Ich habe gleich mehrere schwerwiegende Probleme mit Windows Vista bzw
Windows 7 und ihrer UAC Steuerung, weshalb ich die Unterstützung
echter Profis benötige. Für jegliche Hilfe wäre ich unglaublich
dankbar, da ich selbst nach tagelangem Googeln, experimentieren und in
Büchern schmökern nicht weiter gekommen bin.


UAC Hintergrund:
==================
Seit Vista gibt es die sogenannte UAC Steuerung. Auf einer lokalen
Maschine hat man selbst als Administrator auf bestimmte Pfade, z.B.
%ProgramFiles% keinen Schreibzugriff, da die explorer.exe mit Standard
Benutzer Privilegien gestartet wird. Man muss den Weg über den
SecureDesktop gehen. Wenn man Standard User ist, kommt beim
SecureDesktop aber noch die Eingabefelder für eine Benutzeranmeldung,
damit man die Möglichkeit hat, sich mit einem anderen Account
Adminrechte zu verschaffen. Ansonsten bleibt einem dieser Zugriff
verwehrt.


Mein Programm:
==================
Ich habe ein Programm, welches sich in %ProgramFiles% (Standard User:
keine Schreibrechte) installiert. Die Installation führt ein
Systemadmin durch. Damit das Programm regelmäßig aktualisiert werden
kann, prüft das Programm auf einem Netzwerkpfad, ob eine
AutoUpdate.exe vorhanden ist und führt diese dann aus. Es handelt sich
hierbei um eine Wise Setup-Routine.

Das Programm soll prüfen, ob der angemeldete User Schreibzugriff im
Installationsverzeichnis (%ProgramFiles%) hat und wenn nicht prüfen,
ob er mit dem derzeit angemeldeten Account sich über den SecureDesktop
die Rechte überhaupt aneignen kann. Ein normaler User soll nämlich
nicht die Meldung mit dem Secure Desktop und der Benutzeranmeldung
bekommen, sondern stattdessen nur eine Messagebox mit der Meldung,
dass ein Update vorhanden ist.

Allerdings soll der Admin in den Programmeinstellungen auch einen
Adminaccount (Domäne, Benutzername, Passwort) hinterlegen können,
welches bei Wunsch automatisch genutzt werden soll, wenn der User
nicht in der Lage ist, mit seinem eigenen Account höhere Adminrechte
anzufordern. Sprich: Standard Benutzer wird zum Adminbenutzer und
fordert dann mit SecureDesktop höhere Rechte an. Von all dem, außer
dem einmaligen Secure Desktop, soll der Benutzer nichts mit bekommen.
Ich hoffe, ich habe mich verständlich ausgedrückt. Ansonsten ruhig
fragen.


Probleme:
==================

Problem 1:
Ich prüfe mit folgendem Befehl, ob der User Admin ist:

public bool istAdmin { get { return new WindowsPrincipal
(WindowsIdentity.GetCurrent()).IsInRole
(WindowsBuiltInRole.Administrator); } private set { } }

Doch zeigt er mir nur True an, wenn ich per SecureDesktop höhere
Adminrechte anforderte. Selbst wenn ich als lokaler Admin angemeldet
bin, würde ohne Secure Desktop nur False zurück kommen. So kann ich
also nicht effektiv prüfen, ob einer in der Lage ist, sich höhere
Adminrechte anzufordern oder nicht. Weiß da jemand rat? Vor allem weiß
ich nicht genau, wie es sich mit UAC verhält, wenn der Benutzer ein
Admin von einer Domäne ist. Gibt es da sowas wie ein SecureDesktop
überhaupt? Wenn nicht, dann würde meine Routine ja funktionieren.
Jedoch nicht, wenn es sich um einen lokalen Benutzer handelt.

Problem 2:
Per WindowsImpersonation (Kernel32.dll, advapi32.dll und der
WindowsIdentity Klasse) schaffe ich es, die laufende Anwendung als
jemand anders laufen zu lassen. Doch kann ich mit dieser Person keine
höhere Adminrechte anfordern (Secure Desktop), so dass das Autoupdate
mit Schreibzugriff auf %ProgramFiles% gestartet werden kann. Kann mir
einer zeigen, wie ich effektiv ein Programm als jemand anders
(Anmeldedaten werden hinterlegt) mit erhöhten Adminrechten starten
kann, damit man Schreibrechte auf %ProgramFiles% erhält?


viele liebe Grüße

euer hoffnungslos verzweifelter Manuel