ratzekahl1
Goto Top

Batch-Datei mit Admin-Rechten ausführen ohne das Passwort raus zu geben

Guten Tag,
ich bräuchte mal eine Idee:
Ich habe ein kleines Backup-Script als Batch:

cd C:\Program Files\Backup\Agent\
echo "Starte Backup" >> backuplog.txt  
VV-Backup.exe backup BMSystem /retention=Daily 
echo "Backup durchgeführt" >> backuplog.txt  

Dummerweise braucht das Skript Admin-Rechte oder Systemrechte oder ä.
Der Dau-User hat keine Adminrechte..

Natürlich kann ich es mít RunAs machen. Nur wenn ich es mache und der fängt sich irgendwas ein, hat der V gleich die Admin-Credentials und das will ich nicht. Kann man das irgendwie in einer ps / cmd "verstecken", dass man die einmal eingibt und der user sieht nur noch Backup.xyz? Doppelklick und gut, Ohne Abfragen der Credentials.

Gerät anlassen und beim Starten oder runterfahren geht nicht. Geräte anlassen wegen Brandschutz. Die Geräte sind unregelmäßig an, als Time geht auch nicht. Und beim Hochfahren ist auch doof, weil es dann ewig dauert, bis der User arbeiten kann.

mfG
ratzehkahl

Content-ID: 672224

Url: https://administrator.de/forum/batch-datei-mit-admin-rechten-ausfuehren-ohne-das-passwort-raus-zu-geben-672224.html

Ausgedruckt am: 31.03.2025 um 10:03 Uhr

Avoton
Avoton 28.03.2025 um 16:46:50 Uhr
Goto Top
Moin,

Über den Aufgabenplaner als SYSTEM starten und als Trigger das Herunterfahren des Systems nehmen.

Gruß,
Avoton
ThePinky777
ThePinky777 28.03.2025 aktualisiert um 16:51:06 Uhr
Goto Top
du kannst folgendes machen um ein cmd Fenster unsichtbar laufen zu lassen:

Start.bat
Start.vbs
DeinScript.bat

Start.bat

cscript c:\Sript\start.vbs

Start.vbs

On Error Resume Next
SetLocale("de-de")  

Set objShell = WScript.CreateObject("WScript.Shell")   
Set objFSO = CreateObject("Scripting.FileSystemObject")  

CommandLine = "C:\script\DeinScript.bat"  
objShell.run(CommandLine),0,false
 

Dann starte dein script im hintergrund unsichtbar, vbs geht zu und die bat wo das vbs startet geht auch zu.
In dein Script kannst auch noch nen sleep von 10 Minuten einbauen damits nicht direkt nach dem boot startet...
ratzekahl1
ratzekahl1 28.03.2025 aktualisiert um 17:09:21 Uhr
Goto Top
Hallo,
hups das war schnell.
@Avoton
Der Trigger geht wie geschrieben nicht.

@ThePinky777
Dann fragt der 1x nach den Credentials und startet das Scrippt dann generell mit Admin-Rechten?
Irgendwo gab es was mit Securestring. Das wäre uu auch eine Option.
In der Batch steht dann halt sowas wie
runas /noprofile /hvahsvfajvaajksvfv /savecred script.bat

Dann habe ich einmal die EIngabe, das geht und dann nie wieder...
Gruß
ratzekahl
DerWoWusste
DerWoWusste 28.03.2025 aktualisiert um 17:13:04 Uhr
Goto Top
Backups sollten den Nutzer nicht stören, sprich: bevor die Datenträger-Auslastung auffällt, sollte man diese im Programm drosseln können. Kann dein Programm das nicht?

Wenn nein und es partout als Nutzer gestattet werden soll, nimm meine Lösung von hier:
https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
Damit kannst du beliebige Skripte als Nutzer starten, die Adminrechte brauchen. Voraussetzung ist nur, dass die Skripte automatisch durchlaufen können, ohne Nachfragen.
ratzekahl1
ratzekahl1 28.03.2025 um 17:30:05 Uhr
Goto Top
@DerWoWusste: Klingt interessant, Fehler bleibt. Irgendwo muss der noch mehr Rechte haben, wenn der sich als Admin anmeldet...
Habe es als system und als lokaler Admin ausführen probiert. Haken mit Höchsten Privilegien ist drin...
Globetrotter
Globetrotter 28.03.2025 um 17:52:37 Uhr
Goto Top
@ratzekahl1
Hi..
Warum braucht das Adminrechte? - Rein zur Information... ?
Was für ein Backup ist das und von welchem Hersteller.. wenn es KEIN Batch ist ?
Was sichert es ?
.. ansonsten kannst Du Dein System bequem via PS sichern und irgendwo in Deiner Farm ablegen..
.. Vielleicht habe ich auch was falsch verstanden...

