Arbeiten mit administrativen (alternativen) Berechtigungen

Arbeiten mit administrativen (alternativen) Berechtigungen

Arbeiten mit administrativen (alternativen) Berechtigungen
Starten von Anwendungen unter alternativen Berechtigungen
Runas /profiles /user:[Admin-Kennung] [Befehl]
z.B.: runas /profiles /user:in\admi2401 cmd.exe
Startet man eine Anwendung unter alternativen Berechtigungen, dann erben alle Anwendungen, die
daraus gestartet werden, die Berechtigungen der alternativen Kennung. D.h. wenn man z.B. die
Kommandozeile (CMD.EXE) unter einer alternativen Kennung startet und aus dieser Kommandozeile
heraus ein weiteres Programm aufruft, wie z.B. regedt32.exe o.a., dann wird diese Anwendung auch
unter den selben Berechtigungen ausgeführt, wie die Ursprungsanwendung aus der sie gestartet
wurde. Zu beachten ist hierbei, dass das Starten des EXPLORERS auf diesem Wege leider nicht
möglich ist. Dieses Problem hat man auch bei anderen Programmen. Das Besondere am Explorer ist
nur, dass dieser bei der interaktiven Anmeldung am Rechner immer automatisch gestartet wird, weil
der Explorer die Desktop-Umgebung verwaltet und somit ist immer schon eine EXPLORER-Instanz
nach erfolgreicher Anmeldung vorhanden. Aus diesem Grund wird ein gestarteter EXPLORER immer
die Berechtigungen des lokal angemeldeten Benutzers haben. Um dieses Verhalten zu umgehen,
muss ein Eintrag in der Registry für den Nutzer gemacht werden, der den EXPLORER unter einer
alternativen Kennung starten möchte. Um diese Änderung vorzunehmen starten Sie einfach die
Anwendung regedt32.exe innerhalb der Kommandozeile mit der alternativen Berechtigung und
fügen sie den folgenden Wert hinzu bzw. ändern diesen wie folgt:
HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
[REG_DWORD] SeparateProcess := 1
Ab sofort wird nun beim Starten des EXPLORERS innerhalb der Kommandozeile mit alternativen
Berechtigungen immer eine komplett neue Instanz des EXPLORERS ausgeführt, die dann auch die
Berechtigung von der Kommandozeile mit den alternativen Berechtigungen erbt.
Kenntlich machen der Anwendungen, die mit alternativen Berechtigungen
ausgeführt werden
Anwendungen, die unter alternativen Berechtigungen gestartet werden, haben in den meisten Fällen
weitreichendere Berechtigungen am lokalen System oder im gesamten Netzwerk. Anwendungen die
unter dieser Kennung gestartet werden, verdienen demzufolge eine besondere Beachtung. Es ist
daher sinnvoll diese Anwendungen durch ihr Erscheinungsbild von anderen Anwendungen
abzuheben, damit sofort ersichtlich ist, unter welcher Kennung die Anwendung ausgeführt wird.
Anwendungen, die unter Windows gestartet werden, speichern fast alle ihr Erscheinungsbild
(Schriftart, Schriftgröße, Fensterfarbe, Fenstergröße usw.) in der Registry ab. Damit beim Arbeiten
unter privilegierten Rechten diese Anwendungen kenntlich gemacht werden können, müssen einige
Einstellungen in der Registry vorgenommen werden.
Kommandozeile
Mit den nachfolgenden Registry-Einstellungen werden alle Kommandozeilenaufrufe mit folgender
Erscheinung gestartet. (Grüner Hintergrund, graue Schrift, Titel auf !!!SUPERUSER [LOGIN] !!!.
HKCU\Software\Microsoft\Command Processor
[REG_SZ] AutoRun := "TITLE !!!! SUPERUSER [%username%] !!!!"
