Anwendung (Prozess) als Admin starten

[Herr Gawasi]

Hallo Cracks und Nerds,

habe eine Frage dessen Antwort über meinen Horizont hinausgeht. Folgendes Problem:

- WIN XP professional

- Nutzer haben eingeschränkte Konten

- Ich muss eine Anwendung drauf laufen lassen, die in die Registry schreiben muss

- "Ausführen als" scheidet aus, da Nutzer das Passwort nicht kennen dürfen

Wie kann man das automatisieren, dass nur diese eine Anwendung (Prozess) mit Adminrechten läuft und in die Registry schreiben kann? Per script? Per Nutzerverwaltung? Per Rechtevergabe?

Danke

HG

[Lacknase]

http://www.robotronic.de/runasspc.html

(Obacht. Nur die private Nutzung ist lizenzkostenfrei.)

[Herr Gawasi]

Fällt leider aus. Keine Zusatzsoftware. Gibt aber wohl andere Abhilfe:

http://forum.fachinformatiker.de/windows-betriebssysteme/125253-anwendung-immer-administrator-ausfuehren.html

[Lacknase]

Kurzfassung:

Meines Erachtens ergibt der obige Schritt keinen Sinn. Zumindest nicht, wenn man zuvor die (Sicherheits?)Richtlinie "wir unterscheiden die Rechte" eingeführt hat. Wenn es "sicher" sein soll, wird es ohne zusätzliche Software unter XP schlicht nicht gehen.

En detail (als Referenz dient hier ein XP Pro v. 2002/SP3):

Die "savecred"-Option legt einen festen Schlüssel an, der keineswegs nur für die Applikation allein gilt, die beim erstmaligen Speichern aufgerufen wurde. Dieser Schlüssel ist für die ganze Arbeitsstation/den Rechner verfügbar. Nur mal als Minimalbeispiel:

[1] Start -> Ausführen: runas /User:Administrator /savecred cmd.exe

Es öffnet sich eine DOS-Box mit der Paßwort-Abfrage. Nach erfolgreicher Eingabe verschwindet die Box, und die eigentliche DOS-Umgebung mit den Rechten von $RECHNERNAME\Administrator erscheint. Box schließen.

[2] Start -> Ausführen: runas /User:Administrator /savecred cmd.exe

Es öffnet sich eine DOS-Umgebung mit den Rechten von $RECHNERNAME/Administrator ohne jede Paßwort-Abfrage. (Die Paßwort-Eingabe öffnet sich nur kurz und verschwindet gleich wieder.)

[3] Start -> Ausführen: runas /User:Administrator /savecred regedit.exe

Autsch.

*HIER*WIRD*AUS*PIETÄTSGRÜNDEN*EINE*PAUSE*EINGELEGT*UND*DAUMEN*GEDRÜCKT*DASS*HOFFENTLICH*NICHT*DU*DER*ZUSTÄNDIGE*ADMIN*BIST*

Wenn Du es im Paßwort-Manager nachvollziehen möchtest:

[4] Start -> Ausführen: runas /User:Administrator /savecred "control userpasswords2"

Registerkarte: Erweitert, Button: Kennwörter verwalten, Liste: $RECHNERNAME\Administrator. Voila: das fest gespeicherte Administrator-Paßwort. Gültigkeitsgrenze: die Arbeitsstation/der Rechner. Wenn man den Account also via runas nun frei benutzen kann (korrekte Syntax-Kenntnis vorausgesetzt, denn man muß auch mit jedem neuen Befehlsaufruf wieder die "/savecred"-Option benutzen), kann man sich aus Rechtehierarchie-Perspektive jede weitere Unterscheidung von "administrativen" Rechten und normalen Benutzerrechten gleich schenken. Die ist de facto aufgehoben. (Mal ganz abgesehen davon, daß priviledge escalation ja nur der erste Schritt der vielen denkbaren Manipulationen wäre.)

Wenn ich mich also nicht täusche: Klassischer Schuß in beide Füße.

[Herr Gawasi]

Sowas darfst du mich nicht fragen. Sollte das Adminpasswort irgendwo drin stehen wärs m.M.n. nicht so schlimm, weil da keine Nerds vor den Rechnern sitzen sondern bestenfalls kein DAU. Scheint aber sowieso nicht zu funktionieren, Problem ist noch ungelöst

[Lacknase]

Das Paßwort erfährt niemand. Schlimmer: Man braucht es nach obiger Methode schlicht nicht mehr.

Und zur Problemlösung: Ohne zusätzliche Software geht es m.E. nicht.

[Herr Gawasi]

Ok, habe verstanden