Habe ich etwas davon wenn ich den Admin-Login weiß?
 

Folgendes Szenario:

• Eine Kiosk-Anwendung liegt im Autostart eines Kontos ohne Adminrechte
• Auf dem Rechner existiert ein lokales Admin-Konto dessen Zugangsdaten nicht allgemein bekannt sind, sich aber aus der Kundennummer ergeben
• Die Kiosk-Anwendung soll nun eine Oberfläche bieten um Netzwerk-Adapter-Einstellungen zu ändern. Für diese Änderung braucht man administrative Rechte.

Meine Frage:
Bringt es mir etwas, die Zugangsdaten für das Admin-Konto zu wissen? Sprich: Kann meine Anwendung diese Änderung vornehmen ohne dass jemand vor Ort auf einem UAC-Dialog das Passwort eingeben muss?


Ich weiß, es gibt tausende Treffer zu "Run application without UAC prompt"- Aber auf mein Szenario finde ich ehrlich nichts passendes :oops:

AW: Habe ich etwas davon wenn ich den Admin-Login weiß?
 

Eindeutig ja. Programme wie RunAs Professional und RunAsSpc helfen dabei, beliebige Programme als Admin auszuführen. Beide Programme hinterlegen die Credentials und Angaben über das zu startende Programm in speziellen verschlüsselten Dateien, ohne dass dem ausführenden Nutzer die Zugangsdaten bekannt sein müssten. Alternativ kann man sowas natürlich auch selber schreiben, d.h. Zugangsdaten irgendwo verschlüsselt ablegen und bei Bedarf das externe Programm via passender API-Funktion aufrufen (CreateProcessAsUser müsste das sein).

MfG Dalai

AW: Habe ich etwas davon wenn ich den Admin-Login weiß?
 

Alternativ läuft ein entsprechend abgesicherter Service mit den nötigen Rechten und via IPC nimmt die Benutzeranwendung Kontakt auf und lässt den Anderen die Änderungen vornehmen.
So gibt es nirgendwo die Zugangsdaten zum OS, sondern nur die zum Service. (zum automatischen Entschlüsseln muß ja irgendwo der Schlüssel unverschlüsselt rumliegen)

AW: Habe ich etwas davon wenn ich den Admin-Login weiß?
 

Ja, "sauber" wäre es mit einem Service. Aber das ist momentan leider keine Option. Drittanbieter-Tools leider auch nicht.
Dass das Adminkonto super-geheim wäre ist auch nicht der Fall, um Verschlüsselung bzw. Speicherung dieser super-sensiblen Daten muss sich somit auch keiner Sorgen machen.

Es geht mehr oder weniger nur darum, dass ich das Windows Tool "netsh" ohne UAC-Fenster dazwischen einmal aufrufen möchte.
sieht schon einmal gut aus, mal sehen ob ich damit weiterkomme.

AW: Habe ich etwas davon wenn ich den Admin-Login weiß?
 

Ja das geht. Schau dir unter anderem auch LogonUserW an ;)
Habe auf meiner Firma für uns eine Prozess-Komponennte geschrieben, die auch LoginDaten benutzen kann. Das klappt wunderbar :twisted:

AW: Habe ich etwas davon wenn ich den Admin-Login weiß?
 

Hallo-

Vielleicht habe ich es bislang falsch gemacht, aber Login als irgendjemand- Klar, das geht. Ich kannte z.B. bislang nur ImpersonateLoggedOnUser.

Aber damit erhalte ich ja nicht "Elevation". Das geht nicht nachträglich, das weiß ich. Aber ich könnte doch einen anderen Prozess mit erhöhten Rechten starten. Vielleicht übersehe ich in euren vorgeschlagenen Befehlen ja nur einen Parameter. Ich suche weiter...

AW: Habe ich etwas davon wenn ich den Admin-Login weiß?
 

Nun, spätestens mit dem standardmäßig deaktivierten Administratorkonto geht das, denn dieses unterliegt nicht der UAC Approval. D.h. wenn ein Prozess unter diesem Konto ausgeführt wird, bekommt er automatisch Adminrechte. Aber IIRC müsste das auch mit anderen Adminkonten funktionieren.

MfG Dalai

AW: Habe ich etwas davon wenn ich den Admin-Login weiß?
 

Ich noch einmal-

Ich gebe jetzt wohl auf- Es scheint keinen Weg zu geben, eine Anwendung mit Admin-Rechten auszuführen ohne den UAC-Dialog. Selbst wenn man das Passwort für einen Admin-Account hinterlegt hat.

, , die alle gehen an sich. Aber Adminrechte können sie dem neuen Prozess auch nicht verschaffen. Das geht nur über , und das macht immer den UAC-Dialog auf.

Schade. :-(

AW: Habe ich etwas davon wenn ich den Admin-Login weiß?
 

Das ist doch der Sinn des UAC Dialogs, den Benutzer zu sagen das ein Prog. Adminrechte haben zu wollen.

Wenn das nicht so wäre könnte Viren ja machen was sie wollten.

AW: Habe ich etwas davon wenn ich den Admin-Login weiß?
 

Jedenfalls nich immer und in jedem Fall. Mußte gerade einen Updatedurchführen und war dementsprechend als Admin eingeloggt. Trotzdem mußte ich einer Anwendung ein "RunasAdnin" mitgeben.
:thumb:

Manchmal fragt man sich schon, warum das eine oder andere Programm unbedingt AdminRechte benötigt. Aber das ist ja wohl eher die Schuld der Programmierer und nicht von MS.

Gruß
K-H