Microsoft Windows Vista Community Forums - Vistaheads
Recommended Download



Welcome to the Microsoft Windows Vista Community Forums - Vistaheads, YOUR Largest Resource for Windows Vista related information.

You are currently viewing our boards as a guest which gives you limited access to view most discussions and access our other features. By joining our free community you will have access to post topics, communicate privately with other members (PM), respond to polls, upload content and access many other special features. Registration is fast, simple and absolutely free so , join our community today!

If you have any problems with the registration process or your account login, please contact us.

Driver Scanner

Runas mit dem "real" Administrator (SID ...-500) Account

microsoft.public.de.windows.vista.administration






Speedup My PC
Reply
  #1 (permalink)  
Old 02-25-2009
Thomas Steinbach
 

Posts: n/a
Runas mit dem "real" Administrator (SID ...-500) Account
Hallo NG,

ich versuche nun schon seit einigen Tagen das Tool setx
mit dem -m Swithch in einem adminstrator account und
automatisch beim Systemstart eine variable setzten zu
lassen. Leider kein Erfolg.

btw: Ich habe auch alle mir verfuegbaren versionen von setx
durchprobiert, aber keines mag so wie ich mir das denke.
(2000 reskit, xp sup tools und das von Vista selbst), bzw.
verhalten sich alle gleich...

Alle drei Versionen funktionieren mit dem -m Switch
und dem "real" Administrator (ich bezeichne diesen
immer als "real" Administrator; der mit der SID ...-500)

Erstmal kurz was ich erreichen will:

Ich lasse beim Systemstart automatisch folgende
batch datei zusammenbasteln, die die aktuelle IP
des Routers setzen kann. Diese soll nun im
systemweiten Kontext zur Verfuegung stehen und
beim Systemstart ausgefuehrt werden. 1)

---snip---
@echo off
set WLAN_IP=123.123.123.123
runas.exe /noprofile /savecred /user:admin setx.exe WLANIP %%WLAN_IP%% -m"
---snap---

wobei admin Mitglied der gruppe Adminstrators ist.
Die batch habe ich in "Group Policy Object Editor->
Windows Settings-> Scripts->Starup) eingetragen.

Das ganze funktioniert prima, wenn man es ohne -m und im
Userkontext laufen lassen laesst und es funktioniert super,
wenn man es mit dem "real" Administrator laufen laesst.
(Eben wenn dieser "enabled" ist und ein passwort hat)

Das doofe ist halt das dieser Account per default
nicht aktiviert ist und auch kein Passwort hat. Und so
wie ich das verstanden habe und mir gelaeufig ist,
sollte man diesen wohl auch nicht aktivieren, sondern
nur bei Systemcrash und wenn eine Systemherstellung
ueber die Recovery Console erfolgen soll.

Aber wie kann man ein solches Tool laufen lassen?
Eben den Zugriff auf die Registry (HKLM->System->
Control->CurentControlSettings->Session Manager->
Environment->WLANIP=123.123.123.123) erlauben?

Ich habe auch versucht das Tool ueber die Properties
mit den Eigenschaften "Als Adminsitrator ausfuehren"
zu versehen. Aber auch das hilft nicht. Ist ja auch
disabled...

Hoffe hier kann mir jemand helfen, da hier sicher auch
ein paar Profis sind.

btw: Gibt es nicht ein Tool das "normale" Programme
quasi zur Ausfuehrung und fuer solche Zwecke in einen
erhoeten Sicherheitskontext setzen kann, so das diese
dann (als Adminstrator) automatisch auszufuehren gehen?

Oder kann man die Schreibrechte fuer eine bestimmten
User genau auf diesen Registryzweig erlauben?
Wie macht man das?

Thomas

1) dazu rufe ich den Status des servers ab (curl)
und schippel mit sed die IP aus. Diese setze ich
dann in die Batch... Klappt soweit auch gut...

