moin,

ich habe das Problem dass ich für mein Prog. Admin rechte benötige(da ich Privilegien aktiviere).
Jedoch möchte ich aber auch das meien Anwenung z.B. unter einem Gast konto läuft.
Um dies zu bewerkstelligen habe ich zwei möglichkeiten: Impersonation oder einfach mit einem Dienst/IPC arbeiten.
Zweiteres wäre sicherlich komplexer. Für die erste variante berauche ich zusätzlich noch die Login Daten um ein gültiges Token zu erhalten, doch es wäre doof Jedesmal beim Start des Programms den Benutzer nach seinem PW zu fragen.


Meine Frage ist: ist es mögliche als SYSTEM zu laufen ohne die Login Daten?

Funktioniert es wenn ich einfach das Token vom Prozess "System" (Welches immer unter dem Benutzer SYSTEM) läuft
dubliziere(DublicateToken) und es mit NtSetInformationProcess meiner Anwendung zuweise??

Funzt WMI auch unter SYSTEM(man kann zumindest nicht auf Nezwerk Res.(SMP) zugreifen)?


Danke für antworten.

Nicht nur Fragen, sondern auch mal selber fünf Minuten nachdenken. Über leg dir mal, was das bedeuten würde, wenn es ginge. Oder übereleg dir mal, was für ein Nutzen ein Rechtesystem hätte, wenn das möglich wäre.

Siehe oben.

Es geht....

...ich habe z.B. einen Service(SYSTEM) der durch Impersonination ein Hilfprogramm zu bestimmten Zeiten startet und zwar mit den Rechten des eingeloggten Benutzers.

Da ich Script-Kiddies nicht unterstützen möchte, gebe ich weder Codebeispiele hier noch über PM/E-mail heraus.

Soviel sei gesagt es geht.....den Rest musst du dir selber zusammenfrimeln...Schlagwort ist Impersonination.

Der Threadautor möchte aber genau das Umgekehrte machen, und das ist nicht möglich ohne Passwort.

Btw, Zwischenfrage: hat "System" überhaupt ein Passwort, über das man selbst Programme mit Systemrechten starten kann? Oder kann das nur das System (oder ein Dienst mit Systemrechten) selbst anstoßen?

@Tyrael Y: Mit dem momentan eingeloggten Benutzer könnte es gehen. Ich meine, ich hätte da bei Keith Brown mal was gelesen, bin mir aber nicht sicher. Schick mir doch mal eine PN.

...ups hast Recht, hab mich verlesen, sry

Alles klar, man muß schon Selbst als SYSTEM laufen um sich ein gültiges Token zu schmieden, mehr wolte ich ja nicht wissen.
@Tyrael Y.: was will man da noch coden? Programme die von einem Dienst(SYSTEM) gestartet wurden verben den Benutzerkontext.
@Luckie : Du hast natürlich recht, wenn das funzen sollte, wozu bräuchte man dan noch den Security-Descriptor.

Es git dan noch die lösung das ich einfach mit einem Selbst gemachten Dienst immer die GUI als SYSTEM ausführe.
Dam arbeite ich am besten immer mit Checksummen damit ich jedesmal die richtige ausführbare starte.

Oder ich frage den Benutzer nur einmal nach den Login Daten und speichere sie natürlich verschlüsselt ab.

Da beides jedoch doof ist und ich sie so noch nie in der Praxis erlebt habe werde ich warscheinlich
ein Client(GUI) <> Server(Dienst mittelf Named Pipes erstellen.