 juni 2017 @ 17:39:
Software voor gebruikers welke local admin rechten vereisen dien je ten alle tijden te weren.

Soms heb je nou eenmaal geen keuze.

Duct tape can't fix stupid, but it can muffle the sound.

maandag 12 juni 2017 19:23

Acties:

0 Henk 'm!

xFeverr

Vreselijk, dat is gewoon nog pre-Vista software die lak heeft aan het securitymodel van Windows. Kwam daar opeens UAC om de hoek kijken sinds Vista. Ach... Dat zet je dan toch uit? Of je geeft iedereen admin rechten?

Nee! Developers terugfluiten en zorg maar dat ze het fiksen. Dit kan echt niet meer. Vanaf 2006 weet je dit al.

(Let op: aangezien het een applicatie betreft voor standaard users ga ik er ook vanuit dat dit niet een applicatie is die systeemfiles of wat dan ook moet gaan aanpassen)

maandag 12 juni 2017 19:43

Acties:

+1 Henk 'm!

Brahiewahiewa

boelkloedig

Killah_Priest schreef op maandag 12 juni 2017 @ 17:39:
Software voor gebruikers welke local admin rechten vereisen dien je ten alle tijden te weren. Anno 2017 hoort dit gewoon niet. Ik ga niet de security van de omgeving welke ik in beheer heb omlaag schroeven omdat de developers van de betreffende applicatie hun werk gewoon niet goed gedaan hebben.

Je hebt helemaal gelijk, hoor. Maar

El_Bandito schreef op maandag 12 juni 2017 @ 11:28:
...
Sindskort ben ik Junior Technisch Applicatiebeheerder Windows en nog steeds aan het leren...

zo'n standpunt gaat een junior niet af kunnen dwingen

QnJhaGlld2FoaWV3YQ==

donderdag 15 juni 2017 13:17

Acties:

+1 Henk 'm!

El_Bandito

Topicstarter

Brahiewahiewa schreef op maandag 12 juni 2017 @ 19:43:
[...]

zo'n standpunt gaat een junior niet af kunnen dwingen

Toch er doorheen gedrukt

In de prullenbak.

Dank voor de tips in elk geval, heeft me veel tijd bespaard!

i7 2600K / Gigabyte GA-Z68x-UD3H-B3 / 8GB Corsair / ZoTac GTX570 / 60GB SSD

Vraag

Beste antwoord (via El_Bandito op 13-11-2018 13:23)

Alle reacties