RunAsUser
 

Ich arbeite an meinem PC eigentlich nur als Benutzer mit eingeschränkten Rechten. Da man aber manche Dinge als Administrator erledigen muss, habe ich mir entsprechende Verknüpfungen auf dem Desktop erstellt, die standardmäßig unter einem anderen Benutzer ausgeführt werden. Jetzt dachte ich mir, dass es eventuell ganz sinnvoll wäre diese Verknüpfungen/Programme mit einem Programm zu verwalten. Rausgekommen ist dabei das Programm RunAsUser.

Es ist noch in der Testphase, aber guck es euch doch schon mal an. Es geht eigentlich schon alles, bis auf das Bearbeiten eines Eintrages.

Es sollte eigentlich selbst-erklärend sein. Der Listview besitzt ein Kontextmenü, aber es können auch die entsprechenden Shortcuts benutzt werden.

Eventuell könnt ihr es ja sogar selber gebrauchen. Exe und Screenshots sind im Anhang.

2005-01-06: neue Version im Anhang.
Er sollte jetzt soweit fertig sein. Editieren ist jetzt auch möglich.

2005-01-06: neue Version im Anhang.
Und noch mal eine neue Version: Die Datei mit den Anwendungen wird jetzt im Anwendungsdaten Verzeichnis des Benutzers gespeichert und wenn eine Anwendung nicht mehr gefunden wird, dann wird jetzt das standard Symbol von Windows für nicht mehr gefundene Anwendungen bei Verknüpfungen genommen.
Desweiteren ist es jetzt mit Soße veröffentlicht.

Download: RunAsUser [110 KBytes]
Programm Homepage: RunAsUser Homepage

Re: RunAsUser
 

Man könnte die aktionen auch evtl. in einer menüleiste wiedergeben, aber sonst ganz gut.
kann man mit dem tool auch programme ausführen, die vom Admin für User gesperrt wurden, da bei uns inna schule fast alles gesperrt ist, sogar die Eingabeaufforderung. Dein tool wäre in solch einem Fall sehr hilfreich. Und das mit der menüleiste wäre deswegen für mich so gut, da auch *bitte lachen sie hier* der Rechtsklick gesperrt wurde.

Re: RunAsUser
 

Wenn du das Verzeichnis öffnen kannst, in das gesperrte Programm liegt, dann ja. Aber trotzdem musst du noch Bneutzer und Passwort des Ausführberechtigten kennen.

Kontextmenü von Anwendungen werden gesperrt? :shock: Was habt ihr da für einen paranoiden Administrator? :gruebel:

Re: RunAsUser
 

Du meinst: "Was habt ihr da für einen exzellenten Administrator?"! ;) ... dies gehört dazu, es gibt aber inzwischen auch andere und vor allem bessere Methoden um dies zu erreichen. Ich arbeite auch an einer OpenSource-Software die uns armen Admins gegen die quälende Übermacht von LUsern helfen wird :mrgreen:

@Luckie: Speicherst du die Paßwörter ab (zB im Secret Stash, siehe K.B.'s Buch)? Was genau tut dein Programm, die Beschreibung oben ist sehr diffus! Verwaltet es nur Shortcuts oder startet es u.U. selber die Anwendungen?

Re: RunAsUser
 

Hallo Lucki!
Dein Programm funktioniert auf meinen Computer nicht.
Gibt es irgenwelche Einschränkungen für Dein Programm.
Ich möchte als Benutzer bei Windows 2000 ohne Abmeldung Programme als Admin starten,
dies soll ja Dein Programm wohl ermöglichen ?
AundO

Tip für David! Ohne Passwort wird das nichts !!!

Re: RunAsUser
 

Was genau sind denn die Symptome (startet nicht, gibt Exception ...)? Soweit ich mich entsinne, beherrschte Luckie die Telepathie noch nicht so hervorragend :mrgreen:

Frage: ist der RunAs-Dienst aktiv?

Re: RunAsUser
 

Dass dabei aber so manches Programm unbedienbar wird, wird mit einkalkuliert oder wie? :roll:

Es startet selbst die Anwendungen. Passwörter werden nicht gespeichert.

@AundO: Sind deine Benutzerkonten mit Passwörtern versehe? das ist Voraussetzung.

Re: RunAsUser
 

Moin David,

Probier mal folgendes: Geh' mal in das System32 Verzeichnis und versuche command.com zu starten.

Re: RunAsUser
 

wär mal schön wenn ich auch mal ausführen könnte aber bei uns ist jede exe für schüler-login gesperrt,sogar die erstellten von Delphi d.h. ich kann mein eigens prog nur über delphi starten, ausser standard wie wordpad, paint, usw. wir haben im startmenü praktisch nichts, wir haben ja noch nicht einmal die uhr in der Taskleiste. desweiteren kann ich nicht über eigene Dateien, deshalb wärs ganz nützlich wenn RunAsUser die ganzen Progs ohne weiteres als Admin ausführen könnte, da die Pfade zu den Dateien mit meinen gleich sein müssten.
Deshalb wärs gut wenn man sowas mit einer Delphigeschriebenen anwendung machen könnte.
P.S: unser Admin will nur seine macht auf dem modersten Server im ganzen Saarland ausnutzen.

