Batch-Datei mit Admin-Rechten ausführen ohne das Passwort raus zu geben
Guten Tag,
ich bräuchte mal eine Idee:
Ich habe ein kleines Backup-Script als Batch:
Dummerweise braucht das Skript Admin-Rechte oder Systemrechte oder ä.
Der Dau-User hat keine Adminrechte..
Natürlich kann ich es mít RunAs machen. Nur wenn ich es mache und der fängt sich irgendwas ein, hat der V gleich die Admin-Credentials und das will ich nicht. Kann man das irgendwie in einer ps / cmd "verstecken", dass man die einmal eingibt und der user sieht nur noch Backup.xyz? Doppelklick und gut, Ohne Abfragen der Credentials.
Gerät anlassen und beim Starten oder runterfahren geht nicht. Geräte anlassen wegen Brandschutz. Die Geräte sind unregelmäßig an, als Time geht auch nicht. Und beim Hochfahren ist auch doof, weil es dann ewig dauert, bis der User arbeiten kann.
mfG
ratzehkahl
ich bräuchte mal eine Idee:
Ich habe ein kleines Backup-Script als Batch:
cd C:\Program Files\Backup\Agent\
echo "Starte Backup" >> backuplog.txt
VV-Backup.exe backup BMSystem /retention=Daily
echo "Backup durchgeführt" >> backuplog.txt
Dummerweise braucht das Skript Admin-Rechte oder Systemrechte oder ä.
Der Dau-User hat keine Adminrechte..
Natürlich kann ich es mít RunAs machen. Nur wenn ich es mache und der fängt sich irgendwas ein, hat der V gleich die Admin-Credentials und das will ich nicht. Kann man das irgendwie in einer ps / cmd "verstecken", dass man die einmal eingibt und der user sieht nur noch Backup.xyz? Doppelklick und gut, Ohne Abfragen der Credentials.
Gerät anlassen und beim Starten oder runterfahren geht nicht. Geräte anlassen wegen Brandschutz. Die Geräte sind unregelmäßig an, als Time geht auch nicht. Und beim Hochfahren ist auch doof, weil es dann ewig dauert, bis der User arbeiten kann.
mfG
ratzehkahl
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672224
Url: https://administrator.de/forum/batch-datei-mit-admin-rechten-ausfuehren-ohne-das-passwort-raus-zu-geben-672224.html
Ausgedruckt am: 31.03.2025 um 10:03 Uhr
27 Kommentare
Neuester Kommentar
du kannst folgendes machen um ein cmd Fenster unsichtbar laufen zu lassen:
Start.bat
Start.vbs
DeinScript.bat
Start.bat
Start.vbs
Dann starte dein script im hintergrund unsichtbar, vbs geht zu und die bat wo das vbs startet geht auch zu.
In dein Script kannst auch noch nen sleep von 10 Minuten einbauen damits nicht direkt nach dem boot startet...
Start.bat
Start.vbs
DeinScript.bat
Start.bat
cscript c:\Sript\start.vbs
Start.vbs
On Error Resume Next
SetLocale("de-de")
Set objShell = WScript.CreateObject("WScript.Shell")
Set objFSO = CreateObject("Scripting.FileSystemObject")
CommandLine = "C:\script\DeinScript.bat"
objShell.run(CommandLine),0,false
Dann starte dein script im hintergrund unsichtbar, vbs geht zu und die bat wo das vbs startet geht auch zu.
In dein Script kannst auch noch nen sleep von 10 Minuten einbauen damits nicht direkt nach dem boot startet...
Backups sollten den Nutzer nicht stören, sprich: bevor die Datenträger-Auslastung auffällt, sollte man diese im Programm drosseln können. Kann dein Programm das nicht?
Wenn nein und es partout als Nutzer gestattet werden soll, nimm meine Lösung von hier:
https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
Damit kannst du beliebige Skripte als Nutzer starten, die Adminrechte brauchen. Voraussetzung ist nur, dass die Skripte automatisch durchlaufen können, ohne Nachfragen.
