Das ist ja Quark. Ein exzellenter Admin testet die Umgebung um sich zu versichern, daß alle erwünschten Programme arbeiten. Aber da du ja so für die "Rechte" der LUser eintrittst, was hältst du denn davon, wenn der Admin ein System sauber erstellt hat, mit Image und allem drum und dran, neueste Patches - und dann kommt der erste Bekloppte (lies: LUser) und installiert MSN Messenger/Yahoo Messenger/mIRC oder andere installierbare Sicherheitslöcher, obwohl diese Funktionalität durch ein leichter administrierbares Programm ala GAIM bereits existiert?! Da wird einem schon anders. Um das zu verhindern und eben nicht mehr sauer auf die LUser sein zu müssen, verhindert man das von vornherein.

Ohne Paßwort geht auch dies nicht. Die Info im PS bezweifele ich doch sehr stark.

Hi,

wie geht das denn eigentlich, ein Programm unter Admin auszuführen, ohne das Passwort?
Ich habe schon mal ein Programm erstellt, das das auch macht, aber ohne Psswort ging das nicht.

Grüße
SvB

Dies geht prinzipiell garnicht, da ja irgendein Sicherheitskontext benötigt wird. Der einzige, den man als Admin erlangen kann ist SYSTEM, diesen erlangt man ohne Paßwort (aber auch nur, weil es über Umwege geschieht). Alle anderen Accounts benötigen immer eine Form der Authentifizierung. COM+ und andere Programme speichern diese Informationen im Secret Stash des Systems. Stichworte hierfür wären die Funktionen:
- LsaRetrievePrivateData und LsaStorePrivateData, sowie
- CryptProtectData und CryptUnprotectData

Da von gehe ich mal aus.

Aber dafür muss man doch nicht die rechte Maustaste deaktivieren? dann müsste er ja auch konsequenterweise die Kontextmenütaste deaktiviert haben und ohne die wäre so manches Programm (Explorer zum Beispiel) für mich unbrauchbar.

Aber wir kommen vom Thema ab.

@Luckie missbrauchen is doch etwas übertrieben was sollte ich den an nem schulserver großartig machen, ich will ja nich hacken oder den Server unsicher machen. Und wenn dann könnte man so evtl.e Lücken dem Admin zur Kenntniss geben.

Die PS-Aussage mag zwar für euch etwas stark klingen, aber ich meine wenn man schon die uhr und dann auch noch Kontextmenü wirklich überall sperrt find ich das übertrieben, dadurch geht (zumindest für mich) ein gutes Stück Handhabung von manchen programmen weg. Und dann eben noch seine Art manches durchzusetzen ist dann auch nicht besser als meine aussage.

Ich entschuldige mich hiermit auch für aufgetretene Missverständnisse.

Noch mal ne Frage OT:
Wie schafft man es, dass die Anwendung so klein ist (20KB). Da hat bei mir ja ein leeres Programm mehr Bedarf.

In dem man auf die VCL verzichtet: Was_ist_nonVCL.

Sorry, im Grunde habe ich gelogen. Es geht schon aus der TCB heraus, daß man sich ein Token selber ohne Paßwort zusammenschmiedet. Dazu muß man nur die SID des Benutzers herausfinden und die entsprechenden Rechte zum "Schmieden" haben.

Beispiel wäre der SSHD von OpenSSH.

Neue und wohl fertige Version, siehe Anhang erstes Posting.

Und noch mal aktualisiert. Siehe dazu erstes Posting. Ist jetzt auch OpenSource.