Zugriff auf Registry eines eingeschränkten Benutzerkontos mit Adminrechten

**amigage**

Zitat:

Unter wessen Account läuft der Dienst, ist es ein Dienst den Du im Source hast, bzw. den Du anpassen kannst?

@Bummi: der Dienst meldet sich als Netzerkdienst an und ich habe den Dienst nicht in der Source.

Zitat:

Und wenn du einfach den derzeitigen Benutzernamen vor dem Starten des Admin-Programms einfach irgendwo zwischenzpeicherst, wo ihn das Admin-Programm auch wieder auslesen kann? Irgendwo in einer Datei in CSIDL_COMMON_APPDATA oder Ähnlichem?

@blackfin: Dachte ich mir auch schon, aber der Anwender kann ja theoretisch das Programm gleich als Admin ausführen. Da kann ich den Benutzernamen leider nicht zwischenspeichern.

Zitat:

Vielleicht bekommt man auch einfach raus, zu welchem Benutzer der Desktop gehört, auf welchem das Programm grade sichtbar ist.

@himitsu: Bleibt nur die Frage: wie?

Ich dachte ja, dass man mit der von mir genannten Funktion

GetCallerSID() genau die SID des Nutzers erhält, der die Software aufgerufen hat. Ich weiß nur nicht, wie ich diese anzuwenden habe.

@himitsu + MGC: Ich gehe eher von dem lokalen Einsatz auf einem Standalone-Rechner aus, bei dem der Anwender aus Gründen der Sicherheit beim Web-Surfen eher auf einen eingeschränkten Benutzer zurückgreift.

**amigage**

Hallo,

leider habe ich bisher keine Lösung für mein Problem finden können.

Den Zugriff auf die Registry kann man ja wirklich noch umgehen, indem man "unprofessioneller Weise" den eingeschränkten Nutzernamen abspeichert und dann als Admin ausliest. Somit erhält man den richtigen SID für den HKEY_USERS Registryzweig.

Problematischer ist es da schon, wenn man auf Standardpfade zugreifen will:

markieren

Delphi-Quellcode:

			  try

    SetLength(lPath, MAX_PATH);

    if SHGetSpecialFolderPath(0, @lPath[1], CSIDL_APPDATA, False) then

    begin

      SetLength(lPath, pos(#0, lPath) - 1);

      Result := lpath;

    end;

  except

    // ...

  end;

Hier erhält man wirklich nur die Pfade des Adminkontos statt des eingeschränkten Kontos! Oder kann man dies irgendwie korrigieren?

**MGC**

Erstmal noch frohes neues Jahr!

Wenn ich diesen Thread noch richtig im Kopf habe, startest Du Dein Programm von einem eingeschränkten Nutzerkonto aus und startest dann für bestimmte Vorgänge das Admin-Konto.
Wie wäre es demnach, wenn Du die Pfade ausliest bevor Du in den Adminmodus wechselst?

**amigage**

Hallo,

Dir auch ein frohes neues Jahr.

Zitat:

Wie wäre es demnach, wenn Du die Pfade ausliest bevor Du in den Adminmodus wechselst?

Das wäre kein Problem, wenn der Nutzer die Software nicht schon von selbst als Admin startet bzw. es direkt in den Eigenschaften der exe fest hinterlegt.

Ich habe zwar für mein Problem eine andere Lösung gefunden, so dass ich nicht mehr in den Admin-Modus muss, aber interessieren würde es mich schon, wie man das hinbekommt, ohne vorher Daten über den Windows-Benutzernamen und Standardpfade in einer Datei abzulegen.

**Luckie**

Zitat:

The correct way to load and manipulate a specific user's Registry hive is to having your calling thread impersonate that user

http://stackoverflow.com/questions/8...ve-with-delphi

Zusammen mit

http://michael-puff.de/Programmierun...ersonate.shtml sollte das Problem lösbar sein.

