Delphi-PRAXiS - RunAsUser

Seite 2 von 3

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)

- Software-Projekte der Mitglieder (https://www.delphipraxis.net/26-software-projekte-der-mitglieder/)

- - RunAsUser (https://www.delphipraxis.net/37306-runasuser.html)

Zitat:

Zitat von Luckie

Zitat:

Zitat von Assarbad

Zitat:

Zitat von Luckie

Kontextmenü von Anwendungen werden gesperrt? :shock: Was habt ihr da für einen paranoiden Administrator? :gruebel:

Du meinst: "Was habt ihr da für einen exzellenten Administrator?"! ;) ... dies gehört dazu,

Dass dabei aber so manches Programm unbedienbar wird, wird mit einkalkuliert oder wie? :roll:

Das ist ja Quark. Ein exzellenter Admin testet die Umgebung um sich zu versichern, daß alle erwünschten Programme arbeiten. Aber da du ja so für die "Rechte" der LUser eintrittst, was hältst du denn davon, wenn der Admin ein System sauber erstellt hat, mit Image und allem drum und dran, neueste Patches - und dann kommt der erste Bekloppte (lies: LUser) und installiert MSN Messenger/Yahoo Messenger/mIRC oder andere installierbare Sicherheitslöcher, obwohl diese Funktionalität durch ein leichter administrierbares Programm ala GAIM bereits existiert?! Da wird einem schon anders. Um das zu verhindern und eben nicht mehr sauer auf die LUser sein zu müssen, verhindert man das von vornherein.

Zitat:

Zitat von Birzenbae

wär mal schön wenn ich auch mal ausführen könnte aber bei uns ist jede exe für schüler-login gesperrt,sogar die erstellten von Delphi d.h. ich kann mein eigens prog nur über delphi starten, ausser standard wie wordpad, paint, usw. wir haben im startmenü praktisch nichts, wir haben ja noch nicht einmal die uhr in der Taskleiste. desweiteren kann ich nicht über eigene Dateien, deshalb wärs ganz nützlich wenn RunAsUser die ganzen Progs ohne weiteres als Admin ausführen könnte, da die Pfade zu den Dateien mit meinen gleich sein müssten.
Deshalb wärs gut wenn man sowas mit einer Delphigeschriebenen anwendung machen könnte.
P.S: unser Admin will nur seine macht auf dem modersten Server im ganzen Saarland ausnutzen.

Ohne Paßwort geht auch dies nicht. Die Info im PS bezweifele ich doch sehr stark.

Hi,

wie geht das denn eigentlich, ein Programm unter Admin auszuführen, ohne das Passwort?
Ich habe schon mal ein Programm erstellt, das das auch macht, aber ohne Psswort ging das nicht.

Grüße
SvB

Zitat:

Zitat von SvB

wie geht das denn eigentlich, ein Programm unter Admin auszuführen, ohne das Passwort?
Ich habe schon mal ein Programm erstellt, das das auch macht, aber ohne Psswort ging das nicht.

Dies geht prinzipiell garnicht, da ja irgendein Sicherheitskontext benötigt wird. Der einzige, den man als Admin erlangen kann ist SYSTEM, diesen erlangt man ohne Paßwort (aber auch nur, weil es über Umwege geschieht). Alle anderen Accounts benötigen immer eine Form der Authentifizierung. COM+ und andere Programme speichern diese Informationen im Secret Stash des Systems. Stichworte hierfür wären die Funktionen:
- LsaRetrievePrivateData und LsaStorePrivateData, sowie
- CryptProtectData und CryptUnprotectData

Zitat:

Zitat von Assarbad

Ein exzellenter Admin testet die Umgebung um sich zu versichern, daß alle erwünschten Programme arbeiten.

Da von gehe ich mal aus.

Zitat:

Aber da du ja so für die "Rechte" der LUser eintrittst, was hältst du denn davon, wenn der Admin ein System sauber erstellt hat, mit Image und allem drum und dran, neueste Patches - und dann kommt der erste Bekloppte (lies: LUser) und installiert MSN Messenger/Yahoo Messenger/mIRC oder andere installierbare Sicherheitslöcher, obwohl diese Funktionalität durch ein leichter administrierbares Programm ala GAIM bereits existiert?! Da wird einem schon anders. Um das zu verhindern und eben nicht mehr sauer auf die LUser sein zu müssen, verhindert man das von vornherein.

Aber dafür muss man doch nicht die rechte Maustaste deaktivieren? :shock: dann müsste er ja auch konsequenterweise die Kontextmenütaste deaktiviert haben und ohne die wäre so manches Programm (Explorer zum Beispiel) für mich unbrauchbar.

Aber wir kommen vom Thema ab.

@Luckie missbrauchen is doch etwas übertrieben was sollte ich den an nem schulserver großartig machen, ich will ja nich hacken oder den Server unsicher machen. Und wenn dann könnte man so evtl.e Lücken dem Admin zur Kenntniss geben.

Die PS-Aussage mag zwar für euch etwas stark klingen, aber ich meine wenn man schon die uhr und dann auch noch Kontextmenü wirklich überall sperrt find ich das übertrieben, dadurch geht (zumindest für mich) ein gutes Stück Handhabung von manchen programmen weg. Und dann eben noch seine Art manches durchzusetzen ist dann auch nicht besser als meine aussage.

Ich entschuldige mich hiermit auch für aufgetretene Missverständnisse.

Noch mal ne Frage OT:
Wie schafft man es, dass die Anwendung so klein ist (20KB). Da hat bei mir ja ein leeres Programm mehr Bedarf.

In dem man auf die VCL verzichtet:

Was_ist_nonVCL.

Zitat:

Zitat von Assarbad

Sorry, im Grunde habe ich gelogen. Es geht schon aus der TCB heraus, daß man sich ein Token selber ohne Paßwort zusammenschmiedet. Dazu muß man nur die SID des Benutzers herausfinden und die entsprechenden Rechte zum "Schmieden" haben.

Beispiel wäre der SSHD von OpenSSH.

Neue und wohl fertige Version, siehe Anhang erstes Posting.

Und noch mal aktualisiert. Siehe dazu erstes Posting. Ist jetzt auch OpenSource.

Seite 2 von 3