Reply With Quote
Sponsored Links
  #2 (permalink)  
Old 02-26-2009
Nils Kaczenski [MVP]
 

Posts: n/a
Re: Runas mit dem "real" Administrator (SID ...-500) Account
Moin,

Thomas Steinbach schrieb:
> runas.exe /noprofile /savecred /user:admin setx.exe WLANIP %%WLAN_IP%% -m"


runas in einem Batch ist eine ganz schlechte Idee. Dazu kommt in deinem
Fall, dass runas unter Vista keine Erhöhung der Privilegien erzeugt,
wenn UAC im Spiel ist (siehe unten).

> Das doofe ist halt das dieser Account per default
> nicht aktiviert ist und auch kein Passwort hat. Und so
> wie ich das verstanden habe und mir gelaeufig ist,
> sollte man diesen wohl auch nicht aktivieren, sondern
> nur bei Systemcrash und wenn eine Systemherstellung
> ueber die Recovery Console erfolgen soll.


Richtig.

> Aber wie kann man ein solches Tool laufen lassen?


Das kommt darauf an, was du denn eigentlich erreichen willst. Das Setzen
der Systemvariable ist ja auch nur ein Mittel - welcher Zweck steht
dahinter?

Eine Möglichkeit wären z.B. die GPP, wenn es denn vom Konstrukt her
passt. Aber um das zu beurteilen, muss man wissen, was du vorhast.

[GPP - Group Policy Preferences - Gruppenrichtlinien Einstellungen]
http://www.grurili.de/Vista/GPP_Grou...references.htm

> Ich habe auch versucht das Tool ueber die Properties
> mit den Eigenschaften "Als Adminsitrator ausfuehren"
> zu versehen. Aber auch das hilft nicht. Ist ja auch
> disabled...


Das hat nichts miteinander zu tun. "Als Administrator" meint je nach
Modus irgendein Adminkonto bzw. das Freischalten der vorhandenen
Adminrechte. Siehe Link unten.

> btw: Gibt es nicht ein Tool das "normale" Programme
> quasi zur Ausfuehrung und fuer solche Zwecke in einen
> erhoeten Sicherheitskontext setzen kann, so das diese
> dann (als Adminstrator) automatisch auszufuehren gehen?


Geht nicht. Soll auch nicht gehen.

[faq-o-matic.net » Benutzerkontensteuerung (UAC) richtig einsetzen]
http://www.faq-o-matic.net/2008/02/2...tig-einsetzen/

> Oder kann man die Schreibrechte fuer eine bestimmten
> User genau auf diesen Registryzweig erlauben?
> Wie macht man das?


Das geht grundsätzlich, und zwar genauso wie auch bei Dateien oder Ordnern.


Schöne Grüße, Nils

--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/pr...Nils.Kaczenski
Reply With Quote
  #3 (permalink)  
Old 02-26-2009
Hans-Peter Matthess
 

Posts: n/a
Re: Runas mit dem "real" Administrator (SID ...-500) Account
Thomas Steinbach:

> btw: Gibt es nicht ein Tool das "normale" Programme
> quasi zur Ausfuehrung und fuer solche Zwecke in einen
> erhoeten Sicherheitskontext setzen kann, so das diese
> dann (als Adminstrator) automatisch auszufuehren gehen?


Es bestehen Mglichkeiten ber die Aufgabenplanung,
siehe hier:
http://groups.google.com/group/micro...a15459fec0a5f1
Weiterhin ber ein WSH-Script (ohne savecred). Braucht allerdings das
Konto "Administrator".
Weiterhin gibt es Tools wie "runasspc" oder "psexec".
Mit Letzterem lassen sich Anwendungen z.B. im Konto
des Benutzers "System" starten.

hpm
Reply With Quote
  #4 (permalink)  
Old 02-28-2009
Thomas Steinbach
 

Posts: n/a
Re: Runas mit dem "real" Administrator (SID ...-500) Account
Hallo Nils,

>> [...]
>> Aber wie kann man ein solches Tool laufen lassen?

>
> Das kommt darauf an, was du denn eigentlich erreichen willst. Das Setzen
> der Systemvariable ist ja auch nur ein Mittel - welcher Zweck steht
> dahinter?