Wenn nein und es partout als Nutzer gestattet werden soll, nimm meine Lösung von hier:
https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
Damit kannst du beliebige Skripte als Nutzer starten, die Adminrechte brauchen. Voraussetzung ist nur, dass die Skripte automatisch durchlaufen können, ohne Nachfragen.
@ratzekahl1
Hi..
Warum braucht das Adminrechte? - Rein zur Information... ?
Was für ein Backup ist das und von welchem Hersteller.. wenn es KEIN Batch ist ?
Was sichert es ?
.. ansonsten kannst Du Dein System bequem via PS sichern und irgendwo in Deiner Farm ablegen..
.. Vielleicht habe ich auch was falsch verstanden...
Gruss Globe!
Hi..
Warum braucht das Adminrechte? - Rein zur Information... ?
Was für ein Backup ist das und von welchem Hersteller.. wenn es KEIN Batch ist ?
Was sichert es ?
.. ansonsten kannst Du Dein System bequem via PS sichern und irgendwo in Deiner Farm ablegen..
.. Vielleicht habe ich auch was falsch verstanden...
Gruss Globe!
Hi,
Warum startest du dein Programm nicht direkt im Task Scheduler?:
SChau dir doch ein paar der Aufgaben an im Taskscheduler wie das gemacht wird. Dann solltest du das schnell ohne Anleitung hinbekommen.
So wie unten funktioniert es natürlich nur, wenn nicht einzelne Benutzerdaten gesichert werden sondern das System an sich. Wenn Benutzerdaten gesichert werden stellt sich die Frage, warum ein Backup das unter dem User ausgeführt werden soll, administrative Rechte braucht. Wäre ja irgemdwie voller Nonsense.
Warum startest du dein Programm nicht direkt im Task Scheduler?:
VV-Backup.exe backup BMSystem /retention=Daily
SChau dir doch ein paar der Aufgaben an im Taskscheduler wie das gemacht wird. Dann solltest du das schnell ohne Anleitung hinbekommen.
So wie unten funktioniert es natürlich nur, wenn nicht einzelne Benutzerdaten gesichert werden sondern das System an sich. Wenn Benutzerdaten gesichert werden stellt sich die Frage, warum ein Backup das unter dem User ausgeführt werden soll, administrative Rechte braucht. Wäre ja irgemdwie voller Nonsense.
Fehler bleibt
Welcher Fehler?Von Fehlern schriebst du bislang doch noch gar nichts. Auch hast du dir bei deinem Skript, was ja eine undurchsichtige exe nutzt, nicht in die Karten schauen lassen. Helfen ist so nicht möglich. Wenn es an Rechten gelegen hätte, solltest du mit dem Systemkonto mit Gewissheit kein Problem haben.
Info: Mit Nirsoft kann mann CMD verstecken:
https://www.winhelponline.com/blog/run-bat-files-invisibly-without-displ ...
https://www.winhelponline.com/blog/run-bat-files-invisibly-without-displ ...
Mal wieder eine typische Freitagsfrage.
Es fehlen Mal wieder relevante Informationen.
Und auf die Fragen nach dem Backupprogramm wird auch nicht geantwortet.
Gruss Penny.
Es fehlen Mal wieder relevante Informationen.
Und auf die Fragen nach dem Backupprogramm wird auch nicht geantwortet.
Gruss Penny.
Ich kennen das Programm nicht, mir ist das erst mal egal, aber du musst folgendes unterscheiden:
Bitte lass uns doch wissen ob du Benutzerdaten sicherst oder nicht und ob du wo hin sicherst, wo ein Benuzuer eventuell keinen Zugriff hat.
Und schau dir mein Posting oben an bzgl. Aufgabenplanung.
Grüße!
- als SYSTEM ausführen bedeutet als "Benutzer im SYSTEM-Kontext" auszuführen. Alle Pfade usw. Sind dann noch bekannt.
- führst du SYSTEM direkt aus, gibt es kein Benutzerprofil und demnach auch keine bekannten Pfade, außer die, die Windows generell bekannt sind.
- werden Daten gesichert die einem Benutzer gehören? Dann ist es klar, dass es funkt sobald du das Script mit deinem Benutzer ausführst
- muss das Programm ganz sicher als SYSTEM ausgeführt werden?
