[valeron]

hi; ich habe eine frage wie man das make me admin skript aus der ct zum
laufen bringt; da ich bis jetzt immer als admin gearbeitet hab und nun
als eingeschränkter user arbeiten möchte.

also; als erstes habe ich mit meinem jetzigen admin account die registry
gepatcht (wie in der ct vorgeschlagen).

dem admin konto das ich bei der windows installation bekommen habe habe ich nun ein kennwort
zugewiesen.

dann hab ich das eingeschränkte konto erstellt und das machmichadmin skript draufgeladen!

als eingeschränkter user hab ich dann das skript bearbeitet
indem ich den namen des admin accounts in den quelltext eingegeben habe!

war das alles richtig? es kann ja sein das einer von euch das make me admin skript
benutzt oder benutzt hat?

wenn ich jetzt doppelklicke sehe ich nur kurz die kommandozeile aufflimmern und das war es!
ich habe keine admin rechte bekommen;also kann etwas nich hingehauen haben mit
dem skript!

ich hoffe einer hat das machmichadmin skript schonmal benutzt und kann mir helfen!

[Rika]

Zitat

also; als erstes habe ich mit meinem jetzigen admin account die registry
gepatcht (wie in der ct vorgeschlagen).

Ja, ein dreckiger Workaround.
Besser wäre es, einen neuen Account zu nutzen und die alten Dateien zu übernehmen.

Zitat

wenn ich jetzt doppelklicke sehe ich nur kurz die kommandozeile aufflimmern und das war es!

Und warum machst du nicht mal vorher eine Kommandozeile auf, damit du die Fehlermeldung auch mal lesen kannst?

[valeron]

Zitat (Rika: 28.02.2006, 17:50)

Besser wäre es, einen neuen Account zu nutzen und die alten Dateien zu übernehmen.

meine daten und programme sind ja auch schon auf dem engeschränktem account;
da ich immer bei der installation von programmen auf dem admin account gewählt habe
das sie für alles user installiert werden sollen!

Zitat (Rika: 28.02.2006, 17:50)

Und warum machst du nicht mal vorher eine Kommandozeile auf, damit du die Fehlermeldung auch mal lesen kannst?

wie soll das gehen?
ich mache erst eine konsole auf; wenn ich dann aber das machmichadmin.cmd starte bekommt das ein
eigenes fenster das wieder so schnell zugeht!

[Rika]

Zitat

meine daten und programme sind ja auch schon auf dem engeschränktem account;

Dann brauchst du diesen Workaround doch gar nicht.

Zitat

ich mache erst eine konsole auf; wenn ich dann aber das machmichadmin.cmd starte bekommt das ein
eigenes fenster das wieder so schnell zugeht!

Na das ist doch schon einmal eine Qualifizierung. Ersetze mal in dem Script beim Aufruf der CMD das /C durch /K.

[valeron]

Zitat (Rika: 28.02.2006, 20:33)

Dann brauchst du diesen Workaround doch gar nicht.

doch; was is denn z.b. wenn ich jetz einmal ein spiel auf dem eingeschränktem account installieren will
dann muss ich ja erstmal mit regmon und filemon die pfade aufspüren die freizugeben sind!!!
aber regmon läuft nur mit admin rechten!
außerdem habe ich es jetz einmal probiert und muss es jetz auch schaffen

Zitat (Rika: 28.02.2006, 20:33)

Na das ist doch schon einmal eine Qualifizierung. Ersetze mal in dem Script beim Aufruf der CMD das /C durch /K.

also das kam dann in der konsole: (falls ich das überhaupt richtig gemacht hab)


RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
/user:<Benutzername> Programm

RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
/smartcard [/user:<Benutzername>] Programm