Im Prinzip waere es fuer einige meiner Scripte
nuetzlich wenn man die WANIP aus dem Environment
einfach auslesen koennte.
Es hat aber auch einen theroetischen Hintergrund und ich
bin einfach an diesen Dingen und wie/ob es funktioniert
interessiert :-)
Also geht es oder gibt es da absolut keine Moeglichkeit.

Und es geht auch aus dem HKCU\Environemnt, aber ich
denke es kann doch sehr nuetezlich sein wenn man "solche"
Umgebungsvariablen beim Systemstart setzen koennte.
Eben dessen Werte erst dann abgerufen werden koennen.
In diesem Beispiel halt die WAN-IP
Z.B. habe ich einen ssh server laufen und wenn der
Rechner (Server) einfach hochgefahren ist, koennte man
sich remote einloggen, ohne das der gleiche User sich
am Rechner einloggen muss, um eine solche oder andere
Umgebungsvariable nutzen.

Was meinst du denn mit anderer Moeglichkeit?
Also "Wie laesst man das Tool setx laufen und wie
kann das Tool, bzw. der ausfuehrende user, dann
auf den HKLM\[...]Environment Zweig waehrend des
(Rechner) Startups _schreibend_ zugreifen"

> Eine Möglichkeit wären z.B. die GPP, wenn es denn vom Konstrukt her
> passt. Aber um das zu beurteilen, muss man wissen, was du vorhast.
>
> [GPP - Group Policy Preferences - Gruppenrichtlinien Einstellungen]
> http://www.grurili.de/Vista/GPP_Grou...references.htm


Ich habe das Gefuehl das die GP wohl die einzigste
Moeglichkeit sind Alles was ich da versucht habe funkt nicht.
Aber das wirkt noch recht komplex auf mich.

Durch den Hinweis von Hans-Peter, habe ich mir die
Tools psexec und runasspc angeschaut.

Danmit geht es mit beiden Tools auch prima in der
Kommandozeile und auch mit einem
_normalem_ User per setx auch im HKLM\[...]\Environment
eine Umgebungsvarable zu setzen. Allerdings nur wenn
man eingelogt ist und nicht beim Rechnerstart :-(
Oder auch beim Login GPO->[..User..]->Scripts(Login/Logoff)

Dabei ist es wohl _zwingend_ (man korrigiere mich) erforderlich
im Registyzweig die Rechte Query, Set, Create Subkey und
ReadControl fuer einen User zu setzen. Unabhaengig ob es
ein User aus der Gruppe Adminsitraors (mit UAC) ist oder ein
normaler User ist.

btw: Mich irritiert hier das es kein einfaches
"Schreibrecht gibt" und man "Create Subkey" waehlen
muss, damit man darin Werte schreiben kann. Das doofe
ist das so auch Subkeys (was ja eventuell nicht
erwuenscht ist) erzeugt werden koennen. Auch ist es
verwirrend das es ein extra Set Recht gibt, das aber
alleine nicht funkt...

per psexec geht es prima so:

psexec.exe \\%COMPUTERNAME% -u batchusr -p batchpw \
-e -w C:\bat setx.exe WANIP /f _wanip_.dat /a 0,0 /m

wobei in _wanip_.dat die IP Adresse ist (ohne CRLF)
und vorausgesetzt das die Rechte fuer den ausfuehrenden
User in der Registry gesetzt sind.

btw: Wie kann ich ueber die Kommandozeile (batchscript)
Rechte in der Registry setzen? Mit dem Tool cacls.exe
Oder eignet sich hier (geht es nur) ein tool aus den
versch. Support tools und reskits besser? Hier habe ich
auch immer das nervige UAC Problem und das ein Fehler
kommt, aber keine Aufforderung zum Erhohen der Rechte
Wie gestaltest du als Profi Scripte (egal ob auf das
Dateisystem oder Registry) die in einem Rutsch die Rechte
von gewissen Verzeichnissen, etc. setzen/wiederherstellen
sollen? Im professionelem Umfeld kommt das doch sicherlich
haeufiger vor und man macht das nicht per Hand - oder?

