Windows 1809 & UAC / Als anderer Benutzer ausführen

[sebastian.pilz]

Hallo zusammen,

wir haben leider mal wieder an 2 Schrauben Zeitgleich gedreht und ich bin noch nicht dazu gekommen eine zurück zu schrauben, aber evtl. hat ja die schlaue Masse das gleiche Problem.

Wir nutzen Empirum 18.0.2
Windows 1809
WinPE Bereitstellung.


Wir sind mit der Bereitstellung von EPE auf WinPE auch Zeitgleich auf 1809 umgesteigen. Seit dem haben einige unserr Clients das problem, das die UAC nicht/nur halb funktioniert.

Wenn eine Anwendung als Admin ausgeführt werden soll, der angemeldeter Benutzer aber keine Admin Rechte hat, kommt kein UAC-Dialog mit der Abfrage nach Benutzername und Kennwort, sondern die Anwendung startet (als User) Gleiches gillt für rechte Maustaste -> als anderer Benutzer ausführen. Da passiert gar nichts.

Der alte weg cmd -> runas /user [...] funktioniert problemlos.


Jemand ein ähnliches Problem?

Grüße,
Sebastian

[MaMa82]

Hallo Sebastian,

Du könntest mittels folgendem Link die betreffenden Reg-Keys prüfen:
https://docs.microsoft.com/de-de/window ... y-settings
(letzter Punkt)

Welche WinPE Version wird eingesetzt?
Handelt es sich hierbei um eine originale OS-Quelle?
Welche Windows 10 Edition wird ausgerollt?
Was passiert, wenn die Clients standardmäßig in den Computers Container der AD aufgenommen werden? (Stichwort Policies)
Zusätzlich wäre die Systemintegrität zu prüfen. (sfc /scannow)
Kann das Problem gegebenenfalls auf einen oder mehrere bestimmte Computer-Typen eingegrenzt werden?
Läuft auf dem Depot/Master ein Virenscanner / weitere Security Software?

[sebastian.pilz]

Hi,

danke für den Hinweis, ja es sieht so aus als ob die UAC (wieso auch immer) den EnableLUA=0 setzt und somit komplett deaktiviert ist.. Jetzt bleibt nur noch die Frage warum dem so ist.

[djs3ns3]

Hallo zusammen,

wir stehen aktuell vor genau dem selben "Problem".
Hat jemand zufällig noch eine Idee woran das liegen kann?

Viele Grüße

[Rumpelstilzchen]

Wenn man im WinPE-basierten Deployment im WindowsInstallation-Paket in der unattend.xml-Datei eine Anpassung macht, kann man das Deaktivieren der UAC verhindern:

Code: Select all

<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
  <settings pass="specialize">
    <component name="Microsoft-Windows-Deployment" processorArchitecture="[Architecture]"
               publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS"
               xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
               xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
      <RunSynchronous>
        <RunSynchronousCommand wcm:action="add">
          <Path>%windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f</Path>

Einfach dieses RunSynchronousCommand entfernen - die standardmässige Einstellung nach einer Windows-Installation wird dann gesetzt sein und UAC wird aktiv sein. Wenns brennt kann man das ja ausprobieren.

[Doxlike]

Hallo,

wir sind leider in das selbe Problem gelaufen. Schade finde ich, das es im WinPE How To nirgends erwähnt wird. Kann ich die Unattend.xml gefahrlos ändern oder bekomme ich dort Seiteneffekte während der Installation?

Viele Grüße
Doxlike

[Rumpelstilzchen]

Hey Doxlike,

wie man sehen kann werden die PreOS Pakete wie WindowsInstallation ständig erweitert und ich würde sagen, dass die unattend.xml grundsätzlich mit dem Paket-Skript (Install.ps1) im WindowsInstallation verheiratet ist.

Das heißt, dass du alles, was an der unattend.xml-Datei manipuliert wird im Install.ps1 skript nachvollziehen kannst.
Du kannst dich auf Seiteneffekte oder gar Fehler einstellen, wenn du gravierende Änderungen vornimmst das Paket-Skript jedoch nicht dahingehend anpasst.

Mehrere Stellen sind zu betrachten:

• Es gibt Platzhalter wie "[Architecture]", welche zur Laufzeit von WindowsInstallation und bevor die Setup.exe von Windows aufgerufen wird ersetzt werden.

• Dann gibt es die "RunSynchronousCommand" unter "Microsoft-Windows-Deployment" welche bestimmte Vorbereitungen treffen.

• Dann gibt es die "DiskConfiguration" unter "Microsoft-Windows-Setup", das ebenfalls vom Paket-Skript angepasst wird

• Und es gibt dort auch "ImageInstall", dass ebenfalls vom Skript angepasst wird.

• Und schließlich gibt es noch die "FirstLogonCommands", welche auch vom Skript erweitert werden

Wenn du das beachtest kannst du durchaus sogar eine eigene Unattend.xml benutzen, welche auch über die Paket-Variable "UnattendXmlFile" unter WindowsInstallation angegeben werden kann.

Ausserdem kann man sich mit dem PreOS Package Editor eine eigene Kopie von WindowsInstallation anlegen und soweit anpassen wie man es möchte.

[Doxlike]

Hi Rumpelstilzchen,

im EPE ist mir das nicht aufgefallen, warum sieht die Matrix42 das nun als standard an die UAC komplett zu deaktivieren? Nutzt hier wirklich niemand im Unternehmensumfeld die UAC?

Viele Grüße
Doxlike