op3rat0r
Goto Top

Sudo for Windows Problem, Benutzer kann das eingetragene Programm nicht ausführen...

Nach dem wir ein Programm an einem Arbeitsplatz haben das Amdinistratorrechte benötigt, habe ich mich auf die Suche nach einer sicheren Lösung gemacht. Ich denke das ich in "sudowin" recht gut fündig geworden bin.

Moin, moin,

Es geht mir darum ob jem. das Problem schon einmal hatte und evtl. einen Lösungsansatz dafür hat.
Im Beitrag beziehe ich mich auf die OpenSource Sw "sudowin": h**p://sourceforge.net/projects/sudowin [keine Werbung, nur falls das Tool jem. noch nicht kennt und es nachvollziehen möchte]

...so nun zum eigentlichen Probelm.

- sudowin runtergeladen
- auf einem Adminrechner (Windows XP) installiert
- lange mit der Configuration gekämpft (google hat mir dabei geholfen)
- am ende funktionierte der Test so wie es konfiguriert wurde

...heute das ganze auf einem Benutzerrechner (Windows 2000 Pro) versucht zu installieren.
Ich bin dran verzweifelt, es wollte bzw. will einfach nicht funktionieren.


Zum Programm an sich, es gibt dort eine sudoers.xml Datei in der erst einmal die Gruppe der Administratoren eingetragen wird. Freundlicherweise ist das schon gemacht, aber leider bei einem englischen Windows face-sad
Also schnell geändert, keine Hürde. Weiter unten kann man nun eintragen welcher Benutzer welches Programm ausführen darf.

                    <user name="Domäne\Benutzer" allowAllCommands ="true">  
					<commands>
						<command path="c:\windows\system32\regedit.exe" />  
					</commands>
                    </user>

...freundlicherweise ist dort schon etwas eingetragen was wir abändern können. Also bei "user name" schnell mal den User eingetragen. Und bei "command path" die Adresse zum Programm. Irgendwie
selbsterklärend :D Theoretisch kann man im "command path" noch eine "md5Checksum" eintragen, was die Sicherheit noch ein bisschen erhöht face-smile Das alles ist erledigt.

Nun musste man noch in der Datei "Sudowin.Server.exe.config" etwas abändern, weil deutsches Windows eben.

<channel type="System.Runtime.Remoting.Channels.Ipc.IpcServerChannel, System.Runtime.Remoting, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" portName="sudowin" secure="True" tokenImpersonationLevel="Impersonation" authorizedGroup="Users">  

Dort steht bei "authorizedGroup" die Gruppe Users, was ja im deutschen Benutzer heißen müsste. Gut, das auch geändert.
Jetzt gehen wir in die Computerverwaltung und fügen der Gruppe Sudoers den Benutzer hinzu der das Programm ausführen soll (den Benutzer den wir zuvor in der sudoers.xml eingetragen haben z.B.)

So nun kann sich er Benutzer anmelden und mit einem Rechtsklick auf das Programm "sudo..." das Programm als SU starten. Er wird dann aufgefordert nochmal das Kw für seinen Domänenbenutzer ein zu geben.
Und schon läuft das Programm was vorher nur mit Adminrechten lief.

Das alles hat auch im Test so funktioniert auf meiner Windows XP Kiste, mit einem Testbenutzer (Benutzer).
Auf dem Nutzerrechner mit normalem Benutzeraccount nicht.

Ich habe heute die ganze Zeit an der Config rummhantiert. Aber ich denke daran liegt es nicht die läuft ja soweit so auf meinem Adminrechner ohne Probleme.
Was ich morgen noch testen will ist mal das ":NET Framework 3.0" zu installieren auf dem Windows 2000 Rechner, sudowin benötigt ".NET" und auf dem Windows 2000
Rechner ist nur V 2.0 installiert. Auf dem Windows XP Rechner aber auch das V 3.0.
Desweiteren habe ich mir überlegt ob die Namensauflösung evtl. Probleme bereitet. Der Benutzerrechner steht in einem Gebäude das mit einem ADSL Modem ans Netzwerk angebunden ist.

Ich hoffe das Ihr mir weiter helfen könnt. Vielleicht hatte ja schon jem. ein ähnliches Problem....


Grüße
n8

Op3rat0r

Content-ID: 114910

Url: https://administrator.de/contentid/114910

Ausgedruckt am: 23.11.2024 um 02:11 Uhr

Cubic83
Cubic83 28.04.2009 um 23:00:50 Uhr
Goto Top
Hallo,

irgendwie klingt das alles ein wenig mystisch.

