Sudo for Windows Problem, Benutzer kann das eingetragene Programm nicht ausführen...
Nach dem wir ein Programm an einem Arbeitsplatz haben das Amdinistratorrechte benötigt, habe ich mich auf die Suche nach einer sicheren Lösung gemacht. Ich denke das ich in "sudowin" recht gut fündig geworden bin.
Moin, moin,
Es geht mir darum ob jem. das Problem schon einmal hatte und evtl. einen Lösungsansatz dafür hat.
Im Beitrag beziehe ich mich auf die OpenSource Sw "sudowin": h**p://sourceforge.net/projects/sudowin [keine Werbung, nur falls das Tool jem. noch nicht kennt und es nachvollziehen möchte]
...so nun zum eigentlichen Probelm.
- sudowin runtergeladen
- auf einem Adminrechner (Windows XP) installiert
- lange mit der Configuration gekämpft (google hat mir dabei geholfen)
- am ende funktionierte der Test so wie es konfiguriert wurde
...heute das ganze auf einem Benutzerrechner (Windows 2000 Pro) versucht zu installieren.
Ich bin dran verzweifelt, es wollte bzw. will einfach nicht funktionieren.
Zum Programm an sich, es gibt dort eine sudoers.xml Datei in der erst einmal die Gruppe der Administratoren eingetragen wird. Freundlicherweise ist das schon gemacht, aber leider bei einem englischen Windows
Also schnell geändert, keine Hürde. Weiter unten kann man nun eintragen welcher Benutzer welches Programm ausführen darf.
...freundlicherweise ist dort schon etwas eingetragen was wir abändern können. Also bei "user name" schnell mal den User eingetragen. Und bei "command path" die Adresse zum Programm. Irgendwie
selbsterklärend :D Theoretisch kann man im "command path" noch eine "md5Checksum" eintragen, was die Sicherheit noch ein bisschen erhöht Das alles ist erledigt.
Nun musste man noch in der Datei "Sudowin.Server.exe.config" etwas abändern, weil deutsches Windows eben.
Dort steht bei "authorizedGroup" die Gruppe Users, was ja im deutschen Benutzer heißen müsste. Gut, das auch geändert.
Jetzt gehen wir in die Computerverwaltung und fügen der Gruppe Sudoers den Benutzer hinzu der das Programm ausführen soll (den Benutzer den wir zuvor in der sudoers.xml eingetragen haben z.B.)
So nun kann sich er Benutzer anmelden und mit einem Rechtsklick auf das Programm "sudo..." das Programm als SU starten. Er wird dann aufgefordert nochmal das Kw für seinen Domänenbenutzer ein zu geben.
Und schon läuft das Programm was vorher nur mit Adminrechten lief.
Das alles hat auch im Test so funktioniert auf meiner Windows XP Kiste, mit einem Testbenutzer (Benutzer).
Auf dem Nutzerrechner mit normalem Benutzeraccount nicht.
Ich habe heute die ganze Zeit an der Config rummhantiert. Aber ich denke daran liegt es nicht die läuft ja soweit so auf meinem Adminrechner ohne Probleme.
Was ich morgen noch testen will ist mal das ":NET Framework 3.0" zu installieren auf dem Windows 2000 Rechner, sudowin benötigt ".NET" und auf dem Windows 2000
Rechner ist nur V 2.0 installiert. Auf dem Windows XP Rechner aber auch das V 3.0.
Desweiteren habe ich mir überlegt ob die Namensauflösung evtl. Probleme bereitet. Der Benutzerrechner steht in einem Gebäude das mit einem ADSL Modem ans Netzwerk angebunden ist.
Ich hoffe das Ihr mir weiter helfen könnt. Vielleicht hatte ja schon jem. ein ähnliches Problem....
Grüße
n8
Op3rat0r
Moin, moin,
Es geht mir darum ob jem. das Problem schon einmal hatte und evtl. einen Lösungsansatz dafür hat.
Im Beitrag beziehe ich mich auf die OpenSource Sw "sudowin": h**p://sourceforge.net/projects/sudowin [keine Werbung, nur falls das Tool jem. noch nicht kennt und es nachvollziehen möchte]
...so nun zum eigentlichen Probelm.
- sudowin runtergeladen
- auf einem Adminrechner (Windows XP) installiert
- lange mit der Configuration gekämpft (google hat mir dabei geholfen)
- am ende funktionierte der Test so wie es konfiguriert wurde
...heute das ganze auf einem Benutzerrechner (Windows 2000 Pro) versucht zu installieren.
