Programm mittels batch oder cmd als Administrator öffen
Hallo,
ich möchte ein Programm als Administrator öffnen (lokaler admin = Ladmin).
Wie kann ich das umsetzen mittels cmd oder batch? Ich möchte nicht, dass man in der batch das Passwort einsehen kann.
Oder gibt es noch andere Möglichkeiten?
Grüße
ich möchte ein Programm als Administrator öffnen (lokaler admin = Ladmin).
Wie kann ich das umsetzen mittels cmd oder batch? Ich möchte nicht, dass man in der batch das Passwort einsehen kann.
Oder gibt es noch andere Möglichkeiten?
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 610335
Url: https://administrator.de/forum/programm-mittels-batch-oder-cmd-als-administrator-oeffen-610335.html
Ausgedruckt am: 22.12.2024 um 19:12 Uhr
19 Kommentare
Neuester Kommentar
Bei näherem Hinsehen: Du schreibst von "deinen Domänenbenutzen", also möchtest Du etwas bei denen, für diese starten.
Sichtbar (interaktiv) geht das nicht in sicherer Weise. Du wirst keinen Weg finden, der kein Ausbrechen aus einem so gestarteten Programm ermöglicht (mit externen Programmen wie beyond trust's Powerbroker geht das!).
Lass also das Suchen besser sein und frage dich, warum das Programm denn laufen muss und was daran Aminrechte erfordert und warum es vom Nutzer bedienbar sein muss.
Sichtbar (interaktiv) geht das nicht in sicherer Weise. Du wirst keinen Weg finden, der kein Ausbrechen aus einem so gestarteten Programm ermöglicht (mit externen Programmen wie beyond trust's Powerbroker geht das!).
Lass also das Suchen besser sein und frage dich, warum das Programm denn laufen muss und was daran Aminrechte erfordert und warum es vom Nutzer bedienbar sein muss.
Wenn's egal ist, warum dann nicht per Rechtsklick - "als Administrator ausführen"?
Oder gleich zum lokalen Admin machen
Weil die Benutzer dann ein Admin Konto plus Passwort brauchen.
Irgendein Konto mit erhöhten Rechten und passendem Kennwort brauch der Benutzer schon um eine elevated shell zu starten. Und dies will man bestimmt nicht fest im Programmaufruf hinterlegen.
Moin,
warum dann die Geheimniskrämerei?!
Schon mal mit dem Lösungsvorschlag von @luci0815 versucht?!
Viele Programme benötigen einfach nur Adminrechte, weil sie Konfigurationsdateien im Programmverzeichnis anlegen/ändern (statt in Appdata, wie es vernünftige Programme tun).
Da der normale Benutzer hier per default aber keine Schreibrechte hat, können diese Dateien dann nicht angelegt werden und das Programm funktioniert nur als Admin - dem Benutzer Schreibrechte für das Programmverzeichnis zu gewähren löst daher oft das Problem.
Gruß Thomas
warum dann die Geheimniskrämerei?!
Schon mal mit dem Lösungsvorschlag von @luci0815 versucht?!
Viele Programme benötigen einfach nur Adminrechte, weil sie Konfigurationsdateien im Programmverzeichnis anlegen/ändern (statt in Appdata, wie es vernünftige Programme tun).
Da der normale Benutzer hier per default aber keine Schreibrechte hat, können diese Dateien dann nicht angelegt werden und das Programm funktioniert nur als Admin - dem Benutzer Schreibrechte für das Programmverzeichnis zu gewähren löst daher oft das Problem.
Gruß Thomas
warum dann die Geheimniskrämerei?!
Schon mal mit dem Lösungsvorschlag von @luci0815 versucht?!
Viele Programme benötigen einfach nur Adminrechte, weil sie Konfigurationsdateien im Programmverzeichnis anlegen/ändern (statt in Appdata, wie es vernünftige Programme tun).
Da der normale Benutzer hier per default aber keine Schreibrechte hat, können diese Dateien dann nicht angelegt werden und das Programm funktioniert nur als Admin - dem Benutzer Schreibrechte für das Programmverzeichnis zu gewähren löst daher oft das Problem.
Schon mal mit dem Lösungsvorschlag von @luci0815 versucht?!
Viele Programme benötigen einfach nur Adminrechte, weil sie Konfigurationsdateien im Programmverzeichnis anlegen/ändern (statt in Appdata, wie es vernünftige Programme tun).
