7
Anwendung in einem anderen User-Kontext laufen lassen
Hallo Zusammen,
die Kurzfassung: Der User soll eine Anwendung starten die mehr Rechte hat als der user selbst. RunAs ist leider keine Option da das Passwort unverschlüsselt in einer Datei abgelegt werden muss.
Es geht darum, eine Anwendung in einem anderen User-Kontext laufen zu lassen. Der Hintergrund: Die Anwendung braucht Schreibrechte für z.B.: .ini Files. Die .Ini Files müssen im App Verzeichnis sein da sie global gelten sollen. Außerdem habe ich damit die komplette App in ein Verzeichnis und dessen Unterverzeichnisse. Der Punkt ist, der User darf auf das App Verzeichnis nicht direkt über den Explorer zugreifen. In dieser App werden Aufträge geschrieben und zu den Aufträgen auch Bilder hinterlegt. Die Anwendung bietet die Möglichkeit zu einem Auftrag die Bilder zu importieren und sie anzuschauen. Die User dürfen jedoch nicht in den Bilderordner über den Explorer zugreifen und die Bilder manipulieren oder gar löschen. Über die Anwendung selbst soll das schon möglich sein. Die Anwendung hat ein integriertes Berechtigungssystem.
Von Windows gibt es das Tool RunAs. Allerdings muss ich das Passwort unverschlüsselt in einer Daten ablegen die RunAs ausliest. In einem Fachbuch habe ich mal gelesen dass es über den ADDS und irgend welche Richtlinien möglich sein soll. Leider finden ich den Bericht nicht mehr.
Hat jemand eine Idee?
die Kurzfassung: Der User soll eine Anwendung starten die mehr Rechte hat als der user selbst. RunAs ist leider keine Option da das Passwort unverschlüsselt in einer Datei abgelegt werden muss.
Es geht darum, eine Anwendung in einem anderen User-Kontext laufen zu lassen. Der Hintergrund: Die Anwendung braucht Schreibrechte für z.B.: .ini Files. Die .Ini Files müssen im App Verzeichnis sein da sie global gelten sollen. Außerdem habe ich damit die komplette App in ein Verzeichnis und dessen Unterverzeichnisse. Der Punkt ist, der User darf auf das App Verzeichnis nicht direkt über den Explorer zugreifen. In dieser App werden Aufträge geschrieben und zu den Aufträgen auch Bilder hinterlegt. Die Anwendung bietet die Möglichkeit zu einem Auftrag die Bilder zu importieren und sie anzuschauen. Die User dürfen jedoch nicht in den Bilderordner über den Explorer zugreifen und die Bilder manipulieren oder gar löschen. Über die Anwendung selbst soll das schon möglich sein. Die Anwendung hat ein integriertes Berechtigungssystem.
Von Windows gibt es das Tool RunAs. Allerdings muss ich das Passwort unverschlüsselt in einer Daten ablegen die RunAs ausliest. In einem Fachbuch habe ich mal gelesen dass es über den ADDS und irgend welche Richtlinien möglich sein soll. Leider finden ich den Bericht nicht mehr.
Hat jemand eine Idee?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 466601
Url: https://administrator.de/contentid/466601
Printed on: April 25, 2024 at 12:04 o'clock
7 Comments
Latest comment
Hallo,
es gibt bei runas den Schalter "/savecred".
somit richtest du die Verknüpfung und den User unterm dem Kontext es ausgeführt werden soll.
Und wenn Du das erste mal über die Verknüpfung das Programm startest, dann gibst du das Passwort ein und es wir für diese Verknüpfung im System hinterlegt. Nix in eine Datei wo der einfache User rankommt.
Gruß Xolger
es gibt bei runas den Schalter "/savecred".
somit richtest du die Verknüpfung und den User unterm dem Kontext es ausgeführt werden soll.
Und wenn Du das erste mal über die Verknüpfung das Programm startest, dann gibst du das Passwort ein und es wir für diese Verknüpfung im System hinterlegt. Nix in eine Datei wo der einfache User rankommt.