Bitte lass uns doch wissen ob du Benutzerdaten sicherst oder nicht und ob du wo hin sicherst, wo ein Benuzuer eventuell keinen Zugriff hat.
Und schau dir mein Posting oben an bzgl. Aufgabenplanung.
Grüße!
Bitte lass uns doch wissen ob du Benutzerdaten sicherst oder nicht und ob du wo hin sicherst, wo ein Benuzuer eventuell keinen Zugriff hat.
Wenn's der Cloud Backup Agent ist wird es eine Image Sicherung des Gesamtsystems über VSS sein. Daher die benötigten Admin Rechte.
Trigger geht nicht, aus oben beschriebenen Gründen
Das mit dem "Computer dürfen nicht angelassen werden" finde ich immer noch Quatsch. Sie bleiben ja nicht an. User triggert den Shutdown -> Backup Agent macht das Backup -> Computer geht aus.
Falls das wirklich überhaupt gar nicht gewollt ist, sollte die Methode von @DerWoWusste der richtige Weg sein.
Gruß,
Avoton
Moin,
hier hat mal wieder die Glaskugel zugeschlagen.
Falls ja:
Und wenn das so ist, dann scheint da eher etwas falsch installiert zu sein. Ich kenne das Produkt nicht. Aber nach der Doku ist es ein lokal installierter Agent, zu dem ein Dienst installiert wird, der dann die Verbindung zum Cloudportal aufbaut, von dort eine Config beziehen kann und dahin sichert. Der Dienst läuft unter SYSTEM oder einem eigenen Dienst-Account. Eine Notwendigkeit, den manuell über Doppelklick oder Skript zu starten, besteht nicht. Das wird zentral über das Portal gesteuert. Dann entfallen alle Deine Probleme.
Wenn doch skriptbasiert: dann hier, wie im Wiki beschrieben, vorgehen: wiki.terracloud.de/index.php/Backup#Agent_Skripting. Idealerweise in der Variante mit den von Agent aufgerufenen Powershell-Skripten, also wiederum kein manuelles Starten.
Und wenn es doch Dein Vorgehen sein soll: überprüfe die Installation, v.a. ob der Agent sauber installiert ist. Der Account, unter dem er läuft, benötigt:
The account for running Agent services must:
• belong to the Backup Operators group
• have the “Log on as a service” right
• have the “Replace a process level token” right
To back up files and folders locally, the account must have read/write access to files and
folders on the system.
To back up files and folders in UNC locations, the account must have read/write permissions
to the UNC locations, including security streams. Security streams might not work in some
places unless the account is an Admin equivalent.
If you are using Encrypting File System (EFS), additional permissions are required. After
installing the Agent, you must change local security settings or the default domain policy. The
service account must have the “Act as part of the operating system” right and the “Log on as
a service” right. If the service account does not have the correct permissions, the service is
denied access. ACLs for all subsequent files might not be backed up and error messages might
appear in the log.
Note: When you install, modify, repair or upgrade an Agent, the Agent installation kit sets or
resets permissions on the Agent folder and all child items to full access for the Administrators
and Backup Operators groups. Using the Modify option, the user can install Agent services
under a local system account or another account that is created manually or automatically.
For non-local system accounts, the created account is modified to be part of the
Administrators group. If a user requires access to Agent services, the user should be included
in the Administrators or Backup Operators group.
Die Dokumentation erklärt auch, welche Rechte im Dateisystem für den Installationsordner gesetzt werden und vorhanden sein müssen.
Und zur Konfiguration:
einfach beim Herunterfahren aktivieren, siehe wiki.terracloud.de/index.php/Backup#Zeitplan.
Selbst bei Unseranmeldung ist das möglich, denn natürlich unterstützt das System Bandwith Trottling (Manual, Kapitel 4.4), so dass ein Weiterarbeiten in den allermeisten Fällen ganz problemlos möglich ist.
Gruß
DivideByZero
hier hat mal wieder die Glaskugel zugeschlagen.
