mrlabel
Goto Top

Programm mittels batch oder cmd als Administrator öffen

Hallo,

ich möchte ein Programm als Administrator öffnen (lokaler admin = Ladmin).
Wie kann ich das umsetzen mittels cmd oder batch? Ich möchte nicht, dass man in der batch das Passwort einsehen kann.

Oder gibt es noch andere Möglichkeiten?
Grüße

Content-ID: 610335

Url: https://administrator.de/forum/programm-mittels-batch-oder-cmd-als-administrator-oeffen-610335.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

DerWoWusste
DerWoWusste 05.10.2020 um 15:24:33 Uhr
Goto Top
Hi.

Eine Frage: warum möchstest Du das per Skript und nicht interaktiv machen? Wenn ich wüsste warum, könnte ich dir bestimmt helfen.
MrLabel
MrLabel 05.10.2020 um 15:28:04 Uhr
Goto Top
Es ist eigentlich egal wie...
Habe nur das Problem, dass ich eine Aplikation habe die irgendwie nur als Admin geöffnet werden kann.
Meine Domänenbenutzer sind das natürlich nicht.
Inf1d3l
Inf1d3l 05.10.2020 aktualisiert um 15:38:56 Uhr
Goto Top
Häufig fehlen nur irgendwelche Berechtigungen auf:

C:\Programme\Programmname
C:\ProgramData\Programmname

Auch in der Registry unter Local Machine \ Software gucken.

Schon gecheckt?
DerWoWusste
DerWoWusste 05.10.2020 um 15:41:41 Uhr
Goto Top
Wenn's egal ist, warum dann nicht per Rechtsklick - "als Administrator ausführen"?
Xerebus
Xerebus 05.10.2020 aktualisiert um 15:49:07 Uhr
Goto Top
Es wäre auch nützlich das Programm zu erfahren.
Vielleicht hatte schon einer das Problem hier.
Mit ner Batch ohne das man das PW sieht wirds nicht gehen.
Notfalls in der Aufgabenplanung starten.
MrLabel
MrLabel 05.10.2020 um 15:52:05 Uhr
Goto Top
Weil die Benutzer dann ein Admin Konto plus Passwort brauchen.
DerWoWusste
DerWoWusste 05.10.2020 um 15:52:06 Uhr
Goto Top
Bei näherem Hinsehen: Du schreibst von "deinen Domänenbenutzen", also möchtest Du etwas bei denen, für diese starten.
Sichtbar (interaktiv) geht das nicht in sicherer Weise. Du wirst keinen Weg finden, der kein Ausbrechen aus einem so gestarteten Programm ermöglicht (mit externen Programmen wie beyond trust's Powerbroker geht das!).
Lass also das Suchen besser sein und frage dich, warum das Programm denn laufen muss und was daran Aminrechte erfordert und warum es vom Nutzer bedienbar sein muss.
MrLabel
MrLabel 05.10.2020 um 15:52:24 Uhr
Goto Top
Das Programm wird keiner kennen
mbehrens
mbehrens 05.10.2020 um 15:52:24 Uhr
Goto Top
Zitat von @DerWoWusste:

Wenn's egal ist, warum dann nicht per Rechtsklick - "als Administrator ausführen"?

Oder gleich zum lokalen Admin machen face-wink
mbehrens
mbehrens 05.10.2020 um 15:57:55 Uhr
Goto Top
Zitat von @MrLabel:

Weil die Benutzer dann ein Admin Konto plus Passwort brauchen.

Irgendein Konto mit erhöhten Rechten und passendem Kennwort brauch der Benutzer schon um eine elevated shell zu starten. Und dies will man bestimmt nicht fest im Programmaufruf hinterlegen.
TK1987
TK1987 05.10.2020 aktualisiert um 16:40:13 Uhr
Goto Top
Moin,

Zitat von @MrLabel:
Das Programm wird keiner kennen
warum dann die Geheimniskrämerei?!

Schon mal mit dem Lösungsvorschlag von @luci0815 versucht?!

Viele Programme benötigen einfach nur Adminrechte, weil sie Konfigurationsdateien im Programmverzeichnis anlegen/ändern (statt in Appdata, wie es vernünftige Programme tun).
Da der normale Benutzer hier per default aber keine Schreibrechte hat, können diese Dateien dann nicht angelegt werden und das Programm funktioniert nur als Admin - dem Benutzer Schreibrechte für das Programmverzeichnis zu gewähren löst daher oft das Problem.

Gruß Thomas
mbehrens
mbehrens 05.10.2020 um 17:39:48 Uhr
Goto Top
Zitat von @TK1987:

Zitat von @MrLabel:
Das Programm wird keiner kennen
warum dann die Geheimniskrämerei?!

Schon mal mit dem Lösungsvorschlag von @luci0815 versucht?!

Viele Programme benötigen einfach nur Adminrechte, weil sie Konfigurationsdateien im Programmverzeichnis anlegen/ändern (statt in Appdata, wie es vernünftige Programme tun).
Da der normale Benutzer hier per default aber keine Schreibrechte hat, können diese Dateien dann nicht angelegt werden und das Programm funktioniert nur als Admin - dem Benutzer Schreibrechte für das Programmverzeichnis zu gewähren löst daher oft das Problem.

