Hallo,
ich suche einen Befehl der während ich in w2k eingeloggt bin,
meine Gruppenmitgliedschaften und die damit verbundenen Rechte aktualisiert.
Also ich arbeite lokal auf einem w2k-Notebook, füge meinen User der Gruppe Administratoren hinzu
und möchte nach dem Aufrufen des Befehls bereits Admin sein, ohne mich
ab- und anmelden zu müssen.
secedit /refreshpolicy /enforce aktualisiert ja nur die Gruppenrichtlinien...
please help...
Danke!!!
Seite 1 von 1
Gruppenberechtigung Aktualisieren Ohne Logoff...
Anzeige
#2
geschrieben 19. Oktober 2005 - 16:41
Hallo, ich glaube nicht das das auf einem W2k-Client möglich ist. Das wäre ja für jeden Unbefugten sozusagen der Generalschlüssel für den Rechner.
Es gibt den Befehl net group, der ist allerdings nur auf einem Domänen-Controller verfügbar. Hiermit kann man globale Benutzergruppen verwalten. Diese Gruppen lassen sich auch als lok. Gruppen einrichten und benutzen. Die Syntax wäre diese: NET GROUP Admins Username /Add /Domain
crudum
Es gibt den Befehl net group, der ist allerdings nur auf einem Domänen-Controller verfügbar. Hiermit kann man globale Benutzergruppen verwalten. Diese Gruppen lassen sich auch als lok. Gruppen einrichten und benutzen. Die Syntax wäre diese: NET GROUP Admins Username /Add /Domain
crudum
#3
geschrieben 19. Oktober 2005 - 18:34
hi crudum...
thx für deinen beitrag...
allerdings gibts es glaub ich den befehl net group auf einem w2k client
auch...außerdem gibt es sonst noch net localgroup...
soweit ist mir die sache schon klar...
ich starte in meinem fall eine batch an die mit "runas" als administrator
läuft und die gruppe "jeder" in die gruppe "administratoren" einfügt...
so bin ich theoretisch lokal administrator, allerdings muss ich mich neu einloggen.
die frage ist was beim logoff passiert damit dann die gruppenrechte wirksam sind?
kann ich mich wärend ich eingeloggt bin sozusagen nochmals einloggen oder das ganze
irgendwie aktualisieren...
glaub, dass mir falls es überhaupt möglich ist,
das fast nur ein MCSE oder dergleichen beantworten kann.
thx
thx für deinen beitrag...
allerdings gibts es glaub ich den befehl net group auf einem w2k client
auch...außerdem gibt es sonst noch net localgroup...
soweit ist mir die sache schon klar...
ich starte in meinem fall eine batch an die mit "runas" als administrator
läuft und die gruppe "jeder" in die gruppe "administratoren" einfügt...
so bin ich theoretisch lokal administrator, allerdings muss ich mich neu einloggen.
die frage ist was beim logoff passiert damit dann die gruppenrechte wirksam sind?
kann ich mich wärend ich eingeloggt bin sozusagen nochmals einloggen oder das ganze
irgendwie aktualisieren...
glaub, dass mir falls es überhaupt möglich ist,
das fast nur ein MCSE oder dergleichen beantworten kann.
thx
#4
geschrieben 19. Oktober 2005 - 19:17
Zitat
die frage ist was beim logoff passiert damit dann die gruppenrechte wirksam sind?
Winlogon liest die Richtlinien aus, verteilt sie an Lsass, dieser liest die Benutzerdatenbank und erstellt auf dieser Basis dann SACLs und Security-Tokens, die dann an Userinit weiterverteilt werden.
Zitat
kann ich mich wärend ich eingeloggt bin sozusagen nochmals einloggen oder das ganze
irgendwie aktualisieren...
irgendwie aktualisieren...
Geht doch auch, nennt sich "runas" bzw. "Rechtsklick, Ausführen als...".
Ändert aber nix daran, daß die aktuelle Login-Session bestenfalls invalidiert werden könnte.