Welches Backup-Programm ist doch erstmal irrelevant. Ob das Programm nun Bingo, Otto oder sonstwie heißt, ist doch nebensächlich. Um das Ganze nicht zu verwirren, hatte ich mich aufs wesentliche beschränkt.
Das siehst Du so, die, die helfen wollen/sollen, sehen das anders. Und Du siehst das auch falsch.Ein Programm, gut es ist der Terra Cloud Backup Agent, läuft als Admin/System problemlos durch. Als
Jetzt mal ans Eingemachte: ist das das Wortmann Programm TERRA Cloud Backup mit deren Agent?Falls ja:
- Wiki unter wiki.terracloud.de/index.php/Backup
- Manual Agent unter drive.terracloud.de/getlink/fiLpZboTGRPeqzW1cqwS6yin
Und wenn das so ist, dann scheint da eher etwas falsch installiert zu sein. Ich kenne das Produkt nicht. Aber nach der Doku ist es ein lokal installierter Agent, zu dem ein Dienst installiert wird, der dann die Verbindung zum Cloudportal aufbaut, von dort eine Config beziehen kann und dahin sichert. Der Dienst läuft unter SYSTEM oder einem eigenen Dienst-Account. Eine Notwendigkeit, den manuell über Doppelklick oder Skript zu starten, besteht nicht. Das wird zentral über das Portal gesteuert. Dann entfallen alle Deine Probleme.
Wenn doch skriptbasiert: dann hier, wie im Wiki beschrieben, vorgehen: wiki.terracloud.de/index.php/Backup#Agent_Skripting. Idealerweise in der Variante mit den von Agent aufgerufenen Powershell-Skripten, also wiederum kein manuelles Starten.
Und wenn es doch Dein Vorgehen sein soll: überprüfe die Installation, v.a. ob der Agent sauber installiert ist. Der Account, unter dem er läuft, benötigt:
The account for running Agent services must:
• belong to the Backup Operators group
• have the “Log on as a service” right
• have the “Replace a process level token” right
To back up files and folders locally, the account must have read/write access to files and
folders on the system.
To back up files and folders in UNC locations, the account must have read/write permissions
to the UNC locations, including security streams. Security streams might not work in some
places unless the account is an Admin equivalent.
If you are using Encrypting File System (EFS), additional permissions are required. After
installing the Agent, you must change local security settings or the default domain policy. The
service account must have the “Act as part of the operating system” right and the “Log on as
a service” right. If the service account does not have the correct permissions, the service is
denied access. ACLs for all subsequent files might not be backed up and error messages might
appear in the log.
Note: When you install, modify, repair or upgrade an Agent, the Agent installation kit sets or
resets permissions on the Agent folder and all child items to full access for the Administrators
and Backup Operators groups. Using the Modify option, the user can install Agent services
under a local system account or another account that is created manually or automatically.
For non-local system accounts, the created account is modified to be part of the
Administrators group. If a user requires access to Agent services, the user should be included
in the Administrators or Backup Operators group.
Die Dokumentation erklärt auch, welche Rechte im Dateisystem für den Installationsordner gesetzt werden und vorhanden sein müssen.
Ich suche eigentlich eine Möglichkeit ein Programm mit Admin-Rechten auszustatten, ohne das der User es jedesmal eingeben muss. Also einmal einrichten, Credentials werden gespeichert. Der normale eingeschränkte user braucht nur einen Doppelklick machen und das Programm läuft.
Das ist doch gar nicht notwendig, einfach den Agent so konfigurieren, dass die Backups automatisch laufen.Und es scheint, dass da irgendwelche Berechtigungen oä fehlen.
Ggf. einfach mal den Agent komplett runterschmeißen und gemäß Dokumentation sauber neu installieren und fernkonfigurieren.Und zur Konfiguration:
einfach beim Herunterfahren aktivieren, siehe wiki.terracloud.de/index.php/Backup#Zeitplan.
Selbst bei Unseranmeldung ist das möglich, denn natürlich unterstützt das System Bandwith Trottling (Manual, Kapitel 4.4), so dass ein Weiterarbeiten in den allermeisten Fällen ganz problemlos möglich ist.