Für so schlechte Software ist eigentlich Folder Virtualization vorgesehen.
TomTomBon
TomTomBon 05.10.2020 um 23:12:35 Uhr
Goto Top
Moin Moin,

Das ist wirklich ein wichtiger Punkt.
Herausfinden WARUM benötigt das Tool Admin Rechte.
Denn dann kann man anpassend die entsprechenden Rechte verteilen.
Und wenn es "nur" Schreibrechte in einem geschützten Ordner sind kann man dies protokollieren und entsprechend einstellen.

Aber es gibt auch für Notfälle Hammer.
Ich hatte mal ein Programm das hat unter anderem zum Support von Anlagen u.a. die IP und auch Zeit des Systems geändert.
Wir haben keine andere Lösung gefunden als Admin Rechte.
Was der Techniker nicht haben sollte face-wink

Deswegen wurde https://runasrob.com/ angeschafft.
Damit kann man "verschlüsselte" Container erstellen von einer Verknüpfung mit einen Benutzer der etwas ausführt.
Und was für Rechte hat muss man separat einstellen.
Schlecht formuliert.
Vielleicht besser:
Ich habe Benutzer ADM. Der darf im System (es geht auch für die Domäne!) etwas machen was kein anderer Benutzer machen darf.
Nur darf NICHT jeder ADM benutzen.
Aber diese spezielle Sache die ADM darf SOLLEN sie machen.
Mit runasrob erstelle Ich einen Container der den Account mitsamt PW verschlüsselt und die gewünschte Sache aufruft.
Und solange das Gewünscht skriptbar ist kann es aufgerufen werden face-smile

Mein Senf
DerWoWusste
DerWoWusste 06.10.2020 um 07:04:27 Uhr
Goto Top
runasrob hilft nicht gegen Ausbrüche aus dem so mit Adminrechten gestarteten Programm. Unsicher!
TomTomBon
TomTomBon 06.10.2020 um 08:21:24 Uhr
Goto Top
Moin,

Ja, Ich kann, wenn es das Programm hergibt, andere Daten mit diesen Rechten starten.
Aber mir ist kein Weg bekannt wie man das aushebeln kann, das ein Programm anderes mit den eigenen Rechten startet.

Das System so einschränken das es nur Programme aus program files starten darf ist ein Schritt.
Das sollte in Firmenumgebungen gesetzt sein.
Im kleinen Umfeld nutze Ich den Restrictor.
https://www.heise.de/download/product/restrictor


Wie gesagt, das ist ein LETZTER Weg, runasrob.
Wenn es vorgenommen werden kann über Zugriffsrechte Anpassung ist der Weg VIEL einfacher und effektiver!

Interessiert an anderen Möglichkeiten bin Ich auch.
Aber runasrob ist besser als dem User Adminrechte geben.
Wenn er nicht gerade Support-Admin ist face-smile
Fabezz
Fabezz 06.10.2020 um 15:44:24 Uhr
Goto Top
Sicherheitstechnisch höchst fragwürdig aber sollte noch funktionieren

https://mobil.pcwelt.de/downloads/pcwRunAs-1215998.html

Jedoch erst klären ob nicht dienoben genannten Lösungen funktionieren denn die sind meist der richtige Ansatz für dein Problem.
TomTomBon
TomTomBon 07.10.2020 aktualisiert um 09:53:41 Uhr
Goto Top
Kleiner Scherz am Rande.

Mit folgender Zeile starte Ich aktiv Programme mit UAC AdminRechten.

net session >nul 2>&1 || (powershell -EP Bypass -NoP -C start '"<Auszufuehrendes Programm>'" -verb runas &exit /b)  
Es funktioniert!
Und hat nur das System im 80cm Abstand als Sicherheitsproblem!

Aber wird eher NICHT deine Lösung werden face-wink
DerWoWusste
DerWoWusste 07.10.2020 um 09:55:39 Uhr
Goto Top
Es ist unsinnig, interaktive Programme mit Adminrechten zu starten, wenn der Nutzer diese nicht bekommen soll!
Wenn der Nutzer als schwacher Nutzer arbeiten soll, aber ruhig ein Adminkonto für bestimmte Zwecke nutzen darf, sieht die Sache anders aus. Dann kann man nach meine m Kochrezept vorgehen, um es sicher und komfortabel zugleich zu gestalten: Tipp zur UAC-Nutzung
TomTomBon
TomTomBon 07.10.2020 um 10:05:55 Uhr
Goto Top
Viele Wege führen nach Rom.
Auf manchen lauern Räuber.
Auf anderen die Steuereintreiber.
Welcher ist besser, welcher billiger?
Und manchmal muß man Umwege nehmen um besser, billiger und vielleicht schneller zu werden.

Weg vom philosophieren.
Aber es gibt viele Möglichkeiten.
Und jeder hat seine Nachteile.
Die in manchen Umfelden aber gar nicht auftreten.

Davon abgesehen.
a. schrieb Ich das der Eintrag von mir mit Humor zu nehmen ist.
b. nutze Ich die Zeile tatsächlich produktiv.
Sie sichert das Ich, der Ich im Besitz des Admin Accountes bin, das zu startende Objekt elevated startet.
Habe Ich die Daten nicht habe Ich Pech.
Das Konzept, das Ich gut finde!, erlaubt aber allgemeine Admin Rechte. Meine Zeile sagt das <Auszufuehrend> mit Adminrechten gestartet wird. Woher Ich die nehme ist ein ganz anderer Schnag.