Ich bin dran verzweifelt, es wollte bzw. will einfach nicht funktionieren.
Zum Programm an sich, es gibt dort eine sudoers.xml Datei in der erst einmal die Gruppe der Administratoren eingetragen wird. Freundlicherweise ist das schon gemacht, aber leider bei einem englischen Windows
Also schnell geändert, keine Hürde. Weiter unten kann man nun eintragen welcher Benutzer welches Programm ausführen darf.
<user name="Domäne\Benutzer" allowAllCommands ="true">
<commands>
<command path="c:\windows\system32\regedit.exe" />
</commands>
</user>
...freundlicherweise ist dort schon etwas eingetragen was wir abändern können. Also bei "user name" schnell mal den User eingetragen. Und bei "command path" die Adresse zum Programm. Irgendwie
selbsterklärend :D Theoretisch kann man im "command path" noch eine "md5Checksum" eintragen, was die Sicherheit noch ein bisschen erhöht Das alles ist erledigt.
Nun musste man noch in der Datei "Sudowin.Server.exe.config" etwas abändern, weil deutsches Windows eben.
<channel type="System.Runtime.Remoting.Channels.Ipc.IpcServerChannel, System.Runtime.Remoting, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" portName="sudowin" secure="True" tokenImpersonationLevel="Impersonation" authorizedGroup="Users">
Dort steht bei "authorizedGroup" die Gruppe Users, was ja im deutschen Benutzer heißen müsste. Gut, das auch geändert.
Jetzt gehen wir in die Computerverwaltung und fügen der Gruppe Sudoers den Benutzer hinzu der das Programm ausführen soll (den Benutzer den wir zuvor in der sudoers.xml eingetragen haben z.B.)
So nun kann sich er Benutzer anmelden und mit einem Rechtsklick auf das Programm "sudo..." das Programm als SU starten. Er wird dann aufgefordert nochmal das Kw für seinen Domänenbenutzer ein zu geben.
Und schon läuft das Programm was vorher nur mit Adminrechten lief.
Das alles hat auch im Test so funktioniert auf meiner Windows XP Kiste, mit einem Testbenutzer (Benutzer).
Auf dem Nutzerrechner mit normalem Benutzeraccount nicht.
Ich habe heute die ganze Zeit an der Config rummhantiert. Aber ich denke daran liegt es nicht die läuft ja soweit so auf meinem Adminrechner ohne Probleme.
Was ich morgen noch testen will ist mal das ":NET Framework 3.0" zu installieren auf dem Windows 2000 Rechner, sudowin benötigt ".NET" und auf dem Windows 2000
Rechner ist nur V 2.0 installiert. Auf dem Windows XP Rechner aber auch das V 3.0.
Desweiteren habe ich mir überlegt ob die Namensauflösung evtl. Probleme bereitet. Der Benutzerrechner steht in einem Gebäude das mit einem ADSL Modem ans Netzwerk angebunden ist.
Ich hoffe das Ihr mir weiter helfen könnt. Vielleicht hatte ja schon jem. ein ähnliches Problem....
Grüße
n8
Op3rat0r
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 114910
Url: https://administrator.de/contentid/114910
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
irgendwie klingt das alles ein wenig mystisch.
*Wir haben ein Programm das Administratorrechte benötigt*
Ein Programm benötigt nicht einfach mal Administratorrechte. Dieses Programm versucht etwas zu tun was administratorrechte benötigt. Finde heraus was und greife dort an. (I.d.R wollen Programme auf etwas zugreifen (Dateien, Pfade, Registry, etc...) wo sie keine Leserechte haben). Du kannst da auch den Hersteller bemühren.
mfG
irgendwie klingt das alles ein wenig mystisch.
*Wir haben ein Programm das Administratorrechte benötigt*
Ein Programm benötigt nicht einfach mal Administratorrechte. Dieses Programm versucht etwas zu tun was administratorrechte benötigt. Finde heraus was und greife dort an. (I.d.R wollen Programme auf etwas zugreifen (Dateien, Pfade, Registry, etc...) wo sie keine Leserechte haben). Du kannst da auch den Hersteller bemühren.
mfG
Hi,
ich kann noch nicht ganz verstehen, wofür du das Programm brauchst.
Ist es für dich, wenn du auf einem PC etwas unter einem User-Account einrichten willst???