HKCU\Console
[REG_DWORD] ScreenColors := 27
Explorer
Auch der Explorer kann über Einstellungen in der Registry und einem kleinen Bitmap für seine
Sonderaufgaben kenntlich gemacht werden.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\
[REG_EXPAND_SZ]BackBitMap = "[PFAD_ZUR_BITMAP_DATEI]\Adm32x32.bmp"
Internet Explorer
Bis zur Version 6.0 des Internet Explorers wurde die Hintergrund-Bitmap-Datei der Symbolleisten, die
schon beim Explorer angewendet wurde, beim Internet Explorer mit genutzt. Ab der Version 7.0 des
Internet Explorers hat man nur noch die Möglichkeit ein Cascading Style Sheet zu schreiben und
dieses Stylesheet für den Internet Explorer anzuwenden. Nebeneffekt dieser Vorgehensweise ist,
dass auch viele der Snap-Ins in der Microsoft Management Konsole durch dieses Stylesheet
beeinflusst werden, weil dort an verschieden Stellen intern der Internet Explorer genutzt wird. Den
Hintergrund der Symbolleiste zu gestalten scheint nicht mehr möglich und man kann nur die vom IE
angezeigten Seiten durch ein Stylesheet kenntlich machen. Der Aufbau des Stylesheets ist aber sehr
einfach gehalten:
---ie7adm.css--* { background-color:red;}
In der Registry muss noch das neue Stylesheet dem Internet Explorer bekannt gemacht werden:
HKCU:\Software\Microsoft\Internet Explorer\Styles
[REG_SZ] User Stylesheet
:= “[PFAD_ZUM_STYLESHEET]\ie7adm.css“
Befehle auf der Kommandozeile für administrative Aufgaben
Systemsteuerung
(erst die Kommandozeile, wie oben beschrieben, mit administrativen Berechtigungen starten, dann
erst entsprechendes Kommando ausführen)
Appwiz.cpl
Desk.cpl
Firewall.cpl
Intl.cpl
Main.cpl
Mmsys.cpl
Nusrmgr.cpl
Sysdm.cpl
Timedate.cpl
Wscui.cpl
Wuaucpl.cpl
Software
Desktop-Eigenschaften
Firewall-Eigenschaften
Regions-und Sprachoptionen
Mauseigenschaften
Audioeigenschaften
Benutzer
Systemeigenschaften
Datum und Uhrzeit
Sicherheitscenter
Automatische Updates
Microsoft Management Konsole
(erst die Kommandozeile, wie oben beschrieben, mit administrativen Berechtigungen starten, dann
erst entsprechendes Kommando ausführen)
Compmgmt.msc
Services.msc
Eventvwr.msc
Diskmgmt.msc
Devmgmt.msc
Dfrg.msc
Fsmgmt.msc
Lusrmgr.msc
Gpedit.msc
Pkmgmt.msc
Computermanagement
Verwaltung der Dienste
Ereignisanzeige
Datenträgerverwaltung
Gerätemanager
Defragmentierung
Freigegebene Ordner
Lokale Benutzer und Gruppen
Lokale Gruppenrichtlinien
Public Key Management
Befehle
Regedt32.exe
Explorer.exe
%SystemDrive%\Programme\Internet
Explorer\iexplore.exe
mmc.exe
Registrierungseditor
Dateiexplorer
Internetexplorer
Microsoft Management Konsole, mit Datei >
Snap-In hinzufügen > Hinzufügen kann man sich
ein Snap-In aussuchen
Besonderheiten
Alternative Netware-Anmeldung
Damit man auch die Berechtigungen der alternativen Kennung in einer Novell-Umgebung nutzen
kann, muss man etwas umständlicher vorgehen. Die Anwendung, die bei einer interaktiven
Desktopsitzung die Novell-Anmeldung repräsentiert, ist die Anwendung nwtray.exe. Jeder der mit
einem Novell-Client arbeitet, kennt die nwtray.exe als das rote N (Novell Services) unten rechts in der
Taskleiste. Das Problem ist, das die nwtray.exe unter der Kennung ausgeführt wird, mit der man
sich interaktiv am Desktop angemeldet hat und somit nicht unter der alternativen Kennung. Man
muss diese Anwendung schließen, um sie danach unter der alternativen Kennung neu zu starten.
Leider lässt sich die Anwendung nicht einfach durch eine Schaltfläche beenden. Aus diesem Grund
muss die nwtray.exe durch das Beenden des Prozesses geschlossen werden. Am einfachsten geht
das auf der Kommandozeile durch:
C:\>Taskkill /f /im nwtray.exe
Jetzt ist es wichtig die nwtray.exe wieder neu zu starten, dabei sollte man selbstverständlich
darauf achten, dass sie aus der Konsole mit der alternativen Kennung heraus aufgerufen wird.
C:\> nwtray.exe
Nach der Eingabe des Befehls sind möglicherweise zwei rote N’s unten rechts in der Taskleiste des
Desktops zu sehen. Das liegt meist daran, dass nach dem etwas rabiaten Schließen der nwtray.exe,
diese keine Zeit gefunden hat, ihren Anzeigebereich zu aktualisieren. Wenn man kurz mit der Maus
über beide N’s fährt, wird das N verschwinden, für das keine nwtray.exe mehr geladen ist.
Jetzt kann man mit der rechte Maustaste auf das noch vorhandene N klicken und das Kontextmenü
die „Novell-Anmeldung“ auswählen, um sich unter seiner alternativen Kennung bei Novell
anzumelden. Nach erfolgreicher Anmeldung an Novell, hat man jetzt in der Kommandozeile, aus der
heraus die nwtray.exe gestartet wurde, die Berechtigungen der alternativen Kennung im Novell.
Auch wenn man jetzt den Explorer aus dieser Konsole startet, erhält man in dem Explorer die
alternativen Novell Berechtigungen und kann somit auf Verzeichnisse und andere Objekte in der
Novell-Umgebung mit den alternativen Berechtigungen zugreifen.