RunAsUser

**Luckie**

Ich arbeite an meinem PC eigentlich nur als Benutzer mit eingeschränkten Rechten. Da man aber manche Dinge als Administrator erledigen muss, habe ich mir entsprechende Verknüpfungen auf dem Desktop erstellt, die standardmäßig unter einem anderen Benutzer ausgeführt werden. Jetzt dachte ich mir, dass es eventuell ganz sinnvoll wäre diese Verknüpfungen/Programme mit einem Programm zu verwalten. Rausgekommen ist dabei das Programm RunAsUser.

Es ist noch in der Testphase, aber guck es euch doch schon mal an. Es geht eigentlich schon alles, bis auf das Bearbeiten eines Eintrages.

Es sollte eigentlich selbst-erklärend sein. Der Listview besitzt ein Kontextmenü, aber es können auch die entsprechenden Shortcuts benutzt werden.

Eventuell könnt ihr es ja sogar selber gebrauchen. Exe und Screenshots sind im Anhang.

2005-01-06: neue Version im Anhang.
Er sollte jetzt soweit fertig sein. Editieren ist jetzt auch möglich.

2005-01-06: neue Version im Anhang.
Und noch mal eine neue Version: Die Datei mit den Anwendungen wird jetzt im Anwendungsdaten Verzeichnis des Benutzers gespeichert und wenn eine Anwendung nicht mehr gefunden wird, dann wird jetzt das standard Symbol von Windows für nicht mehr gefundene Anwendungen bei Verknüpfungen genommen.
Desweiteren ist es jetzt mit Soße veröffentlicht.

Download:

RunAsUser [110 KBytes]
Programm Homepage:

RunAsUser Homepage

Zitat von Luckie:

Zitat von Assarbad:

Zitat von Luckie:

Kontextmenü von Anwendungen werden gesperrt?

Was habt ihr da für einen paranoiden Administrator?

Du meinst: "Was habt ihr da für einen exzellenten Administrator?"!

... dies gehört dazu,

Dass dabei aber so manches Programm unbedienbar wird, wird mit einkalkuliert oder wie?

Das ist ja Quark. Ein exzellenter Admin testet die Umgebung um sich zu versichern, daß alle erwünschten Programme arbeiten. Aber da du ja so für die "Rechte" der LUser eintrittst, was hältst du denn davon, wenn der Admin ein System sauber erstellt hat, mit Image und allem drum und dran, neueste Patches - und dann kommt der erste Bekloppte (lies: LUser) und installiert MSN Messenger/Yahoo Messenger/mIRC oder andere installierbare Sicherheitslöcher, obwohl diese Funktionalität durch ein leichter administrierbares Programm ala GAIM bereits existiert?! Da wird einem schon anders. Um das zu verhindern und eben nicht mehr sauer auf die LUser sein zu müssen, verhindert man das von vornherein.

Zitat von Birzenbae:

wär mal schön wenn ich auch mal ausführen könnte aber bei uns ist jede exe für schüler-login gesperrt,sogar die erstellten von Delphi d.h. ich kann mein eigens prog nur über delphi starten, ausser standard wie wordpad, paint, usw. wir haben im startmenü praktisch nichts, wir haben ja noch nicht einmal die uhr in der Taskleiste. desweiteren kann ich nicht über eigene Dateien, deshalb wärs ganz nützlich wenn RunAsUser die ganzen Progs ohne weiteres als Admin ausführen könnte, da die Pfade zu den Dateien mit meinen gleich sein müssten.
Deshalb wärs gut wenn man sowas mit einer Delphigeschriebenen anwendung machen könnte.
P.S: unser Admin will nur seine macht auf dem modersten Server im ganzen Saarland ausnutzen.

Ohne Paßwort geht auch dies nicht. Die Info im PS bezweifele ich doch sehr stark.

**SvB**

Hi,

wie geht das denn eigentlich, ein Programm unter Admin auszuführen, ohne das Passwort?
Ich habe schon mal ein Programm erstellt, das das auch macht, aber ohne Psswort ging das nicht.

Grüße
SvB

Zitat von SvB:

wie geht das denn eigentlich, ein Programm unter Admin auszuführen, ohne das Passwort?
Ich habe schon mal ein Programm erstellt, das das auch macht, aber ohne Psswort ging das nicht.

Dies geht prinzipiell garnicht, da ja irgendein Sicherheitskontext benötigt wird. Der einzige, den man als Admin erlangen kann ist SYSTEM, diesen erlangt man ohne Paßwort (aber auch nur, weil es über Umwege geschieht). Alle anderen Accounts benötigen immer eine Form der Authentifizierung. COM+ und andere Programme speichern diese Informationen im Secret Stash des Systems. Stichworte hierfür wären die Funktionen:
- LsaRetrievePrivateData und LsaStorePrivateData, sowie
- CryptProtectData und CryptUnprotectData

**Luckie**

Zitat von Assarbad:

Ein exzellenter Admin testet die Umgebung um sich zu versichern, daß alle erwünschten Programme arbeiten.