**Luckie**

zusammenfalten · markieren

Delphi-Quellcode:

			{-----------------------------------------------------------------------------

 Project      : -

 Description  : Enhancement of TRegistry for impersonating the registry

 Author       : Michael Puff [http//michael-puff.de]

 Date         : 2012-01-05

-----------------------------------------------------------------------------}

unit RegistryEx;

interface

uses

  Windows, SysUtils, Registry;

type

  TRegistryEx = class(TRegistry)

    private

      FUser: string;

      FPassword: String;

      function Impersonate: Boolean;

    public

      destructor Destroy; override;

      procedure ImpersonateUser(UserName: string; Password: string);

  end;

implementation

{ TRegistryEx }

destructor TRegistryEx.Destroy;

begin

  if not RevertToSelf then

    Halt;  // if revert fails kill process for safty reason

  inherited;

end;

procedure TRegistryEx.ImpersonateUser(UserName: string; Password: string);

begin

  FUser := UserName;

  FPassword := Password;

  if not Impersonate then

    RaiseLastOSError;

end;

function TRegistryEx.Impersonate: Boolean;

var

  LogonType         : Integer;

  LogonProvider     : Integer;

  TokenHandle       : THandle;

begin

  LogonType := LOGON32_LOGON_INTERACTIVE;

  LogonProvider := LOGON32_PROVIDER_DEFAULT or LOGON32_PROVIDER_WINNT50;

  Result := LogonUser(PChar(FUser), nil, PChar(FPassword), LogonType, LogonProvider, TokenHandle);

  if Result then

  begin

    Result := ImpersonateLoggedOnUser(TokenHandle);

    CloseHandle(TokenHandle);

  end;

end;

end.

zusammenfalten · markieren

Delphi-Quellcode:

			uses

  RegistryEx;

procedure TForm1.btn1Click(Sender: TObject);

var

  reg: TRegistryEx;

begin

  reg := TRegistryEx.Create;

  try

    reg.ImpersonateUser('user', 'pw');

  finally

    reg.Free;

  end;   

end;

Probier das mal. Habe es eben nur mal blind getippt, kann es leider hier nicht testen.

**amigage**

Hallo Luckie,

auch Dir ein erfolgreiches 2012!

Ich danke Dir für den Hinweis und die superschnelle Umsetzung eines Beispiel-Codes. Ich habe es jetzt auch noch nicht getestet. Nur wie ich die Sache sehe, benötige ich doch wieder den Benutzernamen des eingeschränkten Nutzers. Den weiß das Programm doch aber nicht, wenn es sofort als Admin gestartet wird.

Besser wäre es doch, wenn ich den Benutzernamen des tatsächlich geöffneten Windows-Benutzers erhalte, obwohl ich die Software als Admin starte. Sonst habe ich nur wieder den Admin-Nutzernamen. Oder verstehe ich das jetzt falsch?

**Luckie**

Natürlich brauchst du Name und Passwort des Benutzers auf dessen Registry Hive zu zugreifen willst. Sonst könnte ja jeder als Administrator agieren. Und was ist für dich der "tatsächlich geöffneten Windows-Benutzer"? An einem Windows System können viele Benutzer angemeldet sein und arbeiten. Woher soll das Programm wissen, welcher Benutzer gemeint ist? Wenn ein Benutzer ein Programm unter anderen Konto startet, dann ist das für das gestartete Programm so, als ob der Nutzer mit dem andren Konto es gestartet hätte.

**amigage**

markieren

Code:

			Wenn ein Benutzer ein Programm unter anderen Konto startet, dann ist das für das gestartete Programm so, als ob der Nutzer mit dem andren Konto es gestartet hätte.
		

Das wollte ich doch nur wissen

Ich dachte, es gäbe eine Möglichkeit, dies auszulesen. So in der Art: das Adminkonto wurde von einem eingeschränkten Benutzerkonto, wie hieß das?

Dem ist also nicht so! Somit steht also fest, dass Programme, die unter einem eingeschränkten Windows-Nutzer ohne Adminrechte als "Administrator ausgeführt" werden, nie richtig funkionieren werden, wenn sie eigentlich auf die Nutzer-Registry zugreifen müssen, oder Nutzzer-Standardpfade %UserProfiles%, %Documents% bzw. den Desktop CSIDL_DESKTOPDIRECTORY auslesen müssen. Denn dann erhält man immer die Daten des Adminkontos.

Ist das korrekt?