Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Helft mir mal bitte auf die Sprünge:

Wenn ich unter Win7(64) ein Delphi-Programm mit "normalen" Rechten (ich bin Mitglied der Gruppe Administratoren) laufen lassen, kann es keine Dienste anhalten/starten (GetLastError = Access denied). Starte ich es mit Adminrechten (händisch oder per Manifest) funktionierts.

Bis hier hin verstehe ich es.

Gehe ich aber in die Diensteverwaltung kann ich Dienste anhalten/starten ohne das ich die Adminrechte vorher bestätigen muss.
Warum geht das? Oder anders gefragt: Wie bekomme ich das gleiche Verhalten für mein Delphi-Programm?

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Hallo,

"install" oder "setup" im Dateinamen deiner ausführbaren Datei dürfte das Problem beheben.

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Für die Diensteverwaltung muß man bestimmt auch gewisse Rechte "aktiv" haben, welche wohl in der Diensteverwaltung aktiviert wurden, aber in deinem Programm standardmäßig nicht.

Als mit Adminmanifest ist dein Programm nun nicht beschnitten und darum läuft es dort.

Jetzt müßtest du also nur noch rausfinden, welches Recht du aktivieren mußt, versuchst es in deinem Programm zu aktivieren und könntest dann vermutlich auch ohne Admin-Manifest was machen.

Wozu bitte solche Hacks?

Wenn er in seinem Manifest die Win7-Kompatibilität seines Programms bestätigt, dann wird sowas nicht gemacht, da dieses "nur" ein Kompatibilitätsmodus für alte oder "schlechte" Setupprogramme ist, wo das Admin-Manifest vergessen wurde/noch nicht vorhanden ist, da es damals ja unbekannt war/nicht existierte.
Und ich hoffe mal, daß M$ dieses irgendwann auch wieder ausbaut. :twisted:

PS: Ob mit Admin-Manifest oder diesem Namenshack ... es sollte sich überall das UAC melden, also dann lieber gleich das Manifest.

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Welche Art Rechte meinst du denn? Mir fehlt im Moment jeder Ansatz. Mir reicht auch ein MSDN-Link/Stichwort.

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Vielleicht hilft dieser Artikel (willkürlich gewählt) weiter: StartService

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Das ist soweit klar. Ich muss beim Öffnen des Dienstes sagen, was ich mit ihm machen will.
In diesem Fall sieht der Code so aus:


Bleibt noch die Frage: wie bekommt mein Programm das Recht dies zu tun?

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Wenn man dem Link zu "Service Security and Access Rights" folgt, kommt man ziemlich am Ende zu einem weiteren Link, der dann hierhin führt. Evtl. kann das als Ansatz dienen.

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Bei OpenService gibst du nur an, welche Rechte für den späteren Zugriff nötig wären, aber nicht welche Privilegien aktiviert werden müssen.
Das ist wie bei einer Datei: Du hast die Rechte zum Schreiben und Lesen, gibst aber nur das nötige im CreateFile an.
Hast du keine Schreibrechte und versuchst dennoch einen Schreibzugriff zu bekommen (GENERIC_WRITE), dann knallt's.

Entweder über deen Link von DeddyH oder z.B. über http://www.michael-puff.de/Programmi...rivilges.shtml

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Was Deddy gesagt hat, nützt mir nichts, da mein Programm (noch) nicht genug Rechte hat, um auf den Dienst zuzugreifen (und dessen Security-Optionen zu ändern).

Der Hinweis bezüglich der Privilegien hingegen ist gut.
Mein aktueller Stand ist, das ich mit Luckies Routine mir das Privileg SeProfileSingleProcessPrivilege holen kann (es ist vorher nicht gesetzt)
Aber: bisher hat es keine Auswirkungen. Ich kann den den Dienst immer noch nicht öffnen, weil der Zugriff verweigert wird und ich finden keinen Hinweis darauf, welches andere Privileg nötig ist, um einen Dienst zu starten/stoppen

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Sysinternals > Process Explorer > Prozess-Eigenschaften
Dort nachsehn, was die Dienstverwaltung alles darf und mit Denen deines Programms vergleichen.

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Zwei **** ein Gedanke ;)

Die 3 Privileges(ChangeNotify, CreateGlobal, Impersonate) die die MMC.exe hat helfen auch nicht weiter. :(

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Wenn ich mich richtig entsinne, wurde mit Windows 7 doch die Nachfragerei der UAC verbessert. Sie ist jetzt einstellbar in ihrer "Hartnäckigkeit" des Nachfragens. Ich nehme schwer an, dass wenn du die Stufe nach ganz oben stellst, die Diensteverwaltung ebenso eine Admin-UAC-Abfrage generiert - also bei mir ist es zumindest so.

Ich denke an den Rechten die Du benötigst ändert sich gar nichts. Es dürfte damit zu tun haben, was man tun muss, damit man ein Programm erzeugen kann, dass bei entsprechend niedriger Stufe (weniger UAC-Nachfragen) auch keine Nachfrage erzeugt.

Gruß, Chris

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

War Impersonate nicht sowas wie das Ändern von Rechten/Privilegien? :stupid:

Wie dem auch sei ... aktiviere die doch mal bei dir uns schau ob es dann geht, eventuell zusammen mit dem Code von DeddyH.