Da von gehe ich mal aus.

Zitat:

Aber da du ja so für die "Rechte" der LUser eintrittst, was hältst du denn davon, wenn der Admin ein System sauber erstellt hat, mit Image und allem drum und dran, neueste Patches - und dann kommt der erste Bekloppte (lies: LUser) und installiert MSN Messenger/Yahoo Messenger/mIRC oder andere installierbare Sicherheitslöcher, obwohl diese Funktionalität durch ein leichter administrierbares Programm ala GAIM bereits existiert?! Da wird einem schon anders. Um das zu verhindern und eben nicht mehr sauer auf die LUser sein zu müssen, verhindert man das von vornherein.

Aber dafür muss man doch nicht die rechte Maustaste deaktivieren?

dann müsste er ja auch konsequenterweise die Kontextmenütaste deaktiviert haben und ohne die wäre so manches Programm (Explorer zum Beispiel) für mich unbrauchbar.

Aber wir kommen vom Thema ab.

**Birzenbae**

@Luckie missbrauchen is doch etwas übertrieben was sollte ich den an nem schulserver großartig machen, ich will ja nich hacken oder den Server unsicher machen. Und wenn dann könnte man so evtl.e Lücken dem Admin zur Kenntniss geben.

Die PS-Aussage mag zwar für euch etwas stark klingen, aber ich meine wenn man schon die uhr und dann auch noch Kontextmenü wirklich überall sperrt find ich das übertrieben, dadurch geht (zumindest für mich) ein gutes Stück Handhabung von manchen programmen weg. Und dann eben noch seine Art manches durchzusetzen ist dann auch nicht besser als meine aussage.

Ich entschuldige mich hiermit auch für aufgetretene Missverständnisse.

**Nicolai1234**

Noch mal ne Frage OT:
Wie schafft man es, dass die Anwendung so klein ist (20KB). Da hat bei mir ja ein leeres Programm mehr Bedarf.

**Luckie**

In dem man auf die VCL verzichtet:

Was_ist_nonVCL.

Zitat von Assarbad:

Dies geht prinzipiell garnicht, da ja irgendein Sicherheitskontext benötigt wird. Der einzige, den man als Admin erlangen kann ist SYSTEM, diesen erlangt man ohne Paßwort (aber auch nur, weil es über Umwege geschieht). Alle anderen Accounts benötigen immer eine Form der Authentifizierung. COM+ und andere Programme speichern diese Informationen im Secret Stash des Systems. Stichworte hierfür wären die Funktionen:
- LsaRetrievePrivateData und LsaStorePrivateData, sowie
- CryptProtectData und CryptUnprotectData

Sorry, im Grunde habe ich gelogen. Es geht schon aus der TCB heraus, daß man sich ein Token selber ohne Paßwort zusammenschmiedet. Dazu muß man nur die SID des Benutzers herausfinden und die entsprechenden Rechte zum "Schmieden" haben.

Beispiel wäre der SSHD von OpenSSH.

**Luckie**

Neue und wohl fertige Version, siehe Anhang erstes Posting.

**Luckie**

Und noch mal aktualisiert. Siehe dazu erstes Posting. Ist jetzt auch OpenSource.

SvB Delphi 10.1 Berlin Enterprise	#12 4. Jan 2005, 18:57 Hi, wie geht das denn eigentlich, ein Programm unter Admin auszuführen, ohne das Passwort? Ich habe schon mal ein Programm erstellt, das das auch macht, aber ohne Psswort ging das nicht. Grüße SvB
	Zitat

Nicolai1234 Turbo Delphi für Win32	#16 4. Jan 2005, 20:23 Noch mal ne Frage OT: Wie schafft man es, dass die Anwendung so klein ist (20KB). Da hat bei mir ja ein leeres Programm mehr Bedarf.
	Zitat

Luckie Delphi 2006 Professional	#17 4. Jan 2005, 20:26 In dem man auf die VCL verzichtet: Was_ist_nonVCL. Michael
	Zitat

Luckie Delphi 2006 Professional	#19 6. Jan 2005, 00:40 Neue und wohl fertige Version, siehe Anhang erstes Posting. Michael
	Zitat

Luckie Delphi 2006 Professional	#20 6. Jan 2005, 14:37 Und noch mal aktualisiert. Siehe dazu erstes Posting. Ist jetzt auch OpenSource. Michael
	Zitat

RunAsUser

Forumregeln