Make Me Admin
#1
geschrieben 28. Februar 2006 - 13:49
laufen bringt; da ich bis jetzt immer als admin gearbeitet hab und nun
als eingeschränkter user arbeiten möchte.
also; als erstes habe ich mit meinem jetzigen admin account die registry
gepatcht (wie in der ct vorgeschlagen).
dem admin konto das ich bei der windows installation bekommen habe habe ich nun ein kennwort
zugewiesen.
dann hab ich das eingeschränkte konto erstellt und das machmichadmin skript draufgeladen!
als eingeschränkter user hab ich dann das skript bearbeitet
indem ich den namen des admin accounts in den quelltext eingegeben habe!
war das alles richtig? es kann ja sein das einer von euch das make me admin skript
benutzt oder benutzt hat?
wenn ich jetzt doppelklicke sehe ich nur kurz die kommandozeile aufflimmern und das war es!
ich habe keine admin rechte bekommen;also kann etwas nich hingehauen haben mit
dem skript!
ich hoffe einer hat das machmichadmin skript schonmal benutzt und kann mir helfen!
Anzeige
#2
geschrieben 28. Februar 2006 - 17:50
Zitat
gepatcht (wie in der ct vorgeschlagen).
Ja, ein dreckiger Workaround.
Besser wäre es, einen neuen Account zu nutzen und die alten Dateien zu übernehmen.
Zitat
Und warum machst du nicht mal vorher eine Kommandozeile auf, damit du die Fehlermeldung auch mal lesen kannst?
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#3
geschrieben 28. Februar 2006 - 20:14
Zitat (Rika: 28.02.2006, 17:50)
meine daten und programme sind ja auch schon auf dem engeschränktem account;
da ich immer bei der installation von programmen auf dem admin account gewählt habe
das sie für alles user installiert werden sollen!
Zitat (Rika: 28.02.2006, 17:50)
wie soll das gehen?
ich mache erst eine konsole auf; wenn ich dann aber das machmichadmin.cmd starte bekommt das ein
eigenes fenster das wieder so schnell zugeht!
#4
geschrieben 28. Februar 2006 - 20:33
Zitat
Dann brauchst du diesen Workaround doch gar nicht.
Zitat
eigenes fenster das wieder so schnell zugeht!
Na das ist doch schon einmal eine Qualifizierung. Ersetze mal in dem Script beim Aufruf der CMD das /C durch /K.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#5
geschrieben 01. März 2006 - 19:26
Zitat (Rika: 28.02.2006, 20:33)
doch; was is denn z.b. wenn ich jetz einmal ein spiel auf dem eingeschränktem account installieren will
dann muss ich ja erstmal mit regmon und filemon die pfade aufspüren die freizugeben sind!!!
aber regmon läuft nur mit admin rechten!
außerdem habe ich es jetz einmal probiert und muss es jetz auch schaffen
Zitat (Rika: 28.02.2006, 20:33)
also das kam dann in der konsole: (falls ich das überhaupt richtig gemacht hab)
RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
/user:<Benutzername> Programm
RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
/smartcard [/user:<Benutzername>] Programm
/noprofile Legt fest, dass das Benutzerprofil nicht geladen werden
soll. Führt dazu, dass die Anwendung schneller geladen,
wird. Dies kann bei einigen Anwendungen zu Fehlern führen.
/profile Legt fest, dass das Benutzerprofil geladen werden soll.
Dies ist die Standardeinstellung.
/env Verwendet die aktuelle Umgebung anstatt der des Benutzers.
/netonly Falls Anmeldeinformationen nur für den Remotezugriff
gültig sind.
/savecred Verwendet Anmeldeinformationen, die von einem anderen
Benutzer gespeichert wurden. Die Option steht auf Windows
XP Home Edition nicht zur Verfügung und wird ignoriert.
/smartcard Falls Anmeldeinformationen von einer Smartcard zur
Verfügung gestellt werden.
/user <Benutzername> muss in der Form Benutzer@Domäne oder
Domäne\Benutzer angegeben werden.
Programm Befehlzeile einer ausführbaren Datei. Siehe unten
aufgeführte Beispiele.
Beispiele:
> runas /profile /user:Computer\Administrator cmd
> runas /profile /env /user:Domäne\Admin "mmc %windir%\system32\dsa.msc"
> runas /env /user:Benutzer@Domäne.Microsoft.com "notepad \"Meine Datei.txt\""
HINWEIS: Geben Sie das Benutzerkennwort nur ein, wenn Sie dazu aufgefordert
werden.
Hinweis: BENUTZER@DOMÄNE ist nicht mit /netonly kompatibel.
Hinweis: /profile ist nicht mit /netonly kompatibel.
#6
geschrieben 02. März 2006 - 07:41
Zitat
dann muss ich ja erstmal mit regmon und filemon die pfade aufspüren die freizugeben sind!!!
Nein, dann installierst du einfach mit dem Admin-Account.
Zitat
Jepp, das riecht nach einem Fehler bei den Parametern von runas.
Also ich weiß ja nicht wie dein Script aussieht, aber meines sieht so aus:
@echo off setlocal set _Admin_=%COMPUTERNAME%\root set _Group_=Administrators set _Prog_="cmd.exe /k cd "%cd%" && color 4F" set _User_=%USERDOMAIN%\%USERNAME% if "%1"=="" ( runas /u:%_Admin_% "%~s0 %_User_%" ) else ( net localgroup %_Group_% "%*" /ADD runas /u:"%*" %_Prog_% net localgroup %_Group_% "%*" /DELETE ) endlocal exit
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#7
geschrieben 02. März 2006 - 18:16
Zitat (Rika: 02.03.2006, 07:41)
aber was wenn ich das nur auf dem eingeschrönktem account haben möchte?
außerdem manche spiele brauchen schreibrechte in gewissen ordnern und die muss
ich immernoch mit filemon aufspüren!
