[7] Explorer per runas starten

07/12/2011 - 17:49 von Christoph Schneegans | Report spam
Hallo allerseits!

Ich möchte einem Windows-7-Rechner eine LUA-Konfiguration ohne UAC
verpassen. Der UAC-Regel steht auf der untersten Stufe und làßt sich
offenbar wegen einer Gruppenrichtlinie auch nicht àndern. Der
Rechner gehört einer Domàne an, und es wird deshalb primàr mit einem
Domànen-Konto gearbeitet. Dieses Konto gehörte bislang der lokalen
Gruppe 'Administratoren' an; ich habe das Domànen-Konto aus der
Gruppe entfernt und ein neues lokales Administrator-Konto erstellt.

Der Domànen-Benutzer hat nun also keine Administratorrechte mehr,
kann aber administrative Prozesse per runas unter dem neuen
Konto starten. Das klappt etwa mit regedit.exe völlig problemlos,
aber explorer.exe tanzt mal wieder aus der Reihe.

Für beide Konten habe ich bereits die Option "Ordnerfenster in einem
eigenen Prozeß starten" gesetzt. Sowohl

runas /user:localadmin explorer.exe

als auch

runas /user:localadmin "explorer.exe /separate"

starten jetzt einen einen neuen Prozeß, aber dummerweise nicht unter
dem Konto 'localadmin', sondern unter dem angemeldeten Domànen-
Konto.

Warum passiert denn das jetzt? Diese komische "Explorer Factory"
sollte doch nur aktiv sein, wenn auch UAC aktiv ist, oder?

<http://schneegans.de/web/kanonische-adressen/> · Gute URLs
 

Lesen sie die antworten

#1 Hans-Peter Matthess
08/12/2011 - 12:37 | Warnen spam
Christoph Schneegans:

Warum passiert denn das jetzt? Diese komische "Explorer Factory"
sollte doch nur aktiv sein, wenn auch UAC aktiv ist, oder?



Nö, die Funktion "Elevated-Unelevated Explorer Factory" wird durch
deaktivierte UAC nicht hinfàllig. Du kannst in einem Standardkonto
keine Explorer-Instanz des Adminkontos starten. Dazu müsste man
eben erst besagte Änderung in der Registrierung machen, indem
man den Wert "runas" löscht oder umbenennt.

Scheinsicherheit und System-Zerstörung durch Virenscanner:
http://www.soehnitz.de/itsicherheit...index.html
Darum: http://www.soehnitz.de/itsicherheit...index.html
Konfiguration einfach gemacht: http://home.arcor.de/skanthak/safer.html

Ähnliche fragen