 |
 |
 |
 |
 |
|
Programmierung allgemein
Win32/Win64 API (native code)
Delphi Ein gültiges Token für CreateProcessAsuser bekommen
Antwort
|
Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional |
#1
Ein gültiges Token für CreateProcessAsuser bekommen
9. Sep 2004, 22:56
 CreateProcessAsUser verlangt als ersten Parameter einen Token. Den kann man mit LogonUser bekommen. Nur leider schlägt LogonUser bei mir immer fehl:
Delphi-Quellcode:
Wie Motzi hier im Forum schon gesagt hat, braucht man dazu das Privileg 'SeTcbPrivilege'. Das bekomme ich auch. Aber LogonUser schlägt trotzdem fehl.
function RunAs(const User, PW, App, Params: string): DWORD;
var bReturn: Boolean; dwReturn: DWORD; hLogon: THandle; si: TStartupInfo; pi: TProcessInformation; begin SetLastError(0); if EnablePrivilege('SeTcbPrivilege') = 0 then begin bReturn := LogonUser(PChar(User), nil, PChar(PW), LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_WINNT50, hLogon); if bReturn then begin ZeroMemory(@si, sizeof(si)); si.cb := sizeof(si); ZeroMemory(@pi, sizeof(pi)); if CreateProcessAsUser(hLogon, PChar(App), PChar(Params), nil, nil, False, CREATE_DEFAULT_ERROR_MODE, nil, nil, si, pi) then dwReturn := 0 else dwReturn := GetLastError; CloseHandle(hLogon); ZeroMemory(@PW[1], length(PW)); end else dwReturn := GetLastError; end else dwReturn := GetLastError; result := dwReturn; end; Zu Testezwecken wollte ich einfach eine Konsole als Admin öffen (bin selber nur Benutzer). Als fehlermeldung bekomme ich immer: 
Zitat:
---------------------------
Project1 --------------------------- Der Client besitzt ein erforderliches Recht nicht --------------------------- OK ---------------------------
Michael
Ein Teil meines Codes würde euch verunsichern. |
Zitat
|
|
(Co-Admin)
Registriert seit: 29. Mai 2002 Ort: Hamburg 11.105 Beiträge Delphi 11 Alexandria |
#2
Re: Ein gültiges Token für CreateProcessAsuser bekommen
10. Sep 2004, 00:04
Tschüss Chris
Die drei Feinde des Programmierers: Sonne, Frischluft und dieses unerträgliche Gebrüll der Vögel. Der Klügere gibt solange nach bis er der Dumme ist |
|
Zitat
|
|
Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional |
#3
Re: Ein gültiges Token für CreateProcessAsuser bekommen
10. Sep 2004, 00:11
Hatte ich mal von Nico für SeDebugPrivilege. Ich habe es verallgemeinert. Ist da ein Fehler drin?
Jetzt bekomme ich nach: if (EnablePrivilege('SeTcbPrivilege') = 0) and (EnablePrivilege('SeTcbName') = 0)
Zitat:
---------------------------
Project1 --------------------------- Ein angegebenes Recht ist nicht vorhanden --------------------------- OK --------------------------- 
Michael
Ein Teil meines Codes würde euch verunsichern. |
|
Zitat
|
Registriert seit: 18. Aug 2004 Ort: Edewecht 712 Beiträge Delphi 5 Professional |
#4
Re: Ein gültiges Token für CreateProcessAsuser bekommen
10. Sep 2004, 00:45
Zitat von Luckie:
Nur leider schlägt LogonUser bei mir immer fehl
 Project Jedi. Dort findest du die Funktion CreateProcAsUserEx. Anhand des Quellcodes kannst du dann auch leicht nachvollziehen wie das alles funktioniert.
Ciao, Sprint.
"I don't know what I am doing, but I am sure I am having fun!" |
|
Zitat
|
|
Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional |
#5
Re: Ein gültiges Token für CreateProcessAsuser bekommen
10. Sep 2004, 01:25
Letztendlich mache ich doch auch nichts anderes. Die Jedis setzten sogar noch nicht mal irgendwelche Privilegien. Ungetestet kann ich mir dann nicht vorstellen, dass deren Methode funktionieren sollte.
Michael
Ein Teil meines Codes würde euch verunsichern. |
|
Zitat
|
|
Registriert seit: 18. Aug 2004 Ort: Edewecht 712 Beiträge Delphi 5 Professional |
#6
Re: Ein gültiges Token für CreateProcessAsuser bekommen
10. Sep 2004, 01:50
Zitat von Luckie:
Letztendlich mache ich doch auch nichts anderes. Die Jedis setzten sogar noch nicht mal irgendwelche Privilegien. Ungetestet kann ich mir dann nicht vorstellen, dass deren Methode funktionieren sollte.
Edit: Ahh, ich hab gerade was gefunden. 
Zitat:
The key to successfully calling LogonUser is by ensuring that the user
account the code is executing under (normally the interctively logged on user) has the SE_TCB_NAME privilege assigned to his/her account. You see, there is a difference between having a privilege and enabling a privilege (you're code only attempts to do the latter). You can assign this privilege through either the LSA API or using the Local Security Policy MMC snapin (Start | Programs | Adminstrative Tools). After you've done that you must logout/login again for the privilege to become available. After that calling LogonUser should succeed (even without explicitly enabling the privilege). As an aside a word of caution, the SE_TCB_NAME privilege is an enormously powerfull privilege. Unless there really is no other way to achieve way you're attempting to do, you should not assign this privilege to just any user - it effectively makes the user even more powerfull than the Administrator user itself!
Ciao, Sprint.
"I don't know what I am doing, but I am sure I am having fun!" |
|
Zitat
|
|
Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional |
#7
Re: Ein gültiges Token für CreateProcessAsuser bekommen
10. Sep 2004, 02:35
Zitat von Sprint:
Hast du dir diese Artikel von Microsoft durchgelesen?
Zitat:
Ich frage mich nur, wie du auf die Idee kommst, das der in deinem ersten Posting genantte Privileg gesetzt werden muss.
Michael
Ein Teil meines Codes würde euch verunsichern. |
|
Zitat
|
Registriert seit: 6. Aug 2002 Ort: Wien 598 Beiträge Delphi XE2 Professional |
#8
Re: Ein gültiges Token für CreateProcessAsuser bekommen
11. Sep 2004, 16:08
Manuel Pöter
|
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Linear-Darstellung
