Anwendung in einem anderen User-Kontext laufen lassen

kostas
Goto Top
Hallo Zusammen,

die Kurzfassung: Der User soll eine Anwendung starten die mehr Rechte hat als der user selbst. RunAs ist leider keine Option da das Passwort unverschlüsselt in einer Datei abgelegt werden muss.

Es geht darum, eine Anwendung in einem anderen User-Kontext laufen zu lassen. Der Hintergrund: Die Anwendung braucht Schreibrechte für z.B.: .ini Files. Die .Ini Files müssen im App Verzeichnis sein da sie global gelten sollen. Außerdem habe ich damit die komplette App in ein Verzeichnis und dessen Unterverzeichnisse. Der Punkt ist, der User darf auf das App Verzeichnis nicht direkt über den Explorer zugreifen. In dieser App werden Aufträge geschrieben und zu den Aufträgen auch Bilder hinterlegt. Die Anwendung bietet die Möglichkeit zu einem Auftrag die Bilder zu importieren und sie anzuschauen. Die User dürfen jedoch nicht in den Bilderordner über den Explorer zugreifen und die Bilder manipulieren oder gar löschen. Über die Anwendung selbst soll das schon möglich sein. Die Anwendung hat ein integriertes Berechtigungssystem.

Von Windows gibt es das Tool RunAs. Allerdings muss ich das Passwort unverschlüsselt in einer Daten ablegen die RunAs ausliest. In einem Fachbuch habe ich mal gelesen dass es über den ADDS und irgend welche Richtlinien möglich sein soll. Leider finden ich den Bericht nicht mehr.

Hat jemand eine Idee?

Content-Key: 466601

Url: https://administrator.de/contentid/466601

Ausgedruckt am: 15.08.2022 um 16:08 Uhr

Mitglied: Xolger
Xolger 27.06.2019 um 22:19:03 Uhr
Goto Top
Hallo,

es gibt bei runas den Schalter "/savecred".
somit richtest du die Verknüpfung und den User unterm dem Kontext es ausgeführt werden soll.
Und wenn Du das erste mal über die Verknüpfung das Programm startest, dann gibst du das Passwort ein und es wir für diese Verknüpfung im System hinterlegt. Nix in eine Datei wo der einfache User rankommt.


Gruß Xolger
Mitglied: emeriks
emeriks 28.06.2019 um 08:52:21 Uhr
Goto Top
Hi,
ist diese Anwendung eine Eigenentwicklung aus Eurem Haus?

E.
Mitglied: emeriks
emeriks 28.06.2019 um 08:55:04 Uhr
Goto Top
Zitat von @Xolger:
Dein Vorschlag ist prinzipiell richtig. Aber der nicht-dumme Benutzer kann dann mit diesem Benutzernamen auch eine CMD starten und dann darüber diese Dateien manipulieren.

Das Vorhaben des TO ist so wie beschrieben unsinnig, weil Augenwischerei.
Mitglied: Kostas
Kostas 28.06.2019 um 08:58:14 Uhr
Goto Top
ah, besten Dank. Werde ich ausprobieren.
Die Variante über das AD würde mich dennoch sehr interessieren.
Mitglied: emeriks
Lösung emeriks 28.06.2019 um 09:08:11 Uhr
Goto Top
Zitat von @Kostas:
Die Variante über das AD würde mich dennoch sehr interessieren.
?
Falls Du mit "ADDS" "AD DS" meinst - nein, damit geht das nicht. Mit einem Bücherregal kann man auch keine Doktorarbeit schreiben.

So, wie Du das beschreibst ist das unsinnig. Wenn das ne Anwendung aus Eurer eigenen Entwicklung wäre, dann könntet Ihr das dort einbauen und mit einem "Proxy"-Benutzer arbeiten, welcher in der Anwendung hinterlegt ist.
Mitglied: TomTomBon
TomTomBon 28.06.2019 um 11:18:24 Uhr
Goto Top
Moin,

wenn dem Benutzer "nicht zu trauen ist", bzw es ein solides Gerüst sein soll.

In einer früheren Firma hatten wir sehr gute Erfahrung gemacht mit runasrob.

Kostet natürlich, aber der zuständige, der sich SEHR gut mit Sicherheit auskannte, war recht überzeugt davon.

So long
Mitglied: Kostas
Kostas 28.06.2019 um 15:29:57 Uhr
Goto Top
Hallo Zusammen,

ja, es sind unsere eigene Entwicklungen. Leider ist es so dass es auch ältere Anwendungen gibt die nicht mehr weiterentwickelt werden können. Für neue Anwendungen haben wird das schon so umgesetzt dass die Anwendung selbst sich auf einen anderen User ummeldet.

Ich war mir sehr sicher dass ich das mal gelesen habe in Verbindung mit dem AD. Ich habe sehr viel gesucht in dieser Richtung und nichts gefunden. Ich nehme das mal als gegeben hin dass es eben nicht geht. Es könnte sein dass bei dem Artikel die Methode über RunAs erwähnt wurde ich nur falsch im Gedächtnis habe.

Vielen lieben Dank für die Beiträge.
Gruß Kostas