Da der normale Benutzer hier per default aber keine Schreibrechte hat, können diese Dateien dann nicht angelegt werden und das Programm funktioniert nur als Admin - dem Benutzer Schreibrechte für das Programmverzeichnis zu gewähren löst daher oft das Problem.
Für so schlechte Software ist eigentlich Folder Virtualization vorgesehen.
Moin Moin,
Das ist wirklich ein wichtiger Punkt.
Herausfinden WARUM benötigt das Tool Admin Rechte.
Denn dann kann man anpassend die entsprechenden Rechte verteilen.
Und wenn es "nur" Schreibrechte in einem geschützten Ordner sind kann man dies protokollieren und entsprechend einstellen.
Aber es gibt auch für Notfälle Hammer.
Ich hatte mal ein Programm das hat unter anderem zum Support von Anlagen u.a. die IP und auch Zeit des Systems geändert.
Wir haben keine andere Lösung gefunden als Admin Rechte.
Was der Techniker nicht haben sollte
Deswegen wurde https://runasrob.com/ angeschafft.
Damit kann man "verschlüsselte" Container erstellen von einer Verknüpfung mit einen Benutzer der etwas ausführt.
Und was für Rechte hat muss man separat einstellen.
Schlecht formuliert.
Vielleicht besser:
Ich habe Benutzer ADM. Der darf im System (es geht auch für die Domäne!) etwas machen was kein anderer Benutzer machen darf.
Nur darf NICHT jeder ADM benutzen.
Aber diese spezielle Sache die ADM darf SOLLEN sie machen.
Mit runasrob erstelle Ich einen Container der den Account mitsamt PW verschlüsselt und die gewünschte Sache aufruft.
Und solange das Gewünscht skriptbar ist kann es aufgerufen werden
Mein Senf
Das ist wirklich ein wichtiger Punkt.
Herausfinden WARUM benötigt das Tool Admin Rechte.
Denn dann kann man anpassend die entsprechenden Rechte verteilen.
Und wenn es "nur" Schreibrechte in einem geschützten Ordner sind kann man dies protokollieren und entsprechend einstellen.
Aber es gibt auch für Notfälle Hammer.
Ich hatte mal ein Programm das hat unter anderem zum Support von Anlagen u.a. die IP und auch Zeit des Systems geändert.
Wir haben keine andere Lösung gefunden als Admin Rechte.
Was der Techniker nicht haben sollte
Deswegen wurde https://runasrob.com/ angeschafft.
Damit kann man "verschlüsselte" Container erstellen von einer Verknüpfung mit einen Benutzer der etwas ausführt.
Und was für Rechte hat muss man separat einstellen.
Schlecht formuliert.
Vielleicht besser:
Ich habe Benutzer ADM. Der darf im System (es geht auch für die Domäne!) etwas machen was kein anderer Benutzer machen darf.
Nur darf NICHT jeder ADM benutzen.
Aber diese spezielle Sache die ADM darf SOLLEN sie machen.
Mit runasrob erstelle Ich einen Container der den Account mitsamt PW verschlüsselt und die gewünschte Sache aufruft.
Und solange das Gewünscht skriptbar ist kann es aufgerufen werden
Mein Senf
Moin,
Ja, Ich kann, wenn es das Programm hergibt, andere Daten mit diesen Rechten starten.
Aber mir ist kein Weg bekannt wie man das aushebeln kann, das ein Programm anderes mit den eigenen Rechten startet.
Das System so einschränken das es nur Programme aus program files starten darf ist ein Schritt.
Das sollte in Firmenumgebungen gesetzt sein.
Im kleinen Umfeld nutze Ich den Restrictor.
https://www.heise.de/download/product/restrictor
Wie gesagt, das ist ein LETZTER Weg, runasrob.
Wenn es vorgenommen werden kann über Zugriffsrechte Anpassung ist der Weg VIEL einfacher und effektiver!
Interessiert an anderen Möglichkeiten bin Ich auch.
Aber runasrob ist besser als dem User Adminrechte geben.
Wenn er nicht gerade Support-Admin ist
Ja, Ich kann, wenn es das Programm hergibt, andere Daten mit diesen Rechten starten.
Aber mir ist kein Weg bekannt wie man das aushebeln kann, das ein Programm anderes mit den eigenen Rechten startet.
Das System so einschränken das es nur Programme aus program files starten darf ist ein Schritt.
Das sollte in Firmenumgebungen gesetzt sein.