Re: RunAsUser
 

Und was bringt dir das? Kennst du sein Passwort? Und wenn ich hier schon lese, das meine Programme missbraucht werden sollen, noch bevor sie richtig fertiug sind, dann überlege ich mir, ob ich sie dann doch wirklich veröffentliche.

Re: RunAsUser
 

Das ist ja Quark. Ein exzellenter Admin testet die Umgebung um sich zu versichern, daß alle erwünschten Programme arbeiten. Aber da du ja so für die "Rechte" der LUser eintrittst, was hältst du denn davon, wenn der Admin ein System sauber erstellt hat, mit Image und allem drum und dran, neueste Patches - und dann kommt der erste Bekloppte (lies: LUser) und installiert MSN Messenger/Yahoo Messenger/mIRC oder andere installierbare Sicherheitslöcher, obwohl diese Funktionalität durch ein leichter administrierbares Programm ala GAIM bereits existiert?! Da wird einem schon anders. Um das zu verhindern und eben nicht mehr sauer auf die LUser sein zu müssen, verhindert man das von vornherein.

Ohne Paßwort geht auch dies nicht. Die Info im PS bezweifele ich doch sehr stark.

Re: RunAsUser
 

Hi,

wie geht das denn eigentlich, ein Programm unter Admin auszuführen, ohne das Passwort?
Ich habe schon mal ein Programm erstellt, das das auch macht, aber ohne Psswort ging das nicht.

Grüße
SvB

Re: RunAsUser
 

Dies geht prinzipiell garnicht, da ja irgendein Sicherheitskontext benötigt wird. Der einzige, den man als Admin erlangen kann ist SYSTEM, diesen erlangt man ohne Paßwort (aber auch nur, weil es über Umwege geschieht). Alle anderen Accounts benötigen immer eine Form der Authentifizierung. COM+ und andere Programme speichern diese Informationen im Secret Stash des Systems. Stichworte hierfür wären die Funktionen:
- LsaRetrievePrivateData und LsaStorePrivateData, sowie
- CryptProtectData und CryptUnprotectData

Re: RunAsUser
 

Da von gehe ich mal aus.

Aber dafür muss man doch nicht die rechte Maustaste deaktivieren? :shock: dann müsste er ja auch konsequenterweise die Kontextmenütaste deaktiviert haben und ohne die wäre so manches Programm (Explorer zum Beispiel) für mich unbrauchbar.

Aber wir kommen vom Thema ab.

Re: RunAsUser
 

@Luckie missbrauchen is doch etwas übertrieben was sollte ich den an nem schulserver großartig machen, ich will ja nich hacken oder den Server unsicher machen. Und wenn dann könnte man so evtl.e Lücken dem Admin zur Kenntniss geben.

Die PS-Aussage mag zwar für euch etwas stark klingen, aber ich meine wenn man schon die uhr und dann auch noch Kontextmenü wirklich überall sperrt find ich das übertrieben, dadurch geht (zumindest für mich) ein gutes Stück Handhabung von manchen programmen weg. Und dann eben noch seine Art manches durchzusetzen ist dann auch nicht besser als meine aussage.

Ich entschuldige mich hiermit auch für aufgetretene Missverständnisse.

Re: RunAsUser
 

Noch mal ne Frage OT:
Wie schafft man es, dass die Anwendung so klein ist (20KB). Da hat bei mir ja ein leeres Programm mehr Bedarf.

Re: RunAsUser
 

In dem man auf die VCL verzichtet: Was_ist_nonVCL.

Re: RunAsUser
 

Sorry, im Grunde habe ich gelogen. Es geht schon aus der TCB heraus, daß man sich ein Token selber ohne Paßwort zusammenschmiedet. Dazu muß man nur die SID des Benutzers herausfinden und die entsprechenden Rechte zum "Schmieden" haben.

Beispiel wäre der SSHD von OpenSSH.

Re: RunAsUser
 

Neue und wohl fertige Version, siehe Anhang erstes Posting.

Re: RunAsUser
 

Und noch mal aktualisiert. Siehe dazu erstes Posting. Ist jetzt auch OpenSource.

Re: RunAsUser
 

Ich hab jetzt auch mal eine Frage zu dem Programm bzw. zu CreateProcessWithLogonW generell:

Folgendes Kommando öffnet den Arbeitsplatz im Explorer:
Wie geb ich das in dem Programm an? Wenn ich den Explorer als Kommando angebe und die CLSID als Parameter, bekomm ich keine Fehlermeldung, aber auch keinen Arbeitsplatz. Im Startmenü unter Ausführen funktioniert das Kommando.

Re: RunAsUser
 

Ich habe auch schon vergeblich versucht den Explorer mit irgendwelchen Parametern zu starten. Ich kann es dir nicht sagen, warum es nicht geht.

Re: RunAsUser
 

Es muss am Explorer liegen, andere Programme lassen sich mit Parameter starten. Naja, ich mach mich mal auf die Suche, vielleicht findet sich was über das Problem.