Hallo,

auf den Client-PCs in unserem Windows-Netzwerk laufen Delphi-Programme
welche verschiedene ODBC-Einträge benötigen. Diese tragen wir bei der
Installation der PCs im Bereich "System-DSN" ein, damit sie allen
Benutzern zur Verfügung stehen.

Wenn mal ein Eintrag fehlt, oder ein neuer dazu kommt, soll das Programm
diesen selbstständig per TRegistry oder Import einer *.Reg-Datei eintragen.

Die Benutzer sind allerdings nur mit Benutzer- oder Hauptbenutzerrechten
angemeldet und dürfen daher nicht auf HKEY_LOCAL_MACHNINE zugreifen.

Gibt es eine Möglichkeit (z.B.mit hinterlegtem Admin-Benutzer+Passwort) diese
ODBC-Einträge anzulegen? Der Shell-Befehl "RunAs" hat laut Hlife nicht die
Möglichkeit ein Passwort zu hinterlegen...

Ihr könntet einen kleinen Service aufsetzen, welcher dann ja im System-Konto läuft.
Dieser muß nur einmal mit entsprechenden Rechten eingerichtet werden und läuft danach ohne Zutun.
Per Pipe, MMF o.Ä. könnte man dem nun die neuen Daten übergeben und er trägt sie dann dort ein.
Aber im Service nur die entsprechenden Einträge erlauben, da sonst ein Sicherheitsrisiko bestünde.

Ebenso wäre es doch wohl auch nicht so sicher, wenn irgendwo das Adminpasswort "ungeschützt" rumliegen täte, welches dann dein Programm verwenden würde.


CreateProcessAsUser und Co. aber ich würde, wie gesagt, eher davon abraten.

Du kannst diese Einstellungen via ActiveDirectory (AD) per GroupPolicyObjects (GPO) machen.

Bei einen >=2008er Server (DomainController) sogar besonders einfach.

Impersonate ist Dein Stichwort. Damit kannst Du in einem Delphi-Programm ein anderes Programm oder Vorgang als Admin aufrufen und ausführen.

aber dann muss er auch irgendwo die Zugangsdaten hinterlegen, was wieder ein Sicherheitsrisiko bedeutet.

Mit LsaStorePrivateData (alte Methode) oder CryptProtectData sollte dies ein geringes Problem sein.

Ich bin für den Service. Ist sinnvoll!

Dann muss man sich darum kümmern das keiner fehlt. Beim Installieren.
Und wenn etwas fehlt, führt man eine Reperatur-Anwendung aus. (Edit: Der Admin )

@himitsu:

Bei der Installation der PCs werden verschiedene DB-Clients aufgespielt
und hinterher per Hand die ODBC-Einträge erstellt. Da einige Versionen
der Clients im Umlauf sind kann ich nicht einfach eine *.reg hinterlegen,
da die Inhalte manchmal unterschiedlich sind.
Die Einträge werden natürlich unter System-DSN angelegt damit Sie hinterher
allen Benutzern zur Verfügung stehen...


@generic:

Zu dumm von mir einfach keine Fehler machen und schon sind alle Probleme gegessen!
Spass beiseite: wir haben über 140 PCs im Werk - eine Handvoll Win2K, die meisten WinXP und
mittlerweile auch 10 Window7 Maschinen. Alle paar Tage kommt einer aus dem Leasing raus und
ein neuer muß hergerichtet werden. Es kommt leider hin und wieder vor, das mal ein Eintrag
vergessen oder fehlerhaft angelegt wird. Sorry - In unserem werk arbeiten noch Menschen!
Manchmal wird die DB-Client Version durch eine neuere ersetzt oder eine weitere hinzugefügt die
bis dahin nicht im Einsatz war. Bei jeder Änderung zu allen PCs auf dem Werksgelände latschen
und alle Einträge kontrollieren ist nicht praktikabel. Solange keine Notwendigkeit besteht,
bleibt (z.B.beim Erscheinen eines neuen DB-Clients) auf den alten Rechnern auch der alte
Client drauf. Jedenfalls solange es keine Probleme gibt...

Dafür würde dann z.B. Nachts um 04:00 die EDV-Bereitschaft angerufen...ich
weiß ja nicht wie es mit euch ist - ICH LIEBE MEINE NACHTRUHE!

Daher besteht der Wunsch, das ein Programm beim Start seine Umgebung prüft und einfache Dinge
wie ODBC_Einträge selber anlegt...

Wie schon geschrieben, eine User DSN oder Datei DSN steht unter voller Hoheit des Benutzers.
Wieso willst Du Dich damit quälen, System DSN einzutragen? Doch nicht um Speicherplatz zu sparen oder?