*Wir haben ein Programm das Administratorrechte benötigt*

Ein Programm benötigt nicht einfach mal Administratorrechte. Dieses Programm versucht etwas zu tun was administratorrechte benötigt. Finde heraus was und greife dort an. (I.d.R wollen Programme auf etwas zugreifen (Dateien, Pfade, Registry, etc...) wo sie keine Leserechte haben). Du kannst da auch den Hersteller bemühren.


mfG
xm-bit
xm-bit 29.04.2009 um 07:27:56 Uhr
Goto Top
Hi,

ich kann noch nicht ganz verstehen, wofür du das Programm brauchst.
Ist es für dich, wenn du auf einem PC etwas unter einem User-Account einrichten willst???

Es gibt noch ein Tool das nennt sich runas, ich meine jetzt nicht den Befehl auf der Kommandozeile. Google doch mal danach, Vielleicht hilft es dir ja weiter.

Hab schon gegoogelt:
http://www.steelsonic.com/steelrunas.htm
Schau dir das doch mal an...

mfg
Sascha
Op3rat0r
Op3rat0r 29.04.2009 um 07:48:20 Uhr
Goto Top
Hi,

ich selbst brauche das Programm nicht. Auf dem Benutzerrechner soll es von einem normalen Benutzerkonto gestartet werden. Es ist schon installiert und funktioniert unter einem Konto mit Adminrechten.

Ich werde mir das Programm "runas" mal anschauen, thx. Sudowin habe ich auch genommen weil man dort kein Adminpasswort ablegen muss, was dann ausgelesen werden könnte.

Gruß
Op3rat0r
Op3rat0r 29.04.2009 um 07:51:21 Uhr
Goto Top
Hi,

ich bin einfach anders an das Programm heran getreten. Wenn "sudowin" richtig funkionieren würde könnte man schnell ein anderes Programm was mit einem normalen Benutzerkonto nicht läuft in die Config eintragen. Wenig aufwand...

Dein Ansatz ist ok, ich denke das Programm will in der Registry schreiben.
66027
66027 29.04.2009 um 09:34:25 Uhr
Goto Top
Hi!

Wie wäre es, wenn du uns mal die Fehlermeldung verrätst, die beim Starten des Programms auftaucht, wenn man dieses unter einem normalen Benutzerkonto ausführt. Software so anzupassen, dass sie mit so wenig Rechten wie möglich läuft, sollte nicht das Problem sein und wenn ich dir einen Rat geben kann, Finger weg von Tools wie diesem sudo unter Windows, wenn dir die Idee so gut gefällt, steig halt auf Linux um. Ansonsten wirst du um das Windows ABC nicht herumkommen, Linux Dreisatz ist hier nicht.

Erste Schritte wären: Schreib- und Änderungsrechte im Installationsverzeichnis der Software zuordnen, standardmäßig:
C:\Programme\<Name der Software>

Tipp: Ein Rechtsklick und Eigenschaften auf die Verknüpfung im Startmenü gibt Aufschlüsse darüber!


Sollte das immer noch nicht funktionieren, musst du Lese und etv. auch Schreibrechte in der Registry setzen, standardmäßig:
HKEY_LOCAL_MACHINE\Software\<Name der Software oder des Herstellers>

Tipp: Auch Regedit besitzt eine Suchfunktion, ich würde z. B: nach der ausführbaren exe in %programfiles% suchen!


Sollte es dann immer noch nicht klappen, gibt es noch Einträge in HKEY_CLASSES_ROOT, wenn z. B. bestimmte Dateiformate definiert wurden.

Weiterer Tipp: Hersteller kontaktieren bzw. Hersteller Seite hat sicherlich eine KB-Datenbank oder ein Forum!


Sobald es einmal funktioniert brauchst du es nur noch zu dokumentieren, so hab ich bisher jede Software zum Laufen bekommen und selbst Vista hat mich noch nicht zur Verzweiflung gebracht.
Op3rat0r
Op3rat0r 29.04.2009 um 10:28:33 Uhr
Goto Top
Zitat von @66027:
Hi!

Wie wäre es, wenn du uns mal die Fehlermeldung verrätst,
die beim Starten des Programms auftaucht, wenn man dieses unter einem
normalen Benutzerkonto ausführt. Software so anzupassen, dass sie
mit so wenig Rechten wie möglich läuft, sollte nicht das
Problem sein und wenn ich dir einen Rat geben kann, Finger weg von
Tools wie diesem sudo unter Windows, wenn dir die Idee so gut
gefällt, steig halt auf Linux um. Ansonsten wirst du um das
Windows ABC nicht herumkommen, Linux Dreisatz ist hier nicht.