Gruss Globe!
mayho33
mayho33 28.03.2025 aktualisiert um 20:16:40 Uhr
Goto Top
Hi,

Warum startest du dein Programm nicht direkt im Task Scheduler?:
VV-Backup.exe backup BMSystem /retention=Daily

SChau dir doch ein paar der Aufgaben an im Taskscheduler wie das gemacht wird. Dann solltest du das schnell ohne Anleitung hinbekommen.

So wie unten funktioniert es natürlich nur, wenn nicht einzelne Benutzerdaten gesichert werden sondern das System an sich. Wenn Benutzerdaten gesichert werden stellt sich die Frage, warum ein Backup das unter dem User ausgeführt werden soll, administrative Rechte braucht. Wäre ja irgemdwie voller Nonsense.

allgemein
trigger
aktion
bedingung
einstellung
DerWoWusste
DerWoWusste 28.03.2025 um 22:27:17 Uhr
Goto Top
Fehler bleibt
Welcher Fehler?
Von Fehlern schriebst du bislang doch noch gar nichts. Auch hast du dir bei deinem Skript, was ja eine undurchsichtige exe nutzt, nicht in die Karten schauen lassen. Helfen ist so nicht möglich. Wenn es an Rechten gelegen hätte, solltest du mit dem Systemkonto mit Gewissheit kein Problem haben.
ManuManu2021
ManuManu2021 29.03.2025 um 07:48:52 Uhr
Goto Top
DerWoWusste
DerWoWusste 29.03.2025 um 08:22:16 Uhr
Goto Top
Verstecken ist in keiner Art sicher vor Missbrauch. Das Thema gab es doch schon zur Genüge um das gesichert sagen zu können.
Penny.Cilin
Penny.Cilin 29.03.2025 um 08:22:19 Uhr
Goto Top
Mal wieder eine typische Freitagsfrage.
Es fehlen Mal wieder relevante Informationen.

Und auf die Fragen nach dem Backupprogramm wird auch nicht geantwortet.

Gruss Penny.
ratzekahl1
ratzekahl1 29.03.2025 um 09:33:08 Uhr
Goto Top
Guten Morgen,
erstmal vielen Dank für die zahlreichen Anregungen.

Welches Backup-Programm ist doch erstmal irrelevant. Ob das Programm nun Bingo, Otto oder sonstwie heißt, ist doch nebensächlich. Um das Ganze nicht zu verwirren, hatte ich mich aufs wesentliche beschränkt.

Ein Programm, gut es ist der Terra Cloud Backup Agent, läuft als Admin/System problemlos durch. Als normaler User nicht. Trigger geht nicht, aus oben beschriebenen Gründen. Admin Rechte für den User ist auch nicht gut.
Ich suche eigentlich eine Möglichkeit ein Programm mit Admin-Rechten auszustatten, ohne das der User es jedesmal eingeben muss. Also einmal einrichten, Credentials werden gespeichert. Der normale eingeschränkte user braucht nur einen Doppelklick machen und das Programm läuft.

Und es scheint, dass da irgendwelche Berechtigungen oä fehlen. Die Aufgabe wird als Admin erstellt. Doppelklick und läuft (Anmeldung als Admin). Anmeldung als normaler User Doppelklick Zugriff verweigert.
Gruß ratzekahl
mayho33
mayho33 29.03.2025 aktualisiert um 09:54:26 Uhr
Goto Top
Ich kennen das Programm nicht, mir ist das erst mal egal, aber du musst folgendes unterscheiden:

  • als SYSTEM ausführen bedeutet als "Benutzer im SYSTEM-Kontext" auszuführen. Alle Pfade usw. Sind dann noch bekannt.
  • führst du SYSTEM direkt aus, gibt es kein Benutzerprofil und demnach auch keine bekannten Pfade, außer die, die Windows generell bekannt sind.
  • werden Daten gesichert die einem Benutzer gehören? Dann ist es klar, dass es funkt sobald du das Script mit deinem Benutzer ausführst
  • muss das Programm ganz sicher als SYSTEM ausgeführt werden?