Es gibt noch ein Tool das nennt sich runas, ich meine jetzt nicht den Befehl auf der Kommandozeile. Google doch mal danach, Vielleicht hilft es dir ja weiter.
Hab schon gegoogelt:
http://www.steelsonic.com/steelrunas.htm
Schau dir das doch mal an...
mfg
Sascha
ich kann noch nicht ganz verstehen, wofür du das Programm brauchst.
Ist es für dich, wenn du auf einem PC etwas unter einem User-Account einrichten willst???
Es gibt noch ein Tool das nennt sich runas, ich meine jetzt nicht den Befehl auf der Kommandozeile. Google doch mal danach, Vielleicht hilft es dir ja weiter.
Hab schon gegoogelt:
http://www.steelsonic.com/steelrunas.htm
Schau dir das doch mal an...
mfg
Sascha
Hi!
Wie wäre es, wenn du uns mal die Fehlermeldung verrätst, die beim Starten des Programms auftaucht, wenn man dieses unter einem normalen Benutzerkonto ausführt. Software so anzupassen, dass sie mit so wenig Rechten wie möglich läuft, sollte nicht das Problem sein und wenn ich dir einen Rat geben kann, Finger weg von Tools wie diesem sudo unter Windows, wenn dir die Idee so gut gefällt, steig halt auf Linux um. Ansonsten wirst du um das Windows ABC nicht herumkommen, Linux Dreisatz ist hier nicht.
Erste Schritte wären: Schreib- und Änderungsrechte im Installationsverzeichnis der Software zuordnen, standardmäßig:
C:\Programme\<Name der Software>
Tipp: Ein Rechtsklick und Eigenschaften auf die Verknüpfung im Startmenü gibt Aufschlüsse darüber!
Sollte das immer noch nicht funktionieren, musst du Lese und etv. auch Schreibrechte in der Registry setzen, standardmäßig:
HKEY_LOCAL_MACHINE\Software\<Name der Software oder des Herstellers>
Tipp: Auch Regedit besitzt eine Suchfunktion, ich würde z. B: nach der ausführbaren exe in %programfiles% suchen!
Sollte es dann immer noch nicht klappen, gibt es noch Einträge in HKEY_CLASSES_ROOT, wenn z. B. bestimmte Dateiformate definiert wurden.
Weiterer Tipp: Hersteller kontaktieren bzw. Hersteller Seite hat sicherlich eine KB-Datenbank oder ein Forum!
Sobald es einmal funktioniert brauchst du es nur noch zu dokumentieren, so hab ich bisher jede Software zum Laufen bekommen und selbst Vista hat mich noch nicht zur Verzweiflung gebracht.
Wie wäre es, wenn du uns mal die Fehlermeldung verrätst, die beim Starten des Programms auftaucht, wenn man dieses unter einem normalen Benutzerkonto ausführt. Software so anzupassen, dass sie mit so wenig Rechten wie möglich läuft, sollte nicht das Problem sein und wenn ich dir einen Rat geben kann, Finger weg von Tools wie diesem sudo unter Windows, wenn dir die Idee so gut gefällt, steig halt auf Linux um. Ansonsten wirst du um das Windows ABC nicht herumkommen, Linux Dreisatz ist hier nicht.
Erste Schritte wären: Schreib- und Änderungsrechte im Installationsverzeichnis der Software zuordnen, standardmäßig:
C:\Programme\<Name der Software>
Tipp: Ein Rechtsklick und Eigenschaften auf die Verknüpfung im Startmenü gibt Aufschlüsse darüber!
Sollte das immer noch nicht funktionieren, musst du Lese und etv. auch Schreibrechte in der Registry setzen, standardmäßig:
HKEY_LOCAL_MACHINE\Software\<Name der Software oder des Herstellers>
Tipp: Auch Regedit besitzt eine Suchfunktion, ich würde z. B: nach der ausführbaren exe in %programfiles% suchen!
Sollte es dann immer noch nicht klappen, gibt es noch Einträge in HKEY_CLASSES_ROOT, wenn z. B. bestimmte Dateiformate definiert wurden.
Weiterer Tipp: Hersteller kontaktieren bzw. Hersteller Seite hat sicherlich eine KB-Datenbank oder ein Forum!
Sobald es einmal funktioniert brauchst du es nur noch zu dokumentieren, so hab ich bisher jede Software zum Laufen bekommen und selbst Vista hat mich noch nicht zur Verzweiflung gebracht.