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Mit "helfen auch nicht weiter" meinte ich eigentlich: habs ausprobiert und nützt nix :)

Natürlich könnte ich mich als Administrator-User impersonaten ... aber das ist ja nicht Sinn der Sache.

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Hallo chaosben,

nur damit ich es verstehe - geht es Dir darum einen Dienst starten / stoppen zu können ohne die Admin-Nachfrage oder geht es dir darum es generell als Benutzer tun zu können?

Ich glaube als Benutzer hast du wenig möglichkeiten Dienste zu steuern. Dein (Sub)Programm braucht auf jeden Fall die Rechte dafür. Ob das Starten des (Sub)programms mit hohen Rechten allerdings mit dem UAC-Dialog ein her geht steht meiner Meinung nach auf einem anderen Blatt.

Gruß, Chris

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Ich als Entwickler kann alles machen, wie es mir gefällt.
Aber eine Komponente von mir soll einen (in diesem Fall Firebird) Dienst anhalten und wieder starten können.
Das ist der Sinn der ganzen Diskussion.

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Dann muss die sich die Admin-Rechte selber besorgen. Und dann kommt auch der UAC-Dialog und der User muss das händisch bestätigen, dass das Programm das auch darf.

Grund ist, wie Chris schon bemerkt hat: Deine UAC-Einstellungen sind nur auf der 2. Stufe (nicht ganz oben). Das heißt: Alles aus der Systemsteuerung bekommt automatisch die besseren Rechte zugewiesen. Du musst dann für die Systemsteuerung nichts bestätigen. Für alles andere aber schon.
Wenn du jetzt deine UAC-Einstellung nach ganz oben schiebst, dann musst du auch für mmc.exe und Konsorten Admin-Rechte explizit vergeben.

Bernhard

PS: Es gibt noch eine ziemlich unschöne Möglichkeit: Du kannst in den Windows-Einstellungen eine Ausnahme für dein Programm einbauen, dass es immer und ohne Nachfrage an den User mit Admin-Rechten startet.

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Das ist mir klar, ich meinte auch den Benutzer als "Rechteinhaber" unter Windows. Nicht Dich als physische Person :-)

Ich wollte eigentlich auf etwas anderes Raus: Das geht meiner Meinung nach nur dann ohne den Admin-Dialog wenn die UAC entsprechend eingestellt ist. Das ist unabhängig von den Rechten die benötigt werden um Dienste zu starten oder zu stoppen.
Aber ich sehe, dass dir das wahrscheinlich schon klar ist.

Gruß, Chris

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Hallo,

hmmmmm....Irrtum, das sind keine Hacks! MSDN lesen würde dieses Missverständnis beseitigen.

Zweiter Irrtum: Bei der Steuerung von Diensten ist eine Interaktion mit dem User nicht gestattet, und darum kommt in dieser Situation niemals ein UAC-Dialog.

Abgesehen davon: Ich mach es schon jahrelang mit meinem Datenbankdienst so (NexusDB) wie beschrieben, und es funktioniert auf allen OS.

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

@Chris: Wir beide meinten dasselbe (den User), nur hab ich mich unglücklich ausgedrückt. :-D

Ich lese aus eure Posts folgendes: Es geht nicht anders. Man muss den blöden Dialog hinnehmen. (Und daraus resultiert leider auch, das man das Programm nicht debuggen kann)
Ist das die Moral von der Geschichte?

//edit:
Naja ... nee ... da muss es aber doch noch einen Weg geben. Führe ich das Programm auf einem Server2008 als User Administrator aus, geht alles so wie es sein sollte ... ohne Dialog.
Eigentlich müsste ich mir doch die Rechte des Admins über Gruppen holen können ... oder?

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

;-)
Nur schlimmsten Falls - also wenn du UAC entsprechnd eingestellt ist.
Nein, wenn die IDE als Admin gestartet wird, dann kannst du "sollche" Programme auch debuggen.
Hmm, da Wort hack meinte glaube ich nur, dass man damit auch nicht mehr erzeugt, als eine Adminrechte wie auch mit einem Admin-Manifest. Dieser automatismus ist ja auch von MS - wie du auch schreibst - dokumentiert.
Das stimmt nur halb. Ein Dienst hat keine rechte eine GUI zuhaben - also User-Interaktion. Er halt wohl das recht mit einem "Anzeigeprogramm" zu kommunizieren. Genauso wie ein Anzeigeprogramm einen Dienst Nachrichten schicken kann bzw. mitteilen kann, was er tun soll und was nicht.

Gruß, Chris

P.S. @ chaosben: Nen schuss ins Blaue: Einen Dienst schreiben, der Firebird starten und anhalten kann und diesem per eigenen Programm Nachricht zu kommen lassen start/stop?

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Nein. Einfach die IDE als Explizit-Admin starten und schon kann man das wieder debuggen.

Der Benutzer "Administrator" hat die UAC nicht an. Alle anderen Benutzer aber schon. Das heißt:
* Alle Prozesse von "Administrator" haben wirklich Admin-Rechte
* Alle Prozesse von Benutzern aus der Gruppe Administratoren, ungleich "Administrator" haben im Regelfall keine Admin-Rechte. Erst wenn die Meldung bestätigt wird (-> UAC), dann gibt es Admin-Rechte.

Bernhard

AW: Service starten/stoppen ohne/mit Adminrechten/Elevation
 

Ok ... vielen Dank euch allen! :dp: