Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Re: Programm als Admin ausführen

90 views
Skip to first unread message
Message has been deleted

Hans-Peter Matthess

unread,
Jan 8, 2009, 3:08:04 PM1/8/09
to
Elmar Haneke:

> wie kann ich unter Vista ein Programm immer als Admininstrator ausführen
> lassen, ohne dass jeweils der Password-Dialog erscheint?

In einem Standard-Konto?
Der Passwort-Dialog erscheint ja nur in einem Standard-Konto.

hpm

Helmut Rohrbeck

unread,
Jan 8, 2009, 2:31:59 PM1/8/09
to
Elmar Haneke <nos...@haneke.de> schrieb:

> wie kann ich unter Vista ein Programm immer als Admininstrator
> ausführen lassen, ohne dass jeweils der Password-Dialog erscheint?

Unter einem Standardbenutzer gar nicht.
Unter einem Administratorkonto lässt sich die UAC-Aufforderung
vermeiden:

1. Starte die Aufgabenplanung, wähle im rechten Fenster
"Aufgabe erstellen".

2. Registerkarte "Allgemein": Name eingeben und die Optionen
"Nur ausführen, wen der Benutzer angemeldet ist" und
"Mit höchsten Privilegien ausführen". Lasse "Trigger" leer.
Klicke unter "Aktionen" auf "Neu" und wähle "Programm starten".
Gib den Pfad zum Programm an, evtl. auch das Arbeitsverzeichnis.
Unter "Bedingungen" alles deaktivieren.
Unter "Einstellungen" aktivieren:
"Aufgabe kann bei Bedarf ausgeführt werden" und unter
"Folgende Regel anwenden..." "Keine neue Instanz starten"
auswählen.

3. Neue Verknüpfung erstellen mit dem Ziel:
C:\Windows\System32\schtasks.exe /run /TN "Taskname"

Anklicken der Verknüpfung startet nun das Programm mit erhöhten
Rechten ohne UAC.

--
Helmut Rohrbeck [MVP]
http://www.helmrohr.de/Kontakt.htm
Mail nur über das Kontaktformular
auf meiner Webseite!

Message has been deleted

Hans-Peter Matthess

unread,
Jan 9, 2009, 6:22:32 PM1/9/09
to
Elmar Haneke:

> Hat Windows wiklich nichts vergleichbares zu einem "sudo" zu bieten?

Was ist "sudo"? Ein Kampfsport?
Meine Fragen hast du ignoriert. Ein letzter Versuch:
Ansonsten kannst du das mit Bordmitteln über ein WSH-Skript
machen, welches "runas" verwendet. So mache ich es hier auch.
Eventuell bietet das Tool "Runasspc" auch eine Möglichkeit.

hpm

Message has been deleted

Hans-Peter Matthess

unread,
Jan 10, 2009, 7:42:51 AM1/10/09
to
Peter Schmidt-Schmiedebach:

> Wie willst Du hier nachträglich ein sudo implementieren?

Alles ist machbar, denn sowas

> http://www.heise.de/ct/motive/image/966/p800.jpg

gibt's nun mal nicht. :-)

hpm

Thomas D.

unread,
Jan 10, 2009, 9:46:06 AM1/10/09
to
Hallo,

Elmar Haneke schrieb:

> Helmut Rohrbeck <hel...@gmx.net> schrieb:


>
>>> wie kann ich unter Vista ein Programm immer als Admininstrator ausführen
>>> lassen, ohne dass jeweils der Password-Dialog erscheint?
>
>> Unter einem Standardbenutzer gar nicht.
>

> Hat Windows wiklich nichts vergleichbares zu einem "sudo" zu bieten?

Nein, ein sudo-ähnliches Programm ist mir nicht bekannt.

Bei sudo kann man sagen, dass Nutzer X berechtigt ist Programm Y mit
root-Rechten zu starten. Somit braucht Nutzer X das Root-Kennwort nicht zu
kennen...

Es gibt "runas", aber das benötigt Credentials. Es gibt hierfür andere
Lösungen, die die Credentials verschlüsselt speichern wollen usw. - aber
davon halte ich nichts.

Grüße,
Thomas
--
Grüße,
Thomas

Hans-Peter Matthess

unread,
Jan 10, 2009, 10:26:12 AM1/10/09
to
Thomas D.:

> Es gibt "runas", aber das benötigt Credentials. Es gibt hierfür andere
> Lösungen, die die Credentials verschlüsselt speichern wollen usw. - aber
> davon halte ich nichts.

Die Registrierung will sie allerdings auch verschlüsselt speichern
und auch da sind sie leicht entnehmbar. Ich sehe nicht ein, warum
ich bei gewissen Anwendungen jedes Mal ein Passwort eingeben soll.

hpm

Thomas D.

unread,
Jan 12, 2009, 7:48:37 AM1/12/09
to
Hallo,

Hans-Peter Matthess schrieb:

Also der "/savecreds"-Switch von runas.exe speichert die Daten *sicher* im
Kennwort/Zertifikatsspeicher des Nutzers. D.h. nur wenn sich der Nutzer
gegenüber Windows authentifizieren kann, hat er Zugriff darauf. Aber jeder
unter dem Nutzer laufender Prozess kann die Daten mehr oder weniger
auslesen, richtig - daher will man ja sein Admin-Kennwort bei keinem Nutzer
derart speichern.

Nur als Anmerkung: Selbstverständlich greift für den Speicher der gleiche
Schutz. D.h. wird das Benutzerkennwort durch den Admin zurückgesetzt, wird
somit dieser Speicher und die gespeicherten Daten unzugänglich.


Ich selbst stimme Dir auch zu, dass das "sudo"-Prinzip durchaus nützlich
wäre. Eventuell sollte es mal jemand in Connect als Feature-Wunsch
einstellen. Wenn es genügend Votes bekommt, sehen wir es evtl. in W7
*nurfestdaranglauben* ;-)


Wo ich gerade daran denke:
Ich erinnere mich noch an eine Argumentation von Microsoft hierzu.
Microsoft hatte gesagt, dass sie bewusst keinen Weg geschaffen haben, der
es einem "Benutzer" ermöglicht einen Prozess mit höchsten Rechten ohne
irgendeine Form der Authentifizierung zu starten. Wieso? Weil dann ganz
sicher - und hier stimme ich Microsoft zu - die Programmhersteller lieber
ihre Anwender instruiert hätten, diese Ausnahmen für die Anwendungen zu
definieren, anstatt die Anwendungen Windows-konform zu erstellen bzw. OEMs
gleich eine Liste von erlaubten Anwendungen vorgegeben hätten. Damit wäre
der Zugewinn an Sicherheit weg - auch könnte Malware hier manuell Einträge
vornehmen.

Hans-Peter Matthess

unread,
Jan 13, 2009, 9:13:34 AM1/13/09
to
Thomas D.:

>>> Es gibt "runas", aber das benötigt Credentials. Es gibt hierfür andere
>>> Lösungen, die die Credentials verschlüsselt speichern wollen usw. - aber
>>> davon halte ich nichts.

>> Die Registrierung will sie allerdings auch verschlüsselt speichern
>> und auch da sind sie leicht entnehmbar. Ich sehe nicht ein, warum
>> ich bei gewissen Anwendungen jedes Mal ein Passwort eingeben soll.

> Also der "/savecreds"-Switch von runas.exe speichert die Daten *sicher* im
> Kennwort/Zertifikatsspeicher des Nutzers. D.h. nur wenn sich der Nutzer
> gegenüber Windows authentifizieren kann, hat er Zugriff darauf. Aber jeder
> unter dem Nutzer laufender Prozess kann die Daten mehr oder weniger
> auslesen, richtig - daher will man ja sein Admin-Kennwort bei keinem Nutzer
> derart speichern.

Ja, aus diesen Gründen ist "savecreds" unerwünscht.



> Ich selbst stimme Dir auch zu, dass das "sudo"-Prinzip durchaus nützlich
> wäre. Eventuell sollte es mal jemand in Connect als Feature-Wunsch
> einstellen. Wenn es genügend Votes bekommt, sehen wir es evtl. in W7
> *nurfestdaranglauben* ;-)
>
>
> Wo ich gerade daran denke:
> Ich erinnere mich noch an eine Argumentation von Microsoft hierzu.
> Microsoft hatte gesagt, dass sie bewusst keinen Weg geschaffen haben, der
> es einem "Benutzer" ermöglicht einen Prozess mit höchsten Rechten ohne
> irgendeine Form der Authentifizierung zu starten. Wieso? Weil dann ganz
> sicher - und hier stimme ich Microsoft zu - die Programmhersteller lieber
> ihre Anwender instruiert hätten, diese Ausnahmen für die Anwendungen zu
> definieren, anstatt die Anwendungen Windows-konform zu erstellen bzw. OEMs
> gleich eine Liste von erlaubten Anwendungen vorgegeben hätten. Damit wäre
> der Zugewinn an Sicherheit weg - auch könnte Malware hier manuell Einträge
> vornehmen.

Das kann MS ruhig so lassen, solange ich mir über den Script Host meine
eigenen "sudos" nach Belieben erstellen kann. ;-)

hpm

Helmut Rohrbeck

unread,
Jan 15, 2009, 5:29:26 AM1/15/09
to
"Thomas D." <d...@discussions.microsoft.com> wrote:

>>> Es gibt "runas", aber das benötigt Credentials. Es gibt hierfür
>>> andere
>>> Lösungen, die die Credentials verschlüsselt speichern wollen usw. -
>>> aber
>>> davon halte ich nichts.
>

> Ich selbst stimme Dir auch zu, dass das "sudo"-Prinzip durchaus
> nützlich
> wäre. Eventuell sollte es mal jemand in Connect als Feature-Wunsch
> einstellen. Wenn es genügend Votes bekommt, sehen wir es evtl. in W7
> *nurfestdaranglauben* ;-)

Da gibt es jetzt "User Account Control settings" in der Systemsteuerung.
Damit lässt sich das Verhalten von UAC mit verschiedenen Einstellungen
konfigurieren.

Matthias

unread,
Jan 31, 2009, 10:12:47 AM1/31/09
to
Hans-Peter Matthess wrote:

sudo ist ein linux/unix programm mit welchem man ein Programm als superuser
(root) starten kann.
Man muss allerdings konfigurieren welcher user welche programme als root
ausführen darf.

Wie geht das mit WSH?

Ich habe einen remote-Zugang (cygwin/ssh) und einen user der auch in der
Gruppe Administratoren ist. Das Password des Administrators kenne ich aber
nicht.
Ich möchte nun das Programm attrib auszuführen und damit die Attribute von
Dateien ändern die anderen gehören.
Zu diesem Zeitpunkt ist sehr wahrscheinlich ein anderer User bei Vista
angemeldet aber ich weiß nicht welcher.
Mit der UAC Bestätigung hätte ich prinzipiell kein Problem. Sie müsste nur
beim aktuell angemeldeten User auftauchen.

Danke
Matthias
--
Don't Panic

Hans-Peter Matthess

unread,
Feb 2, 2009, 8:29:17 AM2/2/09
to
Matthias:

>> Was ist "sudo"? Ein Kampfsport?

> sudo ist ein linux/unix programm mit welchem man ein Programm als superuser


> (root) starten kann.
> Man muss allerdings konfigurieren welcher user welche programme als root
> ausführen darf.

Danke, war allerdings eher ne Scherzfrage. ;-)



> Wie geht das mit WSH?

> Ich habe einen remote-Zugang.....

Ohne jetzt näher auf die Remote-Geschichte einzugehen,
im Prinzip ganz einfach:

set WshShell = WScript.CreateObject("WScript.Shell")
wshshell.run "runas /user:Administrator X:\Pfad\programm.exe
WScript.Sleep 200
WshShell.SendKeys "Passwort"
WScript.Sleep 200
WshShell.SendKeys "~"

Eventuell wegen des Passworts nicht im Klartext als *.vbs, sondern mit
dem Skript-Encoder als *.vbe abspeichern.
Das Konto "Administrator" muss aktiviert sein und ein Passwort haben.
Falls ein so gestartetes Programm seine Daten nicht findet, alternativ:
"runas /env /user:Administrator...."

hpm

0 new messages