Mit runasspc geht es auch prima mit dem crypt-file
Vorteil hierbei ist das verschluesselte Passwort. Allerdings
ist die Nutzung von psexec IMHO auch im kommerziellen
Umfeld kostenlos und runasspcadmin ist auf meinem System ein
paarmal abgesemmelt und hat alle bisherigen Einstellungen
dabei geloescht...

Dennoch: Schlussendlich scheitert es daran, das die
Scripte nicht ausgefuehrt werden (sollen/koennen?),
wenn diese beim Rechnerstart, also:
GPO-Editor->Computer Configuration->Windows Settings->
Scripts(Startup/Shutdown), eingetragen sind :-(

> Geht nicht. Soll auch nicht gehen.


Warum nicht und was kann ich da noch tun, bzw. wie
macht man das denn sonst?
GPO finde ich noch heftig verwirrend. Kannst du das mal
anhand von diesem (setx) Beispiel beschreiben?

btw: Das von Hans-Peter erwaehnte Verfahren des TaskShedulers
funktioniert leider auch nicht. Ich denke das es ein Problem
gibt das diese Tools nicht laufen/starten koennen, wenn diese
beim Rechnerstart gestartet werden sollen, bzw. keine Console
haben, oder?

>> Ich habe auch versucht das Tool ueber die Properties
>> mit den Eigenschaften "Als Adminsitrator ausfuehren"
>> zu versehen. Aber auch das hilft nicht. Ist ja auch
>> disabled...

>
> Das hat nichts miteinander zu tun. "Als Administrator" meint je nach Modus
> irgendein Adminkonto bzw. das Freischalten der vorhandenen Adminrechte.
> Siehe Link unten.


ja, das UAC finde ich imemr wieder irritierend .
Ich verstehe nur nie warum sich ein User in der
Gruppe Adminstratoren befindet und offensichtlich
mehr kann als ein "normaler" User darf (oder doch nicht?
Aber warum gibt es dann diese Gruppe noch, bzw. waeren
dann die Optionsangabe "Als Administrator" bei den
Properties ueberfluessig - nicht?), aber bei
manchen Dingen scheitert....
Wenn ich z.B. als Adminbenutzer (mit UAC) ein

ntrights -u batchusr +r SeBatchLogonRight

ausfuehren will, dann geht das mit einem
---snip---
Granting SeBatchLogonRight to batchusr OpenPolicy:

***Error*** OpenPolicy -1073741790
---snap---

schief und ich werde auch
nicht zum Bestaetigen zum Erhohen der Rechte aufgefordert
Dann muss ich erst auf Kommandozeile und "run as Adminstrator"
gehen damit ich "volle" Rechte habe.

Wenn die Adminrechte fuer ein Administratorkonto
(ein user den in der Gruppe Administratoren ist) freigeschaltet
werden. Dann sollte dieser doch alles machen koennen.
Das geht aber wie eben beschrieben nicht, bzw. werde
ich nicht aufgefordert...

btw: Wie kann ich einen Link fuer eine Kommandozeile
anlegen, die mir automatisch das "Runas Administrator"
ausfuehrt. Ohne das ich nochmal aufgefordert werde?
So geht es ja nicht:
Runas /noprofile /savecred /user:Administator cmd.exe

>> btw: Gibt es nicht ein Tool das "normale" Programme
>> quasi zur Ausfuehrung und fuer solche Zwecke in einen
>> erhoeten Sicherheitskontext setzen kann, so das diese
>> dann (als Adminstrator) automatisch auszufuehren gehen?

>
> Geht nicht. Soll auch nicht gehen.


Ja mit dem wie von Hans-Peter erwaehntem Verahren ueber TaskSheduler
geht es auch nicht ... Aus irgendweinem Grund werden die
Programme nicht ausgefuehrt oder das Schreibrecht fuer den
batchusr gilt nicht bei Rechnerstart... egal ob ueber einen Starup
Eintrag per GPO oder ueber den TaskSheduler... Kann mir das moemtan
nich anders erklaeren...