Zitat
glaub, dass mir falls es überhaupt möglich ist,
das fast nur ein MCSE oder dergleichen beantworten kann.
das fast nur ein MCSE oder dergleichen beantworten kann.
Es ist möglich, daß ein Prozess ein Security-Token von einem Prozess mit höheren nachfragt und es von diesem zugewiesen bekommt. Dazu brauchst du sowohl einen solchen speziellen Prozess als auch unterstützende Anwendungen als auch ein unbedingt erforderliches Authentifizierungssystem - das ist der Grund, warum man sowas eigentlich fast nur bei Spezialanwendungen findet oder nur umgekehrt dazu nutzt, gezielt die eigenen Rechte zu reduzieren (eMule :-)).
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#5
geschrieben 20. Oktober 2005 - 09:51
Zitat
Winlogon liest die Richtlinien aus, verteilt sie an Lsass, dieser liest die Benutzerdatenbank und erstellt auf dieser Basis dann SACLs und Security-Tokens, die dann an Userinit weiterverteilt werden.
...und diesen Ablauf kann ich nicht "künstlich" wiederholen währen ich bereits eingeloggt bin?
Zitat
Geht doch auch, nennt sich "runas" bzw. "Rechtsklick, Ausführen als...".
Ändert aber nix daran, daß die aktuelle Login-Session bestenfalls invalidiert werden könnte.
Ändert aber nix daran, daß die aktuelle Login-Session bestenfalls invalidiert werden könnte.
...naja, das ist auch kein echtes Login...
ich kann mit runas immer nur ein programm nach dem anderen aufrufen...
vielleicht ist irgendwie möglich, eine einstellung zu definieren, sodass alles was ich starte
automatisch mit "runas" unter dem admin-account läuft...?
vielen dank!
#6
geschrieben 20. Oktober 2005 - 10:43
Nun ja, es läuft alles darauf hinaus, dass du die lokalen Sicherheitsrichtlinien umgehen willst, um ohne Restart admin zu werden.
Gerade darauf zielen die lokalen Sicherheitsrichtlinien aber ab, so etwas zu verhindern, denn sonst könnte sich ja jeder "Gast" zum admin machen.
Beim Neustart bekommst du ein Token mit den neuen Berechtigungen zugewiesen, aber auch nur, wenn sie dir in der vorherigen Sitzung ein admin erteilt hat. Wirst also um den Neustart nicht herumkommen. Es sei denn, es gibt irgendein Drittanbietertool, dass das umgeht, aber da ist mir auch nix bekannt.
Gerade darauf zielen die lokalen Sicherheitsrichtlinien aber ab, so etwas zu verhindern, denn sonst könnte sich ja jeder "Gast" zum admin machen.
Beim Neustart bekommst du ein Token mit den neuen Berechtigungen zugewiesen, aber auch nur, wenn sie dir in der vorherigen Sitzung ein admin erteilt hat. Wirst also um den Neustart nicht herumkommen. Es sei denn, es gibt irgendein Drittanbietertool, dass das umgeht, aber da ist mir auch nix bekannt.
#7
geschrieben 20. Oktober 2005 - 15:24
Zitat
Gerade darauf zielen die lokalen Sicherheitsrichtlinien aber ab, so etwas zu verhindern, denn sonst könnte sich ja jeder "Gast" zum admin machen.
Naja...ganz so is es nicht...denn ich hab ja das Admin-PW und alles
und bin ja auch wirklich Admin von 300 usern...
Also würd ich es nicht als umgehen, sondern eher als basteln, spielen, probiern definieren ;-)
Jo...aber anscheinend ist es wirklich nicht möglich...
Vielen dank für eure Antworten!
- ← Drucker Druckt Nicht
- Windows XP & Windows Media Center Edition
- Wlan Aktivieren / Deaktivieren Per Knopfdruck? →
Thema verteilen:
Seite 1 von 1