Hallo Experten,
ich möchte, dass ein normaler User ein Programm starten kann, das nur mit Administratorrechten läuft. Dazu habe ich einen Link eingerichtet und lasse das Programm mit „ausführen als…“ starten. Das funktioniert im Prinzip, hat aber den entscheidenden Nachteil, das Otto-Normaluser das Adminpasswort eingeben müsste. Erstens würde das heftigen Unwillen hervorrufen („äh, wie umständlich…“) und zweitens möchte ich aus Sicherheitsgründen nun nicht gerade jedem das Admin-Passwort verraten.
Gibt es eine bessere Lösung, eventuell den „Umweg“ über ein Batch-File oder ähnliches?
Das Ganze soll unter W2000 funktionieren.
ääähhhh, welches Programm soll das denn sein?
Weil alle Dienstprogramme in w2k lassen sich über lokale Sicherheitseinstellungen-lokaleRichtlinien-zuweisen von benutzerrechten steuern
alle selbstinstallierten Programme lassen sich meist über selbst mitgebrachte Steuerungen einstellen…
und wenns denn gar nicht anders geht: über den Taskplandienst gehen…
Gibt es eine bessere Lösung, eventuell den „Umweg“ über ein
Batch-File oder ähnliches?
Ja, da gibts was. Nennt sich MachMichAdmin und ist ein Projekt der c’t. Hier http://www.heise.de/software/download/machmichadmin/… gibts das Script, der Artikel dazu ist leider nur noch kostenpflichtig im Archiv zu haben. Google hilft da aber bestimmt gerne.
Ansonsten kannst Du auch mal bei http://noadmin.de/ reinschauen - evtl. gibts da ja eine Lösung für Deine Software.
Gibt es eine bessere Lösung, eventuell den „Umweg“ über ein
Batch-File oder ähnliches?
Das Ganze soll unter W2000 funktionieren.
Windows bietet für die Kommandozeile das Tool „runas“, womit Anwendungen unter anderer Benutzerkennung gestartet werden können. Das könntest du in einer Batch oder auch direkt in der Verknüpfung verwenden. Die Syntax wäre so:
Wenn du es so aufrufst, wirst du allerdings ebenfalls immer nach dem Password gefragt. Du kannst aber den Parameter „/savecred“ hinzufügen, dann wird das Passwort gespeichert.
Damit wirst du nur beim ersten Aufruf nach dem Passwort gefragt, von da an kann nicht wieder. Wenn ein anderer Benutzer das ganze aufruft, wird dieser auch einmal nach dem Passwort gefragt. Die Abfrage findet also einmal pro Benutzer statt, jeweils beim ersten Aufruf.
Wichtig ist in diesem Zusammenhang, dass dies eine recht große Einschränkung der Sicherheit des Systems darstellt. Ein Benutzer, bei dem auf diese Art einmal ein Programm als Admin gestartet wurde, kann jedes beliebige Programm als Administrator starten, ohne das Passwort kennen zu müssen. Einfach indem er mit dem runas-Befehl ein anderes Programm startet. Da das Passwort gespeichert ist, erfolgt keine weitere Abfrage.
das Problem kenn ich.
Abhilfe (vor allem: sichere Abhilfe!) schafft das Programm „RunAsSPC“ (http://robotronic.de/runasspc/).
Man erstellt eine Batchdatei, in der das Programm, der Account, das Passwort und ggf. ein paar Parameter eingestellt werden, und RunSaSPC erzeugt daraus ein verschlüsseltes cryptfile.
Durch Aufruf von RunAsSPC mit diesem verschlüsselten File als Kommando
(C:\Programme\runasspc\runasspc.exe /cryptfile:„C:\Programme\runasspc\pg2.spc“ /quiet) startet das darin festgelegte Programm im festgelegten User-Account - was auch der Admin-Account sein kann. Ich benutze das täglich, weil es die einzige Möglichkeit ist, die ich gefunden habe, ein Programm, das Adminrechte braucht, auch bei einem eingeschränkten User in den Autostart zu bekommen.
Vorteil ist halt, das das Passwort (nach Löschen der Batch, die das cryptfile erzeugt!) nicht mehr im Klartext auf der Platte rumliegt. Außerdem ist in dem Cryptfile noch irgendeine rechnerspezifische Information eingebaut, Umkopieren auf einen anderen Rechner funktioniert nicht (für die Schlauberger unter den Usern, die glauben, damit das Programm auch als Admin ausführen zu können
Hallo Woody,
zurück aus dem Urlaub habe ich mich jetzt für surun entschieden. Das Programm ist ganz toll, erfüllt alle meine Ansprüche und ist trotzdem auch für einen Laien wie mich leicht zu bedienen. Daumen rauf!
