bonanza2002
Goto Top

Programmausführung als Benutzer mit Adminrechten

Ein User mit Benutzerrechten soll ein Programm ausführen können, das nur mit Adminrechten ausgeführt werden kann.

Rechte Maustaste und "asführen als" funktioniert. Nur der benutzer darf diese Admin Daten nicht bekommen. Also muß das irgendwie gespeichert werden für das Programm.

Ich verwende Win XP Home.

1. Ich dachte das ich ein Häckchen setzen kann, wo diese Daten gespeichert werden.
2. Oder bei Dienste kann man auch angeben mit welchem Benutzerkonto ein Programm ausgeführt werden soll.

Wie kann ich das realisieren ohne dem Benutzer adminrechte vergeben zu müssen?

Content-ID: 56398

Url: https://administrator.de/contentid/56398

Ausgedruckt am: 25.11.2024 um 11:11 Uhr

Dynadrate
Dynadrate 11.04.2007 um 22:31:52 Uhr
Goto Top
Stell ich mir schwierig vor! Um welches Programm handelt es sich denn?
46503
46503 11.04.2007 um 22:39:01 Uhr
Goto Top
Pack das Programm in das Verzeichnis "Eigene Dateien" des Users, der Rechte als Computeradministrator besitzt.

Dann erstelle auf dem Desktop eine Verknüpfung auf
%windir%\system32\runas.exe /user:{Name des Users mit Adminrechten} Programmpfad\Programm

Beim Aufruf muss das Passwort eingegeben werden (unsichtbar). Das darfst du natürlich niemand mitteilen. Der echte "Administrator" funktioniert nur im abgesicherten Modus.

Und bitte ändere im Titel "Prammausführung". Falls danach mal jemand sucht.......
Ein Häckchen kannst du höchstens in deinem Garten benutzen. In Einstellungen setzt man ein Häkchen. face-wink
Dynadrate
Dynadrate 11.04.2007 um 22:44:49 Uhr
Goto Top
Beim Aufruf muss das Passwort eingegeben
werden (unsichtbar).

Werden die Anmeldeinformationen denn dann gespeichert? Folgenden Schalter gibbet ja bei RUNAS...
/savecred Verwendet Anmeldeinformationen, die von einem anderen
Benutzer gespeichert wurden. Die Option steht auf Windows
XP Home Edition nicht zur Verfügung und wird ignoriert.
46503
46503 11.04.2007 um 23:18:16 Uhr
Goto Top
Nein, Anmeldeinformationen werden nicht gespeichert, wozu auch? Der Aufruf steht ja in der Verknüpfung.
bonanza2002
bonanza2002 11.04.2007 um 23:57:43 Uhr
Goto Top
Es handelt sich um das programm "No23 Recorder"

Es soll kein Adminpaßwort dem User bekannt gegeben werden, dann kann er auch jedes andere Programm als Admin ausführen.
bonanza2002
bonanza2002 12.04.2007 um 00:01:07 Uhr
Goto Top
Ein Häckchen kannst du höchstens
in deinem Garten benutzen. In Einstellungen
setzt man ein Häkchen. face-wink

