Folgendes Szenario:

• Eine Kiosk-Anwendung liegt im Autostart eines Kontos ohne Adminrechte
• Auf dem Rechner existiert ein lokales Admin-Konto dessen Zugangsdaten nicht allgemein bekannt sind, sich aber aus der Kundennummer ergeben
• Die Kiosk-Anwendung soll nun eine Oberfläche bieten um Netzwerk-Adapter-Einstellungen zu ändern. Für diese Änderung braucht man administrative Rechte.

Meine Frage:
Bringt es mir etwas, die Zugangsdaten für das Admin-Konto zu wissen? Sprich: Kann meine Anwendung diese Änderung vornehmen ohne dass jemand vor Ort auf einem UAC-Dialog das Passwort eingeben muss?


Ich weiß, es gibt tausende Treffer zu "Run application without UAC prompt"- Aber auf mein Szenario finde ich ehrlich nichts passendes

Eindeutig ja. Programme wie RunAs Professional und RunAsSpc helfen dabei, beliebige Programme als Admin auszuführen. Beide Programme hinterlegen die Credentials und Angaben über das zu startende Programm in speziellen verschlüsselten Dateien, ohne dass dem ausführenden Nutzer die Zugangsdaten bekannt sein müssten. Alternativ kann man sowas natürlich auch selber schreiben, d.h. Zugangsdaten irgendwo verschlüsselt ablegen und bei Bedarf das externe Programm via passender API-Funktion aufrufen (CreateProcessAsUser müsste das sein).

MfG Dalai

Alternativ läuft ein entsprechend abgesicherter Service mit den nötigen Rechten und via IPC nimmt die Benutzeranwendung Kontakt auf und lässt den Anderen die Änderungen vornehmen.
So gibt es nirgendwo die Zugangsdaten zum OS, sondern nur die zum Service. (zum automatischen Entschlüsseln muß ja irgendwo der Schlüssel unverschlüsselt rumliegen)

Ja, "sauber" wäre es mit einem Service. Aber das ist momentan leider keine Option. Drittanbieter-Tools leider auch nicht.
Dass das Adminkonto super-geheim wäre ist auch nicht der Fall, um Verschlüsselung bzw. Speicherung dieser super-sensiblen Daten muss sich somit auch keiner Sorgen machen.

Es geht mehr oder weniger nur darum, dass ich das Windows Tool "netsh" ohne UAC-Fenster dazwischen einmal aufrufen möchte.
CreateProcessAsUser sieht schon einmal gut aus, mal sehen ob ich damit weiterkomme.

Ja das geht. Schau dir unter anderem auch LogonUserW an
Habe auf meiner Firma für uns eine Prozess-Komponennte geschrieben, die auch LoginDaten benutzen kann. Das klappt wunderbar

Hallo-

Vielleicht habe ich es bislang falsch gemacht, aber Login als irgendjemand- Klar, das geht. Ich kannte z.B. bislang nur ImpersonateLoggedOnUser.

Aber damit erhalte ich ja nicht "Elevation". Das geht nicht nachträglich, das weiß ich. Aber ich könnte doch einen anderen Prozess mit erhöhten Rechten starten. Vielleicht übersehe ich in euren vorgeschlagenen Befehlen ja nur einen Parameter. Ich suche weiter...