Zitat (Rika: 02.03.2006, 07:41)
meins so:
make_me_admin.html (4,76K)
Anzahl der Downloads: 881
(mit kommentaren)
Dieser Beitrag wurde von valeron bearbeitet: 02. März 2006 - 18:18
#8
geschrieben 02. März 2006 - 18:44
Zitat
Dann musst du sowieso überwachen, was wohin installiert wird.
Zitat
ich immernoch mit filemon aufspüren!
Musst du sowieso.
Dieser Beitrag wurde von Rika bearbeitet: 02. März 2006 - 18:44
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#9
geschrieben 02. März 2006 - 18:52
Zitat (Rika: 02.03.2006, 18:44)
was das is falsch?
set _runas_err_=^|^| pause
wie is das richtig (was muss ich wo ändern)?
Zitat (Rika: 02.03.2006, 18:44)
ja; aber ich will doch filemon und regmon mit make me admin zum laufen bringen
um zu schauen woran es hängt falls ein spiel nich läuft!
#10
geschrieben 02. März 2006 - 20:49
Zitat
Siehe mein Script: Hau den Teil raus.
Genauso wie Savecred, das sollte auf jeden Fall raus!
Zitat
um zu schauen woran es hängt falls ein spiel nich läuft!
Unsinn, dafür reicht ein ganz normales Runas mit dem Adminaccount.
Das Problem mit diesem Workaround ist doch folgender: Wenn du vorher Admin warst und dann auf Benutzerrechte heruntersetzt, behältst du den Besitz an möglicherweise systemrelevanten Dateien. Mit diesem Workaround wird _ab dem Zeitpunkt der Verwendung_ der Besitz neuer Dateien bei Benutzern mit Adminrechten der Admin-Benutzergruppe übergeben.
Zum einen heißt das, daß es gegen nicht neuangelegte Accounts nicht viel hilft.
Zum anderen ist es keine Lösung: Der Benutzer schreibt an bestimmten Stellen sicherheitsrelevante Daten. Ob er noch in deren Besitz bleibt oder nicht, er kann in jedem Fall häßliche Möglichkeiten für Privilege Escalation bauen, und das ist das Hauptproblem, und das wird durch diese Maßnahme gar nicht verhindert, sondern höchstens ein klein wenig eingeschränkt. Du musst also in jedem Falle nachschauen, was da getan wird und wie es die Systemkonfiguration beeinflusst, bei allen Sachen, die mit Adminrechten erledigt werden.
Und es hat auch Nachteile: Besitzverhältnisse werden für den Adminaccount verworren (wenn mehrere Administratoren existieren), klare Zuordnungen zwischen Dateien des Admins und des Systems nicht nicht mehr möglich. Die Geschichte mit den heimlichen Besitzübernahmen lassen ich allerdings nicht gelten, denn das geht immer. :-)
Daher kommt es auch, daß Microsoft sowohl im "Windows Server 2003 Security Guide", der auf weitestgehend für Windows XP und 2000 anwendbar ist, als auch in "Bedrohungen und Gegenmaßnahmen - Sicherheitseinstellungen unter Windows Server 2003 und XP" in allen betrachten Konfiguration die Einstellung "Ersteller des Objektes" empfiehlt. Als Workaround für potentiell verwaiste Objekte, wenn mehrere Admins existieren, wird ein Full Access für einen speziellen Admin-Account (typischerweise den Domain-Admin) empfohlen.
Dieser Beitrag wurde von Rika bearbeitet: 02. März 2006 - 20:52
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#11
geschrieben 03. März 2006 - 16:09
installiere ich erst alles auf dem admin account und wähle einfach immer wenn ich was installiere
aus das es für jeden user ist, dann übernehme ich es einfach alles für den user account und hab
meine ganzen programme dann auch auf dem eingeschänktem account!
was ist eingentlich der unterschied wenn ich ein programm auf dem admin account installiere, für alle
oder wenn ich es auf einem eingeschränktem account installiere; haben die programme in
diesen fällen unterschiedliche rechte?
#12
geschrieben 03. März 2006 - 16:14
valeron sagte:
oder wenn ich es auf einem eingeschränktem account installiere; haben die programme in
diesen fällen unterschiedliche rechte?
Nein, die Programme haben keine unterschiedlichen Rechte. Es ist nur wichtig, mit welchen Rechten die Spiele schlussendlich gestartet werden. Der Unterschied ist lediglich, dass du kaum ein aktuelles Spiel mit eingeschränkten Rechten installieren kannst (was ja auch der Sinn der Sache ist).
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#13
geschrieben 03. März 2006 - 16:16
auf dem eingeschränktem account damit zocken oder?
#14
geschrieben 03. März 2006 - 16:18
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#15
geschrieben 03. März 2006 - 16:21
dann versuch ich halt zu schauen wos klemmt mit regmon u. filemon.
gibt es irgendwo ne liste von spielen/programmen wo steht ob sie auch als normaler user laufen?
- ← Virenschutzupdates Für Gdata Int. Se. 2006 Vorab Herunterladen
- Sicherheit
- Optimaler Virenscanner Für 56k-internetanschluss? →