Erste Schritte wären: Schreib- und Änderungsrechte im
Installationsverzeichnis der Software zuordnen,
standardmäßig:
C:\Programme\<Name der Software>

Tipp: Ein Rechtsklick und Eigenschaften auf die Verknüpfung im
Startmenü gibt Aufschlüsse darüber!


Sollte das immer noch nicht funktionieren, musst du Lese und etv.
auch Schreibrechte in der Registry setzen, standardmäßig:
HKEY_LOCAL_MACHINE\Software\<Name der Software oder des
Herstellers>

Tipp: Auch Regedit besitzt eine Suchfunktion, ich würde z. B:
nach der ausführbaren exe in %programfiles% suchen!


Sollte es dann immer noch nicht klappen, gibt es noch Einträge
in HKEY_CLASSES_ROOT, wenn z. B. bestimmte Dateiformate definiert
wurden.

Weiterer Tipp: Hersteller kontaktieren bzw. Hersteller Seite hat
sicherlich eine KB-Datenbank oder ein Forum!


Sobald es einmal funktioniert brauchst du es nur noch zu
dokumentieren, so hab ich bisher jede Software zum Laufen bekommen und
selbst Vista hat mich noch nicht zur Verzweiflung gebracht.

Danke Saarbruecken für Deine ausführliche Antwort!

Ich bin wirklich falsch an die Sache heran gegangen.

Soweit ich mich erinnere war die Fehlermeldung so etwas wie:

Sie haben keine Berechtigung in die Registry zu schreiben. Nicht Wortwörtlich aber so in die Richtung.

Hatte heute leider noch keine Zeit an den besagten Rechner zu gehen. Somit könntest Du Recht haben und ich muss dem Programm evtl. schreibrechte in der Registry HKEY_LOCAL_MACHINE\Software\Hersteller geben. Das ist das erste was ich heute Nachmittag testen werde. Aber wie Du auch schreibst könnte ich mir vorstellen das es mit einem Eintrag in HKEY_CLASSES_ROOT zu tun haben könnte. Das Programm hat mit Videobearbeitung in kleinem Umfang zu tun.

Ich hoffe das löst mein Problem.
Op3rat0r
Op3rat0r 30.04.2009 um 09:29:16 Uhr
Goto Top
Guten morgen,

so nun habe ich geprüft ob der Benutzer Rechte im Programmverzeichniss hat, dort war schon "Jeder" eingetragen mit Vollzugriff, also sollte das nicht das Problem sein.

Die Fehlermeldung die beim starten ohne Adminrechte kommt sieht wie folgt aus...

h**p://s2.imgimg.de/uploads/fehler32e22979JPG.jpg

nach dem ich unter HKEY_LOCAL_MACHINE\Software\Hersteller dem Benutzer Vollzugriff gegeben habe war der Fehler weg. Das Programm ließ sich starten.

Jetzt (mit meinem Testbenutzer) schon im Programm kam die Meldung das "PAL" nicht ausgewählt ist. Dabei dachte ich mir erstmal nichts, da mein Benutzer das Programm ja noch nie gestartet hatte.
Zum Programm ist zu sagen das man damit von einer Kamera Videos speicher bzw. scheiden kann.
Also hab ich die Kamera angeschalten, damit ich prüfen kann ob man die Videos bearbeiten / anschauen kann. (die Kamera wird dabei als Gerät gefunden) Aber das hat nicht funktioniert, das Gerät wurde nicht erkannt. Bzw. kann nicht drauf zugegriffen werden. Kann man Berechtigungen auf Geräte setzen?! Hmm...

Wo kann man noch Berechtigungen setzen für das Programm?


Meinen Danke an "SasHW2k3" das Tool was Du genannt hast funktioniert soweit erstmal das der Benutzer das Programm nutzen kann. Für mich ist das aber noch nicht die Endgültige lösung.
Cubic83
Cubic83 30.04.2009 um 17:47:26 Uhr
Goto Top
Hallo,

Funktionniert das Programm denn mit runas als Administrator? Wie bereits gesagt, frag den Hersteller. Hier kann dir glaube ich niemand mehr weiterhelfen, weil niemand das Programm kennt.
Op3rat0r
Op3rat0r 04.05.2009 um 08:13:21 Uhr
Goto Top
Guten morgen,

ja mit "RunAs" funktioniert das Programm (aber http://www.steelsonic.com/steelrunas.htm nur mit dem).
Wenn man dem Benutzer (den man für SteelRunAs benutzt) jetzt noch die interaktive Anmeldung verbieten würde wäre es ja schon mal passabel.

Ausführen als... habe ich nicht getestet. Es wäre aber ja auch keine Lösung.