Gruß
DivideByZero
Das ist doch gar nicht notwendig, einfach den Agent so konfigurieren, dass die Backups automatisch laufen.
Automatisch geht laut seiner Aussage ja nicht, weil die Systeme so unregelmäßig an sind.
Ich würde, wie schon beschrieben, auch den Trigger beim Start oder Herunterfahren nehmen. Das kann der Agent sogar ohne Aufgabenplanung selbst.
Gruß,
Avoton
Moin,
+1 für den Trigger: beim Herunterfahren laufen lassen.
Wenn es sich allerdings um Laptops handelt, die die User mitnehmen, wird auch das spannend. Die wollen dann mitunter keine 1h warten, bis das Backup durch ist.
Zitat von @DivideByZero:
Trigger-gestützt ist für mich auch automatisch im Gegensatz zu "User klickt auf Icon".
Sehe ich auch so. Zudem „vergessen“ User solche Aktionen gerne mal und beschweren sich bei einem Vorfall dan, warum das letzte Backup vor 4 Monaten erstellt wurde.Trigger-gestützt ist für mich auch automatisch im Gegensatz zu "User klickt auf Icon".
+1 für den Trigger: beim Herunterfahren laufen lassen.
Wenn es sich allerdings um Laptops handelt, die die User mitnehmen, wird auch das spannend. Die wollen dann mitunter keine 1h warten, bis das Backup durch ist.
Dieses Tool ist alt, aber oft für solche Fälle super:
https://robotronic.net/runasrobde.html
--> Man kann Zugangsdaten für den Aufruf eines Programms in eine Cryp-Datei packen, die dann auch nur für dieses Programm funktionieren.
https://robotronic.net/runasrobde.html
--> Man kann Zugangsdaten für den Aufruf eines Programms in eine Cryp-Datei packen, die dann auch nur für dieses Programm funktionieren.
Zitat von @ratzekahl1:
@ThePinky777
Dann fragt der 1x nach den Credentials und startet das Scrippt dann generell mit Admin-Rechten?
Irgendwo gab es was mit Securestring. Das wäre uu auch eine Option.
In der Batch steht dann halt sowas wie
@ThePinky777
Dann fragt der 1x nach den Credentials und startet das Scrippt dann generell mit Admin-Rechten?
Irgendwo gab es was mit Securestring. Das wäre uu auch eine Option.
In der Batch steht dann halt sowas wie
runas /noprofile /hvahsvfajvaajksvfv /savecred script.bat
also scripte mit adminrechte starten von user kontext aus ist per scripting eigentlich immer zum scheitern verurteilt.
Dazu braucht man wenn kompilierte selbstgeschriebene .exe (mit XOR Funktion) und selbst das kann geknackt werden.
Das liegt einfach daran das im script das Passwort zu einem bestimmten punkt übermittelt werden muss, und es ist in einer variablen gespeichert dann, ein Böser Hacker kann dann einfach die Variable an entsprechender stelle ausgeben und hat das PW.
Man kann dann vielleicht noch was tricksten mit Verezeichnisrechten usw... aber sicher ist alles nicht.
Daher bleiben nur standard lösungen Aufgaben Planer.
Oder GPO.
Ob du nun mit meiner Methode das beim Start des PCs ausführen lässt, mit nem Sleep Timer, und dann wartet das script einfach im hintergrund oder ob du mehr einfallsreichtum einbaust:
- Sleep im Hintergrund und checke IDLE Time, wenn grösser X Minuten dann starte Backup.
- Oder warte bis 12 Uhr weil dann der User eh immer in Pause geht.
Oder was dir halt spass macht.
Die Aufgabensteuerung von werwusste, läuft grundsätzlich. Muss es nur noch mit dem Icon hinkriegen, dass der User wirklich nur klicken muss.
Ach, auf einmal läuft das? Und das schreibst Du dann so beiläufig ein paar Tage später später.Nun gut, dann hast Du eine Lösung. Was Du mit dem Icon für Probleme hast, kannst Du ja bei Zeiten erläutern.