Zugriff auf Registry eines eingeschränkten Benutzerkontos mit Adminrechten

**MGC**

ja, das könnte ich mir eher vorstellen als die Anforderung von Admin-Rechten für das eingeschränkte Konto.

**amigage**

Zitat:

Unter wessen Account läuft der Dienst, ist es ein Dienst den Du im Source hast, bzw. den Du anpassen kannst?

@Bummi: der Dienst meldet sich als Netzerkdienst an und ich habe den Dienst nicht in der Source.

Zitat:

Und wenn du einfach den derzeitigen Benutzernamen vor dem Starten des Admin-Programms einfach irgendwo zwischenzpeicherst, wo ihn das Admin-Programm auch wieder auslesen kann? Irgendwo in einer Datei in CSIDL_COMMON_APPDATA oder Ähnlichem?

@blackfin: Dachte ich mir auch schon, aber der Anwender kann ja theoretisch das Programm gleich als Admin ausführen. Da kann ich den Benutzernamen leider nicht zwischenspeichern.

Zitat:

Vielleicht bekommt man auch einfach raus, zu welchem Benutzer der Desktop gehört, auf welchem das Programm grade sichtbar ist.

@himitsu: Bleibt nur die Frage: wie?

Ich dachte ja, dass man mit der von mir genannten Funktion

GetCallerSID() genau die SID des Nutzers erhält, der die Software aufgerufen hat. Ich weiß nur nicht, wie ich diese anzuwenden habe.

@himitsu + MGC: Ich gehe eher von dem lokalen Einsatz auf einem Standalone-Rechner aus, bei dem der Anwender aus Gründen der Sicherheit beim Web-Surfen eher auf einen eingeschränkten Benutzer zurückgreift.

**amigage**

Hallo,

leider habe ich bisher keine Lösung für mein Problem finden können.

Den Zugriff auf die Registry kann man ja wirklich noch umgehen, indem man "unprofessioneller Weise" den eingeschränkten Nutzernamen abspeichert und dann als Admin ausliest. Somit erhält man den richtigen SID für den HKEY_USERS Registryzweig.

Problematischer ist es da schon, wenn man auf Standardpfade zugreifen will:

markieren

Delphi-Quellcode:

			  try

    SetLength(lPath, MAX_PATH);

    if SHGetSpecialFolderPath(0, @lPath[1], CSIDL_APPDATA, False) then

    begin

      SetLength(lPath, pos(#0, lPath) - 1);

      Result := lpath;

    end;

  except

    // ...

  end;

Hier erhält man wirklich nur die Pfade des Adminkontos statt des eingeschränkten Kontos! Oder kann man dies irgendwie korrigieren?

**MGC**

Erstmal noch frohes neues Jahr!

Wenn ich diesen Thread noch richtig im Kopf habe, startest Du Dein Programm von einem eingeschränkten Nutzerkonto aus und startest dann für bestimmte Vorgänge das Admin-Konto.
Wie wäre es demnach, wenn Du die Pfade ausliest bevor Du in den Adminmodus wechselst?

**amigage**

Hallo,

Dir auch ein frohes neues Jahr.

Zitat:

Wie wäre es demnach, wenn Du die Pfade ausliest bevor Du in den Adminmodus wechselst?

Das wäre kein Problem, wenn der Nutzer die Software nicht schon von selbst als Admin startet bzw. es direkt in den Eigenschaften der exe fest hinterlegt.

Ich habe zwar für mein Problem eine andere Lösung gefunden, so dass ich nicht mehr in den Admin-Modus muss, aber interessieren würde es mich schon, wie man das hinbekommt, ohne vorher Daten über den Windows-Benutzernamen und Standardpfade in einer Datei abzulegen.

**Luckie**

Zitat:

The correct way to load and manipulate a specific user's Registry hive is to having your calling thread impersonate that user

http://stackoverflow.com/questions/8...ve-with-delphi

Zusammen mit

http://michael-puff.de/Programmierun...ersonate.shtml sollte das Problem lösbar sein.

**Luckie**

zusammenfalten · markieren

Delphi-Quellcode:

			{-----------------------------------------------------------------------------

 Project      : -

 Description  : Enhancement of TRegistry for impersonating the registry

 Author       : Michael Puff [http//michael-puff.de]

 Date         : 2012-01-05

-----------------------------------------------------------------------------}

unit RegistryEx;

interface

uses

  Windows, SysUtils, Registry;

type

  TRegistryEx = class(TRegistry)

    private

      FUser: string;

      FPassword: String;

      function Impersonate: Boolean;

    public

      destructor Destroy; override;

      procedure ImpersonateUser(UserName: string; Password: string);

  end;

implementation

{ TRegistryEx }

destructor TRegistryEx.Destroy;

begin

  if not RevertToSelf then

    Halt;  // if revert fails kill process for safty reason

  inherited;

end;

procedure TRegistryEx.ImpersonateUser(UserName: string; Password: string);

begin

  FUser := UserName;

  FPassword := Password;

  if not Impersonate then

    RaiseLastOSError;

end;

function TRegistryEx.Impersonate: Boolean;

var

  LogonType         : Integer;

  LogonProvider     : Integer;

  TokenHandle       : THandle;

begin

  LogonType := LOGON32_LOGON_INTERACTIVE;

  LogonProvider := LOGON32_PROVIDER_DEFAULT or LOGON32_PROVIDER_WINNT50;

  Result := LogonUser(PChar(FUser), nil, PChar(FPassword), LogonType, LogonProvider, TokenHandle);

  if Result then

  begin

    Result := ImpersonateLoggedOnUser(TokenHandle);

    CloseHandle(TokenHandle);

  end;

end;

end.

zusammenfalten · markieren

Delphi-Quellcode:

			uses

  RegistryEx;

procedure TForm1.btn1Click(Sender: TObject);

var

  reg: TRegistryEx;

begin

  reg := TRegistryEx.Create;

  try

    reg.ImpersonateUser('user', 'pw');

  finally

    reg.Free;

  end;   

end;

Probier das mal. Habe es eben nur mal blind getippt, kann es leider hier nicht testen.

Zugriff auf Registry eines eingeschränkten Benutzerkontos mit Adminrechten

AW: Zugriff auf Registry eines eingeschränkten Benutzerkontos mit Adminrechten

AW: Zugriff auf Registry eines eingeschränkten Benutzerkontos mit Adminrechten

AW: Zugriff auf Registry eines eingeschränkten Benutzerkontos mit Adminrechten

AW: Zugriff auf Registry eines eingeschränkten Benutzerkontos mit Adminrechten

AW: Zugriff auf Registry eines eingeschränkten Benutzerkontos mit Adminrechten

AW: Zugriff auf Registry eines eingeschränkten Benutzerkontos mit Adminrechten

AW: Zugriff auf Registry eines eingeschränkten Benutzerkontos mit Adminrechten

Forumregeln