Bitte lass uns doch wissen ob du Benutzerdaten sicherst oder nicht und ob du wo hin sicherst, wo ein Benuzuer eventuell keinen Zugriff hat.

Und schau dir mein Posting oben an bzgl. Aufgabenplanung.

Grüße!
ratzekahl1
ratzekahl1 29.03.2025 um 13:17:26 Uhr
Goto Top
Es ist eine Bmr Sicherung. Also alle Daten.
Avoton
Avoton 29.03.2025 um 14:35:18 Uhr
Goto Top
Bitte lass uns doch wissen ob du Benutzerdaten sicherst oder nicht und ob du wo hin sicherst, wo ein Benuzuer eventuell keinen Zugriff hat.

Wenn's der Cloud Backup Agent ist wird es eine Image Sicherung des Gesamtsystems über VSS sein. Daher die benötigten Admin Rechte.

Trigger geht nicht, aus oben beschriebenen Gründen

Das mit dem "Computer dürfen nicht angelassen werden" finde ich immer noch Quatsch. Sie bleiben ja nicht an. User triggert den Shutdown -> Backup Agent macht das Backup -> Computer geht aus.

Falls das wirklich überhaupt gar nicht gewollt ist, sollte die Methode von @DerWoWusste der richtige Weg sein.

Gruß,
Avoton
DivideByZero
DivideByZero 29.03.2025 aktualisiert um 15:14:10 Uhr
Goto Top
Moin,

hier hat mal wieder die Glaskugel zugeschlagen.

Welches Backup-Programm ist doch erstmal irrelevant. Ob das Programm nun Bingo, Otto oder sonstwie heißt, ist doch nebensächlich. Um das Ganze nicht zu verwirren, hatte ich mich aufs wesentliche beschränkt.
Das siehst Du so, die, die helfen wollen/sollen, sehen das anders. Und Du siehst das auch falsch.

Ein Programm, gut es ist der Terra Cloud Backup Agent, läuft als Admin/System problemlos durch. Als
Jetzt mal ans Eingemachte: ist das das Wortmann Programm TERRA Cloud Backup mit deren Agent?
Falls ja:

Und wenn das so ist, dann scheint da eher etwas falsch installiert zu sein. Ich kenne das Produkt nicht. Aber nach der Doku ist es ein lokal installierter Agent, zu dem ein Dienst installiert wird, der dann die Verbindung zum Cloudportal aufbaut, von dort eine Config beziehen kann und dahin sichert. Der Dienst läuft unter SYSTEM oder einem eigenen Dienst-Account. Eine Notwendigkeit, den manuell über Doppelklick oder Skript zu starten, besteht nicht. Das wird zentral über das Portal gesteuert. Dann entfallen alle Deine Probleme.

Wenn doch skriptbasiert: dann hier, wie im Wiki beschrieben, vorgehen: wiki.terracloud.de/index.php/Backup#Agent_Skripting. Idealerweise in der Variante mit den von Agent aufgerufenen Powershell-Skripten, also wiederum kein manuelles Starten.

Und wenn es doch Dein Vorgehen sein soll: überprüfe die Installation, v.a. ob der Agent sauber installiert ist. Der Account, unter dem er läuft, benötigt:

The account for running Agent services must:
• belong to the Backup Operators group
• have the “Log on as a service” right
• have the “Replace a process level token” right
To back up files and folders locally, the account must have read/write access to files and
folders on the system.
To back up files and folders in UNC locations, the account must have read/write permissions
to the UNC locations, including security streams. Security streams might not work in some
places unless the account is an Admin equivalent.
If you are using Encrypting File System (EFS), additional permissions are required. After
installing the Agent, you must change local security settings or the default domain policy. The
service account must have the “Act as part of the operating system” right and the “Log on as
a service” right. If the service account does not have the correct permissions, the service is
denied access. ACLs for all subsequent files might not be backed up and error messages might
appear in the log.
Note: When you install, modify, repair or upgrade an Agent, the Agent installation kit sets or
resets permissions on the Agent folder and all child items to full access for the Administrators
and Backup Operators groups. Using the Modify option, the user can install Agent services
under a local system account or another account that is created manually or automatically.
For non-local system accounts, the created account is modified to be part of the
Administrators group. If a user requires access to Agent services, the user should be included
in the Administrators or Backup Operators group.


