Stellen Sie die UID für Windows ein

8

Gibt es ein Äquivalent zu set uid für Windows (XP)? Für die Option "Ausführen als" ist bei jeder Ausführung ein Administratorkennwort erforderlich . Ich möchte, dass Benutzer diese bestimmte ausführbare Datei ausführen können, ohne das Administratorkennwort zu kennen. Ich bin sehr neu im Windows-Bereich. :(

windows-xp setuid Akilan
quelle
Müssen Sie das wirklich tun? Vielleicht gibt es einen anderen Weg, wie das Ändern der Berechtigungen für den Registrierungszweig oder das Verzeichnis ...
Taras Chuhay
Es gibt diese Software (genauer gesagt ANSYS), die nur dann ordnungsgemäß ausgeführt wird, wenn sie mit Administratorrechten ausgeführt wird. :(
Akilan
Sicher. Sie können das Äquivalent von setuid root unter WinXP erhalten, indem Sie einen sogenannten "NOP-Schlitten" verwenden. Funktioniert wie ein Zauber ...
Parthian Shot
1
Wenn Sie in der Lage sind, veraltete Antworten mit Active Directory zu mischen, dann gibt es das! Der Microsoft Elevated Privileges Application Launcher ermöglicht genau dies.
Mitch

Antworten:

5

Siehe hier: Gibt es ein Äquivalent zu SU für Windows?

Im Wesentlichen verhindert die Architektur des Betriebssystems, dass Sie das tun, was Sie möchten, ohne Anmeldeinformationen zu speichern. Ja, Sie können sie "verschlüsselt" speichern. Wenn der Benutzer jedoch nichts eingeben muss (z. B. ein Kennwort), wird der Schlüssel für die "Verschlüsselung", mit der Sie die Anmeldeinformationen speichern, direkt nebeneinander gespeichert dass es zum Zeitpunkt des Zugriffs des Benutzers "entschlüsselt" (wirklich verschlüsselt / entschlüsselt) werden kann.

Damit Windows NT-Betriebssysteme ein Zugriffstoken als andere Verwendung ohne Angabe ihres Kennworts erstellen können, müssen undokumentierte APIs im einheitlichen Modus aufgerufen werden. Das RunAsEx- Projekt wird dies tun, könnte jedoch in zukünftigen Windows- Versionen nicht mehr funktionieren.

Evan Anderson
quelle
3

runas (zumindest auf xp sp3) hat die Option "/ savecred" - es fragt beim ersten Mal nach dem Passwort und verwendet dann ein gespeichertes (auch nach dem Neustart).

Agent
quelle
1

Es gibt verschlüsselte RunAs und eine kostenlose alternative CPAU . Obwohl ich diese erst verwenden würde, wenn es absolut notwendig wäre.

vu1tur
quelle
1

Für diese Zwecke gibt es ein spezielles Programm - Admilink .

Es wird ein spezieller verschlüsselter Link zur Zieldatei erstellt (ich teste nur mit EXE-Dateien) - Sie müssen diese Aktion nur einmal ausführen. Wenn Sie auf Link klicken - Programm (Admirun.exe) startet das Programm automatisch in Verbindung mit den Sonderrechten (Rigths hängt vom ausgewählten Benutzer während des Linkerstellungsprozesses ab - Sie können das Administratorkonto oder den Domänenkontonamen usw. verwenden).

Einschränkungen: Während des Linkerstellungsprozesses (nur einmal) benötigen Sie ein Administratorkonto.
Admirun.exe muss in Ihrem Windows-Ordner angezeigt werden (Modul in Admilink enthalten).
Alle Dokumentation auf Russisch :). Unterrichten Sie Russisch oder bitten Sie mich um zusätzliche Hilfe

PS Es ist KOSTENLOS für den nicht kommerziellen Gebrauch.
PPS Es hat viele zusätzliche Funktionen

user35115
quelle
Dieses Tool umgeht nicht das grundlegende Problem, dass die Anmeldeinformationen gespeichert werden müssen, um APIs zu dokumentieren. Sie beschreiben die von diesem Tool erstellte Datei als "verschlüsselt", sie ist jedoch tatsächlich verschlüsselt . Das Kennwort muss im Klartext zugänglich sein, dh die von diesem Tool erstellte Datei enthält praktisch das Klartextkennwort.
Evan Anderson
Das Passwort wird nicht in CLEAR TEXT gespeichert. Es ist wirklich verschlüsselt. Wie funktioniert es Ich habe die Dokumentation gelesen - "Das Admilink-Modul generiert einen verschlüsselten Schlüssel = Benutzer + Domäne + Passwort. Der Schlüssel ist an eine konkrete ausführbare Datei gebunden. Ohne diese Datei kann das Admirun-Modul nicht entschlüsseln." Ich denke, der Trick ist im Algorithmus - Algorithmus wird in diesem Fall als Passwort verwendet. Wie der Autor des Lebenslaufs sagte, was Admilink garantiert: 1. Der Benutzer kann NUR ein zielgerichtetes Programm mit gezielten Rechten ausführen. 2. Der Benutzer kann das Kennwort nicht über Link 3 kennen. Der Benutzer kann kein anderes Programm durch Ersetzen ausführen der ausführbaren Datei
user35115
4
@ user35115: Das Betriebssystem benötigt Administratoranmeldeinformationen (das Klartextkennwort), um etwas als Administrator auszuführen. Wenn für die Ausführung des Links keine Administratoranmeldeinformationen erforderlich sind, müssen die Administratoranmeldeinformationen in einer Form gespeichert werden, die zum Löschen von Text wiederhergestellt werden kann. Evan argumentiert, dass dies effektiv Klartext ist (dh nicht sicher). Ja, es ist verschlüsselt, aber dann muss der Verschlüsselungsschlüssel auf zugängliche Weise gespeichert werden. so wird es effektiv nutzlos.
Draemon