> Das geht grundsätzlich, und zwar genauso wie auch bei Dateien oder
> Ordnern.


Ja, das komische ist nun das ich zwar dem user
die Schreibrechte erteilt habe, aber das es wie oben
beschrieben dennoch nicht geht...

Alles nicht ganz so trivial wie ich mir das zu Anfang
vorgestellt habe...


Thomas

Reply With Quote
  #5 (permalink)  
Old 02-28-2009
Thomas Steinbach
 

Posts: n/a
Re: Runas mit dem "real" Administrator (SID ...-500) Account
Hallo Hans-Peter,

>> btw: Gibt es nicht ein Tool das "normale" Programme
>> quasi zur Ausfuehrung und fuer solche Zwecke in einen
>> erhoeten Sicherheitskontext setzen kann, so das diese
>> dann (als Adminstrator) automatisch auszufuehren gehen?

>
> Es bestehen Mglichkeiten ber die Aufgabenplanung,
> siehe hier:
> http://groups.google.com/group/micro...a15459fec0a5f1


das geht leider nicht ... Aus irgendweinem Grund werden die
Programme nicht ausgefuehrt oder das Schreibrecht fuer den
batchusr gilt nicht bei Rechnerstart... egal ob ueber einen
Starup Eintrag per GPO oder ueber den TaskSheduler... Kann
mir das moemtan nich anders erklaeren...
Sieht auch mein Posting: <goaa54$hp1$02$1@news.t-online.com>
auf die Antwort von Nils

> Weiterhin ber ein WSH-Script (ohne savecred). Braucht allerdings das
> Konto "Administrator".


das scheidet fuer mich aus, da ich fuer meine
Studien nach Moeglichkeit das System in seinem
"urspruegnlichen" Zustand belassen will. Also
die default-Einstellung mit UAC und deaktiviertem
SID-500 Admin

> Weiterhin gibt es Tools wie "runasspc" oder "psexec".
> Mit Letzterem lassen sich Anwendungen z.B. im Konto
> des Benutzers "System" starten.


danke fuer den Hinweis und in der Kommandozeile geht
es mittlerweile prima mit beiden Tools und auch einem
_normalem_ User per setx auch im HKLM\[...]\Environment
eine Umgebungsvarable zu setzen. Allerdings nur wenn
man eingelogt ist und nicht beim Rechnerstart :-(
Siehe mein posting auf Nils seine Antwort

Thomas

Reply With Quote
  #6 (permalink)  
Old 02-28-2009
Nils Kaczenski [MVP]
 

Posts: n/a
Re: Runas mit dem "real" Administrator (SID ...-500) Account
Moin,

Thomas Steinbach schrieb:
> Im Prinzip waere es fuer einige meiner Scripte
> nuetzlich wenn man die WANIP aus dem Environment
> einfach auslesen koennte.


bei einer Information wie der IP-Adresse wre es doch sinnvoller, wenn
das Skript sie eben direkt ausliest statt sich auf das Vorhandensein
einer Systemvariablen zu verlassen.

> Also geht es oder gibt es da absolut keine Moeglichkeit.


Naja, wenn du so fragst: Es geht.

Ntzt dir nix? Dachte ich mir. Liegt daran, dass die Anforderungen nicht
geklrt sind, also gibt es auch keine besseren Antworten. In sofern
werde ich auf deine anderen Ausfhrungen jetzt nicht eingehen. Die sind
mir zu prinzipiell und zu wenig anwendungsbezogen

> ja, das UAC finde ich imemr wieder irritierend .


Dann lies meinen Artikel.

> Alles nicht ganz so trivial wie ich mir das zu Anfang
> vorgestellt habe...


Nein. Vielleicht solltest du dich einarbeiten statt mit Halbwissen alles
auf einmal zu wollen.


Schne Gre, Nils

--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/pr...Nils.Kaczenski
Reply With Quote
  #7 (permalink)  
Old 03-01-2009
Helmut Rohrbeck
 

Posts: n/a
Re: Runas mit dem "real" Administrator (SID ...-500) Account
Nils Kaczenski [MVP] <spam-only@kaczenski.de> typed:
> Moin,
>
> Thomas Steinbach schrieb:
>> Im Prinzip waere es fuer einige meiner Scripte
>> nuetzlich wenn man die WANIP aus dem Environment
>> einfach auslesen koennte.