Die Dokumentation erklärt auch, welche Rechte im Dateisystem für den Installationsordner gesetzt werden und vorhanden sein müssen.

Ich suche eigentlich eine Möglichkeit ein Programm mit Admin-Rechten auszustatten, ohne das der User es jedesmal eingeben muss. Also einmal einrichten, Credentials werden gespeichert. Der normale eingeschränkte user braucht nur einen Doppelklick machen und das Programm läuft.
Das ist doch gar nicht notwendig, einfach den Agent so konfigurieren, dass die Backups automatisch laufen.

Und es scheint, dass da irgendwelche Berechtigungen oä fehlen.
Ggf. einfach mal den Agent komplett runterschmeißen und gemäß Dokumentation sauber neu installieren und fernkonfigurieren.

Und zur Konfiguration:
einfach beim Herunterfahren aktivieren, siehe wiki.terracloud.de/index.php/Backup#Zeitplan.
Selbst bei Unseranmeldung ist das möglich, denn natürlich unterstützt das System Bandwith Trottling (Manual, Kapitel 4.4), so dass ein Weiterarbeiten in den allermeisten Fällen ganz problemlos möglich ist.

Gruß

DivideByZero
Avoton
Avoton 29.03.2025 um 16:38:00 Uhr
Goto Top
Das ist doch gar nicht notwendig, einfach den Agent so konfigurieren, dass die Backups automatisch laufen.

Automatisch geht laut seiner Aussage ja nicht, weil die Systeme so unregelmäßig an sind.
Ich würde, wie schon beschrieben, auch den Trigger beim Start oder Herunterfahren nehmen. Das kann der Agent sogar ohne Aufgabenplanung selbst.

Gruß,
Avoton
DivideByZero
DivideByZero 29.03.2025 um 17:10:15 Uhr
Goto Top
Trigger-gestützt ist für mich auch automatisch im Gegensatz zu "User klickt auf Icon".
em-pie
em-pie 29.03.2025 um 19:28:57 Uhr
Goto Top
Moin,
Zitat von @DivideByZero:

Trigger-gestützt ist für mich auch automatisch im Gegensatz zu "User klickt auf Icon".
Sehe ich auch so. Zudem „vergessen“ User solche Aktionen gerne mal und beschweren sich bei einem Vorfall dan, warum das letzte Backup vor 4 Monaten erstellt wurde.


+1 für den Trigger: beim Herunterfahren laufen lassen.
Wenn es sich allerdings um Laptops handelt, die die User mitnehmen, wird auch das spannend. Die wollen dann mitunter keine 1h warten, bis das Backup durch ist.
Avoton
Avoton 30.03.2025 um 08:49:27 Uhr
Goto Top
Die wollen dann mitunter keine 1h warten, bis das Backup durch ist.

Wenn die Backups täglich laufen und es normale Arbeitsplätze sind dauert das ein paar Minuten, da die BMR Sicherungen beim Terra Cloud Backup nur geänderte Blöcke sichern.

Gruß,
Avoton
Der-Phil
Der-Phil 31.03.2025 um 07:35:11 Uhr
Goto Top
Dieses Tool ist alt, aber oft für solche Fälle super:
https://robotronic.net/runasrobde.html

--> Man kann Zugangsdaten für den Aufruf eines Programms in eine Cryp-Datei packen, die dann auch nur für dieses Programm funktionieren.
ThePinky777
ThePinky777 31.03.2025 aktualisiert um 08:56:27 Uhr
Goto Top
Zitat von @ratzekahl1:

@ThePinky777
Dann fragt der 1x nach den Credentials und startet das Scrippt dann generell mit Admin-Rechten?
Irgendwo gab es was mit Securestring. Das wäre uu auch eine Option.
In der Batch steht dann halt sowas wie
runas /noprofile /hvahsvfajvaajksvfv /savecred script.bat


also scripte mit adminrechte starten von user kontext aus ist per scripting eigentlich immer zum scheitern verurteilt.
Dazu braucht man wenn kompilierte selbstgeschriebene .exe (mit XOR Funktion) und selbst das kann geknackt werden.
Das liegt einfach daran das im script das Passwort zu einem bestimmten punkt übermittelt werden muss, und es ist in einer variablen gespeichert dann, ein Böser Hacker kann dann einfach die Variable an entsprechender stelle ausgeben und hat das PW.
Man kann dann vielleicht noch was tricksten mit Verezeichnisrechten usw... aber sicher ist alles nicht.

