Juten Tach zusammen!
da ick mich zZt "gezwungener" Maßen etwas mehr mit Windows2000Pro beschaeftige, hab ich gerade eine Einschraenkung erfahren, derer ich nicht Herr werde.
also ich wuerde gern voruebergehend den Dateiexplorer mit Adminrechten unter einem eingeschraenkten Kto ausfuehren, wie dies bspw unter Linux, mit dem Konqueror, auch moeglich ist. alles was ich bisher dies bzgl erreicht hab, besagten Explorer aus ner Admin-CMD mit "control" auszufuehren. damit oeffnet sich dann zwar der Explorer mit "C:" als ausgewaehlten Pfad, jedoch beschraenken sich auch die Adminrechte lediglich auf "C:" und werden nicht auf die restlichen Pfade/Laufwerke uebergeben. nuetzt mir somit nullkommanix, wenn ich bspw unter "Programme" wat aendern moechte. eben so wenig komm ich da mit "Ausfuehren.." weiter. wie sollte auch? kommt ja im Grunde, imho, aufs Gleiche raus, wie mit der CMD, nur dass die App mit anderem Befehlssatz angesprochen wird. oder lieg ich da falsch? how ever! es hat jedenfalls auch nicht funktioniert.
hat da vllt mal jmd nen Tip? die Befehlsreferenz hilft da auch net wirklich weiter und der Gockel eben so wenig. vllt ja, weil es garnicht geht? aber auch das muesste doch dann irgendwo stehn!?

mfg
cypher

Windows 2000, Windows XP
Programm mit Administratorrechten starten
Useraccount; eingeschränkter Benutzer; Administratorrechte; Programm

Habe kein W2K hier um es zu testen:

1. Option: MachMichAdmin

2. Option: Antwort Nr. 5 (eigentl. für XP)

Gruß

Marc

Option 2 sollte gehen, jedenfalls ging's bei mir IIRC.

Des weiteren: Was willst du denn unter "Programme" so ändern?

Vielleicht hilft dir ja auch dies: Runas Password
(wenn nicht jetzt, dann doch irgendwann später *bg*
von 2000 bis Vista)

ja wunderbar! danke Marc fuer diesen, fuer mich gerade, wertvollen Link. hat geholfen. nu kann ich endlich als User auf C: rumwueten, wie's mir passt, ohne staendig wechseln zu muessen

@shadow
des bezog sich net speziell auf "Programme". hatte nur dieses Bsp gewaehlt, da man mit "control" aus der CMD heraus auf C: landet und aber bspw was auf einem anderen, geschuetzten Systempfad aendern moechte. also so gesehen nur zum besseren Verstaendniss. obwohl...so ganz offTopic war des "Programme" Bsp auch wieder net. ausschlaggebend fuer diese Aktion hier war eine Prog-Install, bei welcher ich, in meiner Ungeduld, ein paar neue Ordner auf "Programme" erstellt hatte und diese nun nicht mehr löschen konnte, ohne mich als Admin an zu melden. also die Install lief unter User mit Adminrechten, geht ja ohne net, aber der Explorer ließ sich halt bisher net mit Adminrechten starten.
hatte die Ordner nun mittlerweile unter'm Adminkto geloescht, da ick aber hin und wieder am geschuetzten Systempfad rumwerkel, wollt ick des so nich uff mir sitzen lassen und mir des etwas einfacher gestalten, weil auch so gewohnt von openSuSE
Runas Psswd liest sich auch interessant, scheint aber, wie ich's verstanden hab, lediglich ein, wahrscheinlich mit nem chicen GUI daherkommendes Tool zu sein, welches die Rechtevergabe fuer Proggies einfacher zu gestalten vermag!? aber nice, mal wat ohne Install:aplaus:


grueßle

Zitat:

Zitat von cypher

wahrscheinlich mit nem chicen GUI daherkommendes Tool zu sein,

Nein
Zumindest als ich das letzte mal damit gearbeitet hatte, definitiv nicht! Erst lesen, dann lästern. :aplaus: Es gibt aber auch eine GUI. Außerdem wird - GUI hin oder her - das Passwort verschlüsselt mitgespeichert.
So kannst du normalen Nutzern diverse Programme ermöglichen die Adminrechte brauchen, ohne ihnen das Passwort zu verraten. Auch heute noch sind manche Programm erbärmlich dämlich programmiert und laufen nur (oder nur sauber) als Admin.
(ist natürlich theoretisch auch ein kleines Risko - je nach Programm mehr oder weniger).
Früher (als ich dies genutzt bzw. eingerichtet habe) lief ja nicht einmal Nero (unter Win2000) ohne Adminrechte - manchmal ist es auch gut so. Später wurde ein Patch nachgeliefert.
RUNASSPC wurde hauptsächlich für W2K entwickelt, da dort die "run as"-Funktion nur sehr eingeschränkt möglich war.

nein nein Shadow, das mit dem GUI war nicht wirklich abwertend gemeint. in der Position befinde ich mich nicht, als dass ich so daher reden koennte, weil bin auch nur ein Klicki-Bunti-Windowser, der auf Kommandozeile schnell mal ins schwitzen geraet, Linux mittlerweile bevorzugt, aber es auch da etwas bunter mag irgendwann werd auch ich noch die CLI unter Kontrolle bringen, es raffen den lynx unter DSL zu nutzen und irgendwann wirds auch mal Weltfrieden geben...letzteres spaetestens in 5Mrd Jahren dann werden aber auch die Computer mit Sicherheit anders strukturiert sein, wenns unser eins dann noch irgendwo in den Weiten des Alls gibt... irgendwann...aber des jeht ma vollkommen offTopic jetzt.
also bei einigen "meiner Clienten" (nein, ich betreibe das nicht geschaeftlich), waere es schon ganz praktisch bspw den Feuerfux mit diesem Tool, oder anderen Rechten per Rechtevergabe laufen zu lassen, zwecks der Updates. aber ich habe da so meine Bedenken, da dies ja dann doch quasi nen Tunnel zum geschuetzten Systempfad darstellt, oder nicht!? (schaetze das meintest du, mit dem kleinen theoretischen Risiko!?)

cheers

Ja, das mit dem theoretischen Risiko hast du erkannt.
Aber normal (damit das Risikoszenario "sinnvoll" wäre) gibts du einem Client insgesamt eingeschränkte Rechte und (als Beispiel) via RUNASSPC für bestimmte Programme (die dort in das Script jeweils integriert werden) die möglichkeit diese mit höheren Rechten zu nutzen, ohne dass die Clients das Passwort kennen (oder überhaupt darum wissen). Jetzt müsste also (Szenario1) eine Malware unter eingeschränkten Rechten(!) auf den PC kommen, laufen und(!) wissen welches Programm auf diesem PC mit höheren Rechten läuft und wissen wie dies auszuhebeln ist. Also höchst theoretisch.

Szenario2 ist ein bisserl weniger theoretisch. Der eingeschränkte Nutzer weiß um die Beschränkung und weiß welches Programm mit diesem "Trick" mit höheren Rechten läuft und sucht dann eben im WWW nach Möglichkeiten den PC bzw. deine Sicherheitsmaßnahmen zu torpedieren. Diese Gefahr ist leider absolut real und nicht theoretisch, das Gelingen dieses kriminellen Aktes wiederum aber eher theoretisch, in der Praxis - so ist zumindest meine tatsächliche Erfahrung - funktioniert der Computer dann halt nur nicht mehr ordentlich, der böse Client-Nutzer hat nicht die Herrschaft über die Maschine erlangt, sondern "nur" außer Takt gebracht.