Rechtschreibfehler sind gewollt und dienen der Belustigung face-wink
46503
46503 12.04.2007 um 00:07:47 Uhr
Goto Top
Du findest Fullquotes mit einem einzigen eigenen Satz offenbar besonders lustig und geistreich. face-sad Da kann ich mithalten: http://www.usenet-abc.de/tol/guide.htm#6
Dynadrate
Dynadrate 12.04.2007 um 00:21:19 Uhr
Goto Top
@46503
Es ist gewollt, ein einzelnes Programm mir Adminrechten zu starten, ohne das der betreffende User das Kennwort kennen muss. Bei XP Prof wäre das möglich, indem man die creds cached. Bei XP Home anscheinend net möglich (siehe runas /?).
Bleibt als einzige Möglichkeit heruaszufinden, welche das Programm genau braucht. Oft sinds nur Schreibrechte in Ordnern oder Regisrty zweigen. Diese kannste mit ein bisschen Übung mit Tools von Sysinternals (jetzt Microsoft) heraus finden.
Je nach Programmart kann man noch evtl per lokaler Gruppenrichtlinie nachhelfen (Beispiel: Ein Programm wie Truecrypt braucht mit Sicherheit Rechte, um neue Geräte dem PC hinzuzufügen)
Wenn das Programm jedoch abprüft, ob der User in der einer Admin Gruppe ist haste schlechte Karten. Vielleicht als Workaround: Terminalserver dessen einzige Aufgabe das Ausführen dieses Programms ist. Ist aber mehr gepfuscht als das mich sowas zufriedenstellen könnte...
46503
46503 12.04.2007 um 00:37:49 Uhr
Goto Top
Danke für die Aufklärung, aber ich bin schon lange genug "im Geschäft". Hier handelt es sich offenbar um ein Missverständnis meinerseits, ich dachte, dass der User das Programm nicht starten können soll, sondern nur ein User mit Adminrechten, der gerade an dem PC sitzt, an dem der "Benutzer" eingeloggt ist. face-wink

Für den Fall, dass der User ohne Kenntnis des Passworts ein Programm mit Adminrechten starten soll, bietet sich das PC-Welt-Tool pcwRunas (die GUI-Verison) an, das die benötigten Aufrufparameter verschlüsselt in der Verknüpfung ablegt.

http://www.pcwelt.de/downloads/pcwelt_tools/tools/106415/
Dynadrate
Dynadrate 12.04.2007 um 00:42:03 Uhr
Goto Top
Na bestens, ist ja genau das was er brauchte!
<ot>Wär mir persönlich zu heikel</ot> :D
46503
46503 12.04.2007 um 00:52:30 Uhr
Goto Top
Warum? Das Passwort knackst Du nicht, und den Aufruf auch nicht face-wink
Dynadrate
Dynadrate 12.04.2007 um 00:55:40 Uhr
Goto Top
Man muss so schon deaktivieren, dass Passwörter so gecacht werden, dass sie ausgelesen werden können (Stichwort Rainbow Tables, LM Hashes).
...da hab ich ungern das lokale Admin Kennwort noch von nem Drittanbietertool irgendwo gesichert.
46503
46503 12.04.2007 um 01:00:33 Uhr
Goto Top
Na ja, man kann es aber auch übertreiben. ;) Der Systemzugang ist ohne spezielle Tools (außer Bart-PE) in 2 -3 Minuten hergestellt. Und noch viel schlimmer: Mit der Vista-CD kommst du ganz ohne Zugangsschutz an ein System, auf dem Vista installiert ist. Da wird noch nicht mal nach einem Passwort gefragt!
Dynadrate
Dynadrate 12.04.2007 um 01:04:04 Uhr
Goto Top
Sorry hab keine Ehrfahrung mit Vista.
Eins ist jedenfalls sicher: Ist der physikalische Zugriff zum System gegeben, nützen dir die schönsten Tools nix.
bonanza2002
bonanza2002 12.04.2007 um 09:20:18 Uhr
Goto Top

Danke, das sieht ganz gut aus. Ich werde es mal testen und das Ergebnis posten.
bonanza2002
bonanza2002 12.04.2007 um 09:23:13 Uhr
Goto Top
Du findest Fullquotes mit einem einzigen
eigenen Satz offenbar besonders lustig
Du bist ein ganz genauer face-wink .. aber ich lerne gern dazu.
bonanza2002
bonanza2002 12.04.2007 um 09:27:20 Uhr
Goto Top
Man muss so schon deaktivieren, dass
Passwörter so gecacht werden, dass sie
ausgelesen werden können (Stichwort
Rainbow Tables, LM Hashes).
...da hab ich ungern das lokale Admin
Kennwort noch von nem Drittanbietertool
irgendwo gesichert.

Das ist ein Privater PC und der Nutzer ist "Otto-Normal-Jugendlicher" ohne weiter PC Kenntnisse. Da mache ich mir keine Gedanken über knacken. Er soll nur nicht am PC vestellen oder installieren können und besser geschützt ist man auch als Benutzer vor Viren und anderen gefährlichen Programmen.