/noprofile Legt fest, dass das Benutzerprofil nicht geladen werden
soll. Führt dazu, dass die Anwendung schneller geladen,
wird. Dies kann bei einigen Anwendungen zu Fehlern führen.
/profile Legt fest, dass das Benutzerprofil geladen werden soll.
Dies ist die Standardeinstellung.
/env Verwendet die aktuelle Umgebung anstatt der des Benutzers.
/netonly Falls Anmeldeinformationen nur für den Remotezugriff
gültig sind.
/savecred Verwendet Anmeldeinformationen, die von einem anderen
Benutzer gespeichert wurden. Die Option steht auf Windows
XP Home Edition nicht zur Verfügung und wird ignoriert.
/smartcard Falls Anmeldeinformationen von einer Smartcard zur
Verfügung gestellt werden.
/user <Benutzername> muss in der Form Benutzer@Domäne oder
Domäne\Benutzer angegeben werden.
Programm Befehlzeile einer ausführbaren Datei. Siehe unten
aufgeführte Beispiele.
Beispiele:
> runas /profile /user:Computer\Administrator cmd
> runas /profile /env /user:Domäne\Admin "mmc %windir%\system32\dsa.msc"
> runas /env /user:Benutzer@Domäne.Microsoft.com "notepad \"Meine Datei.txt\""

HINWEIS: Geben Sie das Benutzerkennwort nur ein, wenn Sie dazu aufgefordert
werden.
Hinweis: BENUTZER@DOMÄNE ist nicht mit /netonly kompatibel.
Hinweis: /profile ist nicht mit /netonly kompatibel.

[Rika]

Zitat

doch; was is denn z.b. wenn ich jetz einmal ein spiel auf dem eingeschränktem account installieren will
dann muss ich ja erstmal mit regmon und filemon die pfade aufspüren die freizugeben sind!!!

Nein, dann installierst du einfach mit dem Admin-Account.

Zitat

also das kam dann in der konsole

Jepp, das riecht nach einem Fehler bei den Parametern von runas.

Also ich weiß ja nicht wie dein Script aussieht, aber meines sieht so aus:

@echo off
setlocal
set _Admin_=%COMPUTERNAME%\root
set _Group_=Administrators
set _Prog_="cmd.exe /k cd "%cd%" && color 4F"
set _User_=%USERDOMAIN%\%USERNAME%

if "%1"=="" (
		runas /u:%_Admin_% "%~s0 %_User_%"
) else (
		net localgroup %_Group_% "%*" /ADD
		runas /u:"%*" %_Prog_%
		net localgroup %_Group_% "%*" /DELETE
)
endlocal
exit

[valeron]

Zitat (Rika: 02.03.2006, 07:41)

Nein, dann installierst du einfach mit dem Admin-Account.

aber was wenn ich das nur auf dem eingeschrönktem account haben möchte?
außerdem manche spiele brauchen schreibrechte in gewissen ordnern und die muss
ich immernoch mit filemon aufspüren!

Zitat (Rika: 02.03.2006, 07:41)

Also ich weiß ja nicht wie dein Script aussieht,

meins so:
 make_me_admin.html (4,76K)
Anzahl der Downloads: 881
(mit kommentaren)

Dieser Beitrag wurde von valeron bearbeitet: 02. März 2006 - 18:18

[Rika]

Also ich weiß zwar nicht, was der Quatsch mit dem _runas_err_ soll, aber das gehört doch mitsamt dem Leerzeichen davor bestimmt innerhalb der Anführungsstriche.

Zitat

aber was wenn ich das nur auf dem eingeschrönktem account haben möchte?

Dann musst du sowieso überwachen, was wohin installiert wird.

Zitat

außerdem manche spiele brauchen schreibrechte in gewissen ordnern und die muss
ich immernoch mit filemon aufspüren!

Musst du sowieso.

Dieser Beitrag wurde von Rika bearbeitet: 02. März 2006 - 18:44

[valeron]

Zitat (Rika: 02.03.2006, 18:44)

Also ich weiß zwar nicht, was der Quatsch mit dem _runas_err_ soll, aber das gehört doch mitsamt dem Leerzeichen davor bestimmt innerhalb der Anführungsstriche.

was das is falsch?

set _runas_err_=^|^| pause

wie is das richtig (was muss ich wo ändern)?

Zitat (Rika: 02.03.2006, 18:44)

Musst du sowieso.

ja; aber ich will doch filemon und regmon mit make me admin zum laufen bringen
um zu schauen woran es hängt falls ein spiel nich läuft!

[Rika]

Zitat

wie is das richtig (was muss ich wo ändern)?

Siehe mein Script: Hau den Teil raus.
Genauso wie Savecred, das sollte auf jeden Fall raus!