Zitat:

Zitat von Shadow

Jetzt müsste also (Szenario1) eine Malware...

also bestuende deiner Aussage nach nicht bzw nur hoechst theoretisch die Gefahr, dass bspw durch nen Bug in nem Programm Schadsoftware auf den PC gelangt und dort dann ebenfalls mit hoeheren Rechten ausgefuert wird?
weil genau davor graut es mir bspw an diesem Punkt. aber wenn dies doch ein relativ hoher Anspruch an die Schadsoftware waer, welcher so nicht vermehrt umgesetzt wird bzw das Restrisiko dadurch doch eher gegen Null geht, dann ueberleg ich mir das noch mal.
die Personen, deren PC's ich ein bissl unter meinen Fittichen habe, sind jeweils auch die Eigentuemer dieser und Privatpersonen, also werden die nix "Krummes" in diesem Sinne probieren, vllt lediglich mal was "Dummes" tun...und das man jede/n Software/(Sicherheits-)Mechanismus irgendwie aushebeln kann, sollte klar sein, ist ja lediglich nur eine Frage der Zeit und Bemuehungen.

cheers

Zitat:

Zitat von cypher

..., also werden die nix "Krummes" in diesem Sinne probieren, vllt lediglich mal was "Dummes" tun...

Das reicht ja schon, damit ONU Dein Telefon klingeln lässt "'s Internet geht nicht mehr".

Marc

nunja, dieses "Sicherheitsleck" wird es wohl immer geben und dagegen kann man nicht wirklich mehr tun, als vor Dummheiten zu warnen bzw Loesungsvorschlaege anzubieten, welche einen Schaden einigermaßen eindaemmen. potenzielle Sicherheitsluecken auf Softwarebene lassen sich da schon besser kontrollieren. aber Recht haste Marc, wat nuetzt dat schon gegen unbedachtes Handeln
cheers

Zitat:

Zitat von cypher

also bestuende deiner Aussage nach nicht bzw nur hoechst theoretisch die Gefahr, dass bspw durch nen Bug in nem Programm Schadsoftware auf den PC gelangt und dort dann ebenfalls mit hoeheren Rechten ausgefuert wird?

Wie meinst du denn dies? (mal nachdenken)

Der Nutzer hat ein Programm welches nicht - wie es ein ordentliches Anwenderprogramm tun sollte - unter eingeschränkten Rechten läuft.


Möglichkeit 1: Der Nutzer arbeitet immer als Admin

Möglichkeit 2: Der Nutzer arbeitet als eingeschränkter Benutzer und bekommt das fehlerhafte per RUNASSPC mit Adminrechten.

Wo ist jetzt die Gefahr größer?

Ob du allerdings für diese Klientel RUNASSPC einrichten musst? Erstens sollten es doch nicht mehr allzuviele normale Programme geben, die so "dämlich" sind und zweitens täte es hier das normale "run as" eventuell auch.

ok, vllt war das Bsp mit dem Bug etwas fehl am Platze. idR oder des Oefteren, gelangt die Schadsoftware doch erst durch Zutun des Users auf den PC. also, wenn User bspw ne suspekte Seite ansurft, sich beim Klicken eines praeparierten Links das System ueber den Browser, welcher mit Adminrechten laeuft, kompromittiert, ist dann das System nicht mehr geschaedigt, als wenn der Browser mit eingeschraenkten Rechten gelaufen waere?

Moeglichkeit 1 ist auf jeden Fall zu vermeiden, keine Frage!
aber ein Tool wie RUNASSPC einzurichten/zu nutzen, ist wirklich eine Ueberlegung wert, wenn a) ONU zu bequem ist, wegen bspw eines Prog-Updates mal kurz in den Adminaccount zu wechseln
und b) "run as" schon als zu Freakig/kompliziert empfunden wird, als dass er es jemals wieder anwendet, nachdem es ihm gezeigt wurde. ausreichen wuerde es auf jeden Fall.
cheers