Im kleinen Umfeld nutze Ich den Restrictor.
https://www.heise.de/download/product/restrictor
Wie gesagt, das ist ein LETZTER Weg, runasrob.
Wenn es vorgenommen werden kann über Zugriffsrechte Anpassung ist der Weg VIEL einfacher und effektiver!
Interessiert an anderen Möglichkeiten bin Ich auch.
Aber runasrob ist besser als dem User Adminrechte geben.
Wenn er nicht gerade Support-Admin ist
Sicherheitstechnisch höchst fragwürdig aber sollte noch funktionieren
https://mobil.pcwelt.de/downloads/pcwRunAs-1215998.html
Jedoch erst klären ob nicht dienoben genannten Lösungen funktionieren denn die sind meist der richtige Ansatz für dein Problem.
https://mobil.pcwelt.de/downloads/pcwRunAs-1215998.html
Jedoch erst klären ob nicht dienoben genannten Lösungen funktionieren denn die sind meist der richtige Ansatz für dein Problem.
Kleiner Scherz am Rande.
Mit folgender Zeile starte Ich aktiv Programme mit UAC AdminRechten.
Es funktioniert!
Und hat nur das System im 80cm Abstand als Sicherheitsproblem!
Aber wird eher NICHT deine Lösung werden
Mit folgender Zeile starte Ich aktiv Programme mit UAC AdminRechten.
net session >nul 2>&1 || (powershell -EP Bypass -NoP -C start '"<Auszufuehrendes Programm>'" -verb runas &exit /b)
Und hat nur das System im 80cm Abstand als Sicherheitsproblem!
Aber wird eher NICHT deine Lösung werden
Es ist unsinnig, interaktive Programme mit Adminrechten zu starten, wenn der Nutzer diese nicht bekommen soll!
Wenn der Nutzer als schwacher Nutzer arbeiten soll, aber ruhig ein Adminkonto für bestimmte Zwecke nutzen darf, sieht die Sache anders aus. Dann kann man nach meine m Kochrezept vorgehen, um es sicher und komfortabel zugleich zu gestalten: Tipp zur UAC-Nutzung
Wenn der Nutzer als schwacher Nutzer arbeiten soll, aber ruhig ein Adminkonto für bestimmte Zwecke nutzen darf, sieht die Sache anders aus. Dann kann man nach meine m Kochrezept vorgehen, um es sicher und komfortabel zugleich zu gestalten: Tipp zur UAC-Nutzung
Viele Wege führen nach Rom.
Auf manchen lauern Räuber.
Auf anderen die Steuereintreiber.
Welcher ist besser, welcher billiger?
Und manchmal muß man Umwege nehmen um besser, billiger und vielleicht schneller zu werden.
Weg vom philosophieren.
Aber es gibt viele Möglichkeiten.
Und jeder hat seine Nachteile.
Die in manchen Umfelden aber gar nicht auftreten.
Davon abgesehen.
a. schrieb Ich das der Eintrag von mir mit Humor zu nehmen ist.
b. nutze Ich die Zeile tatsächlich produktiv.
Sie sichert das Ich, der Ich im Besitz des Admin Accountes bin, das zu startende Objekt elevated startet.
Habe Ich die Daten nicht habe Ich Pech.
Das Konzept, das Ich gut finde!, erlaubt aber allgemeine Admin Rechte. Meine Zeile sagt das <Auszufuehrend> mit Adminrechten gestartet wird. Woher Ich die nehme ist ein ganz anderer Schnag.
Auf manchen lauern Räuber.
Auf anderen die Steuereintreiber.
Welcher ist besser, welcher billiger?
Und manchmal muß man Umwege nehmen um besser, billiger und vielleicht schneller zu werden.
Weg vom philosophieren.
Aber es gibt viele Möglichkeiten.
Und jeder hat seine Nachteile.
Die in manchen Umfelden aber gar nicht auftreten.
Davon abgesehen.
a. schrieb Ich das der Eintrag von mir mit Humor zu nehmen ist.
b. nutze Ich die Zeile tatsächlich produktiv.
Sie sichert das Ich, der Ich im Besitz des Admin Accountes bin, das zu startende Objekt elevated startet.
Habe Ich die Daten nicht habe Ich Pech.
Das Konzept, das Ich gut finde!, erlaubt aber allgemeine Admin Rechte. Meine Zeile sagt das <Auszufuehrend> mit Adminrechten gestartet wird. Woher Ich die nehme ist ein ganz anderer Schnag.