>
> bei einer Information wie der IP-Adresse wre es doch sinnvoller, wenn
> das Skript sie eben direkt ausliest statt sich auf das Vorhandensein
> einer Systemvariablen zu verlassen.
>
>> Also geht es oder gibt es da absolut keine Moeglichkeit.

>
> Naja, wenn du so fragst: Es geht.
>
> Ntzt dir nix? Dachte ich mir. Liegt daran, dass die Anforderungen
> nicht geklrt sind, also gibt es auch keine besseren Antworten. In
> sofern werde ich auf deine anderen Ausfhrungen jetzt nicht eingehen.
> Die sind mir zu prinzipiell und zu wenig anwendungsbezogen
>
>> ja, das UAC finde ich imemr wieder irritierend .

>
> Dann lies meinen Artikel.
>
>> Alles nicht ganz so trivial wie ich mir das zu Anfang
>> vorgestellt habe...

>
> Nein. Vielleicht solltest du dich einarbeiten statt mit Halbwissen
> alles auf einmal zu wollen.


Eine Anwendung in einem VBScript mit erhhten Rechten ausfhren:

Im Verzeichnis %WinDir%\System32 eine Datei "Elevate.vbs" erstellen
--------------------------------------------------------------------
Set objShell = CreateObject("Shell.Application")

If WScript.Arguments.Count = 1 Then
strApplication = WScript.Arguments(0)
strArguments = ""
ElseIf WScript.Arguments.Count > 1 Then
strApplication = WScript.Arguments(0)
strArguments = Args
Else
WScript.Quit
End If
objShell.ShellExecute strApplication, strArguments, "", "runas"

Private Function Args
Set objArgs = WScript.Arguments
strArg = " "
For I = 1 to objArgs.Count - 1
strArg = strArg & objArgs(I) & " "
Next
Args = Trim(strArg)
End Function
-----------------------------------------------------------------------
Funktioniert in einem Script mit dem Befehl:
set WshShell = CreateObject("WScript.Shell")
WshShell.Run "elevate.vbs ""%ProgramFiles%\Windows Media
Player\wmplayer.exe"""
'startet Windows Media Player in einem VBScript mit erhhten Rechten

Verknpfung zu einem Programm:
im "ziel" eingeben:
%SystemRoot%\System32\elevate.vbs "ProgramFiles\Window Media
Player\wmplayer.exe"
Startet Windows Media Player mit einer UAC Aufforderung.

--
Helmut Rohrbeck [MVP]
http://www.helmrohr.de/Feedback.htm
Reply With Quote
Reply


Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

vB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Trackbacks are On
Pingbacks are On
Refbacks are Off

Similar Threads
Thread Thread Starter Forum Replies Last Post
"For Windows Vista Administrator Account Set Up". fc468@microsoft.com microsoft.public.windows.vista.administration accounts passwords 1 10-07-2008 15:56
Devastating "administrator account" problem Slappywag microsoft.public.windows.vista.administration accounts passwords 4 03-17-2008 02:25
How secure is a "real" Administrator account? Ray microsoft.public.windows.vista.security 5 12-05-2007 23:03
Article ID: 925634 Error message when you try to log on by using an account name that contains an "at" sign (@): "The system could not log you on" KBArticles English 0 10-22-2007 20:00
Re: "What's the deal with UAC (Windows Needs Your Permission screens)" and "...But I thought I was an administrator" newtech microsoft.public.windows.vista.security 0 03-30-2007 07:47




All times are GMT +1. The time now is 06:14.




Driver Scanner - Free Scan Now

Vistaheads.com is part of the Heads Network. See also XPHeads.com , Win7Heads.com and Win8Heads.com.


Design by Vjacheslav Trushkin for phpBBStyles.com.
Powered by vBulletin® Version 3.6.7
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.6.0 RC 2

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120