Daher bleiben nur standard lösungen Aufgaben Planer.
Oder GPO.

Ob du nun mit meiner Methode das beim Start des PCs ausführen lässt, mit nem Sleep Timer, und dann wartet das script einfach im hintergrund oder ob du mehr einfallsreichtum einbaust:

- Sleep im Hintergrund und checke IDLE Time, wenn grösser X Minuten dann starte Backup.
- Oder warte bis 12 Uhr weil dann der User eh immer in Pause geht.
Oder was dir halt spass macht.
ratzekahl1
ratzekahl1 31.03.2025 um 09:43:10 Uhr
Goto Top
@devidebyzero
Danke für die Ausführungen. Das weiß ich alles. Das Backup läuft automatisch problemlos durch.
Aber es geht halt nicht. Das Scipt habe ich durch. Deswegen habe ich nachgefragt. Das funktioniert so nicht.

Computer anlassen, ob das Quatsch ist oder nicht, ist egal. Anweisung vom Kunden. Backup starten, Rechner runterfahren und Büro abschließen, heißt für mich Compuer wird unbeaufsichtigt laufen gelassen.

Timer geht nicht, weil die User keine regelmäßigen Pausen haben und keine regelmäßigen Nutzungszeiten. Und es dauert länger als ein paar Minuten.

---
Ob und warum und wieso ist nicht die Frage gewesen. Auch keine philosofische Frage. Das sind die Vorgaben. Ich habe ein Tool, welches mit Admin-Rechten gestartet werden soll. Meine Frage war, ob ich dem Tool irgendwie Adminrechte mitgeben kann ohne den User das Passwort zu geben oder dem User Adminrechte zu geben. Genau, weil öfters solche Diskussionen aufkommen, hatte ich den Programmanmen erstmal nicht genannt. Ich frage nach Hilfe, ja. Aber nicht um eine Diskussion zu entfachen, ob das so und so nicht besser ist.

Ob der user dann klickt oder oder nicht, ist sein Problem, er wll es so.

Wenn ich auf der Straße frage, wie komme ich am besten nach Hamburg, möchte ich einen Tipp haben, wie ich nach Hamburg komme und nicht, fahr lieber nach Köln, ist viel shöner und viel näher. ;)

Eine Idee war noch einen User einzurichten, der minimale Rechte hat. Also was weiß ich Backup-User. Der hat dann nur rw-Zugriff auf dieses Programm und r auf den Rest.

Die Aufgabensteuerung von werwusste, läuft grundsätzlich. Muss es nur noch mit dem Icon hinkriegen, dass der User wirklich nur klicken muss.

Gruß
ratzekahl.
em-pie
em-pie 31.03.2025 um 09:52:47 Uhr
Goto Top
Was spricht denn dagegen, dass der Rechner beim Herunterfahren automatisch gesichert wird?

Entweder als GPO in den Start/Stop-Scripten hinterlegen oder als geplante Aufgabe, User „System“ und Trigger „beim Herunterfahren“!
Penny.Cilin
Penny.Cilin 31.03.2025 um 10:06:24 Uhr
Goto Top
Wenn ich das richtig verstanden habe, will er da? doch nicht. Obwohl die geeignete methode wäre.
DerWoWusste
DerWoWusste 31.03.2025 um 11:15:50 Uhr
Goto Top
Die Aufgabensteuerung von werwusste, läuft grundsätzlich. Muss es nur noch mit dem Icon hinkriegen, dass der User wirklich nur klicken muss.
Ach, auf einmal läuft das? Und das schreibst Du dann so beiläufig ein paar Tage später später.
Nun gut, dann hast Du eine Lösung. Was Du mit dem Icon für Probleme hast, kannst Du ja bei Zeiten erläutern.
ratzekahl1
ratzekahl1 31.03.2025 um 11:53:38 Uhr
Goto Top
@DerWoWusste. Missverständnis. Es läuft, wenn ich die Aufgabenplanung als Administrator starte. Nicht, als normaler User. => Zugriff verweigert.