C:\Windows\System32\runas.exe /user:"User mit höheren Rechten" /savecred "Programmname" Gruß Xolger
Hi,
ist diese Anwendung eine Eigenentwicklung aus Eurem Haus?
E.
ist diese Anwendung eine Eigenentwicklung aus Eurem Haus?
E.
Zitat von @Xolger:
Dein Vorschlag ist prinzipiell richtig. Aber der nicht-dumme Benutzer kann dann mit diesem Benutzernamen auch eine CMD starten und dann darüber diese Dateien manipulieren.C:\Windows\System32\runas.exe /user:"User mit höheren Rechten" /savecred "Programmname" Das Vorhaben des TO ist so wie beschrieben unsinnig, weil Augenwischerei.
ah, besten Dank. Werde ich ausprobieren.
Die Variante über das AD würde mich dennoch sehr interessieren.
Die Variante über das AD würde mich dennoch sehr interessieren.
?
Falls Du mit "ADDS" "AD DS" meinst - nein, damit geht das nicht. Mit einem Bücherregal kann man auch keine Doktorarbeit schreiben.
So, wie Du das beschreibst ist das unsinnig. Wenn das ne Anwendung aus Eurer eigenen Entwicklung wäre, dann könntet Ihr das dort einbauen und mit einem "Proxy"-Benutzer arbeiten, welcher in der Anwendung hinterlegt ist.
Falls Du mit "ADDS" "AD DS" meinst - nein, damit geht das nicht. Mit einem Bücherregal kann man auch keine Doktorarbeit schreiben.
So, wie Du das beschreibst ist das unsinnig. Wenn das ne Anwendung aus Eurer eigenen Entwicklung wäre, dann könntet Ihr das dort einbauen und mit einem "Proxy"-Benutzer arbeiten, welcher in der Anwendung hinterlegt ist.
Moin,
wenn dem Benutzer "nicht zu trauen ist", bzw es ein solides Gerüst sein soll.
In einer früheren Firma hatten wir sehr gute Erfahrung gemacht mit runasrob.
Kostet natürlich, aber der zuständige, der sich SEHR gut mit Sicherheit auskannte, war recht überzeugt davon.
So long
wenn dem Benutzer "nicht zu trauen ist", bzw es ein solides Gerüst sein soll.
In einer früheren Firma hatten wir sehr gute Erfahrung gemacht mit runasrob.
Kostet natürlich, aber der zuständige, der sich SEHR gut mit Sicherheit auskannte, war recht überzeugt davon.
So long
Hallo Zusammen,
ja, es sind unsere eigene Entwicklungen. Leider ist es so dass es auch ältere Anwendungen gibt die nicht mehr weiterentwickelt werden können. Für neue Anwendungen haben wird das schon so umgesetzt dass die Anwendung selbst sich auf einen anderen User ummeldet.
Ich war mir sehr sicher dass ich das mal gelesen habe in Verbindung mit dem AD. Ich habe sehr viel gesucht in dieser Richtung und nichts gefunden. Ich nehme das mal als gegeben hin dass es eben nicht geht. Es könnte sein dass bei dem Artikel die Methode über RunAs erwähnt wurde ich nur falsch im Gedächtnis habe.
Vielen lieben Dank für die Beiträge.
Gruß Kostas
ja, es sind unsere eigene Entwicklungen. Leider ist es so dass es auch ältere Anwendungen gibt die nicht mehr weiterentwickelt werden können. Für neue Anwendungen haben wird das schon so umgesetzt dass die Anwendung selbst sich auf einen anderen User ummeldet.
Ich war mir sehr sicher dass ich das mal gelesen habe in Verbindung mit dem AD. Ich habe sehr viel gesucht in dieser Richtung und nichts gefunden. Ich nehme das mal als gegeben hin dass es eben nicht geht. Es könnte sein dass bei dem Artikel die Methode über RunAs erwähnt wurde ich nur falsch im Gedächtnis habe.
Vielen lieben Dank für die Beiträge.
Gruß Kostas
