Administratorberechtigungen für Adobe Encore

[Eratum]

Einen wunderschönen Zusammen,

vielleicht hat es der Eine oder Andere schon mal bemerkt, aber zum Brennen/Erzeugen von BluRay oder DL benötigt man (bei Adobe Encore) Administratorberechtigungen. Ansonsten bricht das Programm beim erzeugen des FileSystems der Scheibe mit "Zugriff Verweigert" ab. Der Tip den die Adobe Support Foren geben ist: "Starte mit 'Ausführen als Administrator'". Aus meiner Sicht völliger Schwachsinn. Vielleicht vergebe ich noch fröhlich Adminpasswörter im Haus.

Nun steh ich etwas auf dem Schlauch und weiss nicht weiter.

• "Ausführen als" fälllt aus genannten Gründen flach
  
• "runas /savecred" hat irgendwie einen fahlen Beigeschmack finde ich
  
• "scheduled tasks mit erhöhten Berechtigungen" funktionieren so auch nicht mehr sobald dem Nutzer die Adminrechte entzogen werden
  
• "psrunas und konsorten" sind zwar eine Möglichkeit aber so richtig wohl ist mir auch dabei nicht
  

Was ich nun suche ist die Lösung für folgendes Problem:

Ich möchte, dass Standard(domänen)benutzer eine Anwendung ausführen können, die zwingend administrative Berechtigungen braucht.

Wenn jemand einen neuen Ansatz oder eine Idee hat, immer raus damit...

Umgebung:

W2K8 R2 Server

W7 Prof. Client

Thanks in advance, Era

[Tiro]

Wir haben Powerbroker von Beyond Trust für so was im Einsatz.

Das hängt sich als Addon in den Gruppenrichtlinien-Editor ein und wird darüber als GPO konfiguriert. (mit allen Möglichkeiten einer solchen: Sicherheitsgruppen, Filterung etc.)

Die jeweilige Anwendung kann (auch) über eine Hash-Regel mit erhöhten Rechten ausgestattet werden.

[_XspYroX_]

Als programmierer würde ich sagen, schreib ne exe, welche die encore exe als administrator startet.

du könntest auch probieren einen task in der aufgabenplanung mit der encore exe Anzulegen. beim task kannst du den benutzer mit passwort festlegen, der zum ausführen benutzt werden soll.

und starten kann man den task später per cmd aufruf oder eben ner verknüpfung aufm desktop

[SilentDemise]

Als programmierer würde ich sagen, schreib ne exe, welche die encore exe als administrator startet.

du könntest auch probieren einen task in der aufgabenplanung mit der encore exe Anzulegen. beim task kannst du den benutzer mit passwort festlegen, der zum ausführen benutzt werden soll.

und starten kann man den task später per cmd aufruf oder eben ner verknüpfung aufm desktop

Beides keine Lösung. Die exe kommt nicht ohne elevation in den Admin context. Task scheduler ist nicht sicher, da komm ich ans password des admins, was in dem szenario nicht gewünscht ist.

Era, du fragst hier nach einem Problem, was zu den in meinen Augen grössten problemen von Windows und betriebssystemen im allgemeinen gehoert. Es gab schon diverse Diskussionen mit der Windows product group genau auch zu dem Thema. Im Prinzip bräuchte man ein delegation Modell auf applikationsebene um entsprechend einzelne Programme elevated im user context starten zu können. Die Support foren kannst vergessen, meistens nur heissluftgebläse. Wir haben's z.t. Mit terminalserver gelöst, ist aber auch nur bedingt eine lösung die ueberall geht.

Alle lösungen softwareseitig erfordern das credentials oder ein gueltiger kerberos token im entsprechenden kontext existiert und machen sich daher angreifbar.

Das Tool von tiro mag klappen. Bin bei sowas skeptisch grade dann bei dc upgrades, schema aenderungen und co

[Eratum]

Erstmal danke euch dreien für die Antworten...

Wir haben Powerbroker von Beyond Trust für so was im Einsatz.

Ich schau's mir mal an, wobei ich bezweifle, dass ich Mittel für sowas bekomme. Ausserdem hege ich ähnliche Bedenken wie Silent.

Als programmierer würde ich sagen, schreib ne exe, welche die encore exe als administrator startet.

Gute Idee, aber zu Ende gedacht eher so "meh". Siehe Silent...

Era, du fragst hier nach einem Problem, was zu den in meinen Augen grössten problemen von Windows und betriebssystemen im allgemeinen gehoert.

Sehe ich auch so, hatte nur glücklicherweise noch nicht den Fall. Die meisten Anwendungen die bisher Späne gemacht habe begnügten sich mit einem alternativen Installationsverzeichnis in dem der Nutzer schreiben darf...

@Task:

Das war auch nur ein Ansatz von mir. Die Idee war, dass ich dem Nutzer Adminrechte gebe, dann einen Task mit "höchsten Privilegien" erzeuge und ihm die Adminrechte dann wieder entziehe...Klappte aber halt auch nicht Ganz so blöd ist Windows dann meist auch nicht

@TS:

Wird wohl nix. Für eine einzelne Anwendung den "Aufwand betreiben"...

Im zweifelsfall gibt's nen dedizierten Admin auf der Kiste...Auch wenn ich dabei Magenverstimmungen bekomme...

[Thanks-and-Goodbye]

Moin,

war das nicht auch schon bei den alten Nero-Versionen so, dass brennen nur als Admin ging? Es gab dann doch ein Tool "set burn rights".

Ich würde also (wenn denn Zeit und Lust für "Jugend forscht" vorhanden ist) mit dem Sysinternals Process Explorer schauen, an welcher Stelle genau das Programm wegen fehlender Zugriffsrechte hängen bleibt - und dann genau dieses Recht granular setzen.

[Eratum]

Danke für den Tip. Wenn mal irgendwann "Jugend forscht" in meinem TicketSystem auftaucht versuch ich der Sache mal auf den grund zu gehen. Weitere Idee war evtl einfach mal direkt mit NeroBurnRights zu probieren. Vlt. greift das ja generell auf allgemeingültige Komponenten zu und setzt die Rechte nicht nur für Nero Programme...