Runas mit dem "real" Administrator (SID ...-500) Account

25/02/2009 - 19:52 von Thomas Steinbach | Report spam
Hallo NG,

ich versuche nun schon seit einigen Tagen das Tool setx
mit dem -m Swithch in einem adminstrator account und
automatisch beim Systemstart eine variable setzten zu
lassen. Leider kein Erfolg.

btw: Ich habe auch alle mir verfuegbaren versionen von setx
durchprobiert, aber keines mag so wie ich mir das denke.
(2000 reskit, xp sup tools und das von Vista selbst), bzw.
verhalten sich alle gleich...

Alle drei Versionen funktionieren mit dem -m Switch
und dem "real" Administrator (ich bezeichne diesen
immer als "real" Administrator; der mit der SID ...-500)

Erstmal kurz was ich erreichen will:

Ich lasse beim Systemstart automatisch folgende
batch datei zusammenbasteln, die die aktuelle IP
des Routers setzen kann. Diese soll nun im
systemweiten Kontext zur Verfuegung stehen und
beim Systemstart ausgefuehrt werden. 1)

snip
@echo off
set WLAN_IP3.123.123.123
runas.exe /noprofile /savecred /user:admin setx.exe WLANIP %%WLAN_IP%% -m"
snap

wobei admin Mitglied der gruppe Adminstrators ist.
Die batch habe ich in "Group Policy Object Editor->
Windows Settings-> Scripts->Starup) eingetragen.

Das ganze funktioniert prima, wenn man es ohne -m und im
Userkontext laufen lassen laesst und es funktioniert super,
wenn man es mit dem "real" Administrator laufen laesst.
(Eben wenn dieser "enabled" ist und ein passwort hat)

Das doofe ist halt das dieser Account per default
nicht aktiviert ist und auch kein Passwort hat. Und so
wie ich das verstanden habe und mir gelaeufig ist,
sollte man diesen wohl auch nicht aktivieren, sondern
nur bei Systemcrash und wenn eine Systemherstellung
ueber die Recovery Console erfolgen soll.

Aber wie kann man ein solches Tool laufen lassen?
Eben den Zugriff auf die Registry (HKLM->System->
Control->CurentControlSettings->Session Manager->
Environment->WLANIP3.123.123.123) erlauben?

Ich habe auch versucht das Tool ueber die Properties
mit den Eigenschaften "Als Adminsitrator ausfuehren"
zu versehen. Aber auch das hilft nicht. Ist ja auch
disabled...

Hoffe hier kann mir jemand helfen, da hier sicher auch
ein paar Profis sind.

btw: Gibt es nicht ein Tool das "normale" Programme
quasi zur Ausfuehrung und fuer solche Zwecke in einen
erhoeten Sicherheitskontext setzen kann, so das diese
dann (als Adminstrator) automatisch auszufuehren gehen?

Oder kann man die Schreibrechte fuer eine bestimmten
User genau auf diesen Registryzweig erlauben?
Wie macht man das?

Thomas

1) dazu rufe ich den Status des servers ab (curl)
und schippel mit sed die IP aus. Diese setze ich
dann in die Batch... Klappt soweit auch gut...
 

Lesen sie die antworten

#1 Nils Kaczenski [MVP]
26/02/2009 - 15:10 | Warnen spam
Moin,

Thomas Steinbach schrieb:
runas.exe /noprofile /savecred /user:admin setx.exe WLANIP %%WLAN_IP%% -m"



runas in einem Batch ist eine ganz schlechte Idee. Dazu kommt in deinem
Fall, dass runas unter Vista keine Erhöhung der Privilegien erzeugt,
wenn UAC im Spiel ist (siehe unten).

Das doofe ist halt das dieser Account per default
nicht aktiviert ist und auch kein Passwort hat. Und so
wie ich das verstanden habe und mir gelaeufig ist,
sollte man diesen wohl auch nicht aktivieren, sondern
nur bei Systemcrash und wenn eine Systemherstellung
ueber die Recovery Console erfolgen soll.



Richtig.

Aber wie kann man ein solches Tool laufen lassen?



Das kommt darauf an, was du denn eigentlich erreichen willst. Das Setzen
der Systemvariable ist ja auch nur ein Mittel - welcher Zweck steht
dahinter?

Eine Möglichkeit wàren z.B. die GPP, wenn es denn vom Konstrukt her
passt. Aber um das zu beurteilen, muss man wissen, was du vorhast.

[GPP - Group Policy Preferences - Gruppenrichtlinien Einstellungen]
http://www.grurili.de/Vista/GPP_Gro...rences.htm

Ich habe auch versucht das Tool ueber die Properties
mit den Eigenschaften "Als Adminsitrator ausfuehren"
zu versehen. Aber auch das hilft nicht. Ist ja auch
disabled...



Das hat nichts miteinander zu tun. "Als Administrator" meint je nach
Modus irgendein Adminkonto bzw. das Freischalten der vorhandenen
Adminrechte. Siehe Link unten.

btw: Gibt es nicht ein Tool das "normale" Programme
quasi zur Ausfuehrung und fuer solche Zwecke in einen
erhoeten Sicherheitskontext setzen kann, so das diese
dann (als Adminstrator) automatisch auszufuehren gehen?



Geht nicht. Soll auch nicht gehen.

[faq-o-matic.net » Benutzerkontensteuerung (UAC) richtig einsetzen]
http://www.faq-o-matic.net/2008/02/...einsetzen/

Oder kann man die Schreibrechte fuer eine bestimmten
User genau auf diesen Registryzweig erlauben?
Wie macht man das?



Das geht grundsàtzlich, und zwar genauso wie auch bei Dateien oder Ordnern.


Schöne Grüße, Nils

Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/p....Kaczenski

Ähnliche fragen