Zitat

ja; aber ich will doch filemon und regmon mit make me admin zum laufen bringen
um zu schauen woran es hängt falls ein spiel nich läuft!

Unsinn, dafür reicht ein ganz normales Runas mit dem Adminaccount.

Das Problem mit diesem Workaround ist doch folgender: Wenn du vorher Admin warst und dann auf Benutzerrechte heruntersetzt, behältst du den Besitz an möglicherweise systemrelevanten Dateien. Mit diesem Workaround wird _ab dem Zeitpunkt der Verwendung_ der Besitz neuer Dateien bei Benutzern mit Adminrechten der Admin-Benutzergruppe übergeben.

Zum einen heißt das, daß es gegen nicht neuangelegte Accounts nicht viel hilft.
Zum anderen ist es keine Lösung: Der Benutzer schreibt an bestimmten Stellen sicherheitsrelevante Daten. Ob er noch in deren Besitz bleibt oder nicht, er kann in jedem Fall häßliche Möglichkeiten für Privilege Escalation bauen, und das ist das Hauptproblem, und das wird durch diese Maßnahme gar nicht verhindert, sondern höchstens ein klein wenig eingeschränkt. Du musst also in jedem Falle nachschauen, was da getan wird und wie es die Systemkonfiguration beeinflusst, bei allen Sachen, die mit Adminrechten erledigt werden.

Und es hat auch Nachteile: Besitzverhältnisse werden für den Adminaccount verworren (wenn mehrere Administratoren existieren), klare Zuordnungen zwischen Dateien des Admins und des Systems nicht nicht mehr möglich. Die Geschichte mit den heimlichen Besitzübernahmen lassen ich allerdings nicht gelten, denn das geht immer. :-)

Daher kommt es auch, daß Microsoft sowohl im "Windows Server 2003 Security Guide", der auf weitestgehend für Windows XP und 2000 anwendbar ist, als auch in "Bedrohungen und Gegenmaßnahmen - Sicherheitseinstellungen unter Windows Server 2003 und XP" in allen betrachten Konfiguration die Einstellung "Ersteller des Objektes" empfiehlt. Als Workaround für potentiell verwaiste Objekte, wenn mehrere Admins existieren, wird ein Full Access für einen speziellen Admin-Account (typischerweise den Domain-Admin) empfohlen.

Dieser Beitrag wurde von Rika bearbeitet: 02. März 2006 - 20:52

[valeron]

das heißt also wenn ich sinnvoll als eingesachränkter user arbeiten will
installiere ich erst alles auf dem admin account und wähle einfach immer wenn ich was installiere
aus das es für jeden user ist, dann übernehme ich es einfach alles für den user account und hab
meine ganzen programme dann auch auf dem eingeschänktem account!

was ist eingentlich der unterschied wenn ich ein programm auf dem admin account installiere, für alle
oder wenn ich es auf einem eingeschränktem account installiere; haben die programme in
diesen fällen unterschiedliche rechte?

[Graumagier]

valeron sagte:

was ist eingentlich der unterschied wenn ich ein programm auf dem admin account installiere, für alle
oder wenn ich es auf einem eingeschränktem account installiere; haben die programme in
diesen fällen unterschiedliche rechte?

Nein, die Programme haben keine unterschiedlichen Rechte. Es ist nur wichtig, mit welchen Rechten die Spiele schlussendlich gestartet werden. Der Unterschied ist lediglich, dass du kaum ein aktuelles Spiel mit eingeschränkten Rechten installieren kannst (was ja auch der Sinn der Sache ist).

[valeron]

aber wenn ich es auf dem admin account für alle user installiere kann ich dann
auf dem eingeschränktem account damit zocken oder?

[Graumagier]

Wetten würde ich darauf nicht, viele Spiele verlangen Rechte-Anpassungen, um mit eingeschränkten Rechten gespielt werden zu können. Prinzipiell geht es aber.

[valeron]

naja ich teste mal ich werd ja dann merken wenn es nicht funzt und
dann versuch ich halt zu schauen wos klemmt mit regmon u. filemon.

gibt es irgendwo ne liste von spielen/programmen wo steht ob sie auch als normaler user laufen?