"start als Administrator" vom Netzwerk (LW und UNC-Pfad) schlaegt fehl - Kays Senf

Ogrosl (Guest) 2010-07-10, 12:45 #1

No profile available.

Subject: "start als Administrator" vom Netzwerk (LW und UNC-Pfad) schlaegt fehl

Hi,

1) danke fuer das super-tool

2) habe (ungeschickt?) gesucht aber nichts zu dem Thema gefunden.

XP SP3, Patchstand Juni 2010

Explorer Rechtsklick auf file (zb \\server\share\stuff\file.exe)
produziert fehlermeldung in dialogbox

Caption: SuRun
Text: Fehler! \\server\share\stuff\file.exe konnte nicht gestartet werden

analog bei mit unter Buchstaben verbundenem Laufwerk.

Ist dies
- eine bekannte Einschraenkung
- eine Konfigurationssache
- ein anderes Problem
?

(files auf lokaler Platte funktionieren)

danke

Kay (Administrator) 2010-07-11, 15:34 #2

User title: Weltverbesserer
Member since Nov 2007 · 1335 posts · Location: Rockenhausen
Group memberships: Administratoren, Mitglieder

Show profile ·

Link to this post

Welches Server-Betriebssystem benutzt Du?
SuRun erstellt einen lokalen Admin Token. Der könnte vom Server evtl. nicht akzeptiert werden.
Wenn Du eine SuRun Beta und Sysinternals' DebugView benutzt, sollte da der Grund stehen, warum SuRun die Exe nicht starten kann.

Ogrosl (Guest) 2010-07-13, 14:36 #3

No profile available.

Link to this post

habe jetzt probiert:

win server 2003: ok
samba 3: ok
samba 2: problem

habe aber erst am WE zeit, die betaversion zu installieren und die Fehlermeldung zu analysieren.

danke

Ogrosl (Guest) 2010-07-20, 23:34 #4

No profile available.

Link to this post

ok, hier jetzt die genaueren daten:

samba 2.2.8a-ja-1.1 (auf Buffalo Terastation 1TB, HD-HTGL)

"net view" zeigt alle Freigaben, Zugriff (bereits jahrelang) problemlos moeglich.

Aufruf/Start (mit und ohne surun) mit Benutzer in Guppe Users oder Administrators: ok

Den Benutzer Administrator gibt es am Server gar nicht, daher schlaegt naturgemaess ein herkoemmliches Starten via RunAs mit diesem Account fehl.

ShareEnum von sysinternals meldet fuer das NAS als Administrator "Zugriff verweigert" (klar), als User "Das Stub erhielt falsche Daten".

DebugView liefert:

00000000 0.00000000 [3428] SuRunext.cpp(630): SuRun ShellExtHook Error: invalid verb (SuRun)!
00000001 0.05172757 [2420] [fflib] DLL_PROCESS_ATTACH (pid 00000974h, "C:\WINDOWS\SuRun.exe")
00000002 0.06038106 [2420] Helpers.cpp(699): WNetGetUniversalName failed: 1200(0x000004B0): Der angegebene Gerätename ist unzulässig.
00000003 0.06038106 [2420]
00000004 0.06062314 [2420] Helpers.cpp(699): WNetGetUniversalName failed: 1200(0x000004B0): Der angegebene Gerätename ist unzulässig.
00000005 0.06062314 [2420]
00000006 0.10747714 [2264] [fflib] DLL_PROCESS_ATTACH (pid 000008D8h, "C:\WINDOWS\SuRun.exe")
00000007 0.19803265 [3856] [fflib] DLL_PROCESS_ATTACH (pid 00000F10h, "C:\WINDOWS\SuRun.exe")
00000008 1.52904224 [2264] Service.cpp(480): CreateProcessAsUser("\\depot\down\net\mail\thunderbird\Thunderbird Setup 3.1.1.exe",ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users,\\depot\down\net\mail\thunderbird) failed: 86(0x00000056): Das angegebene Netzwerkkennwort ist falsch.
00000009 1.52904224 [2264]
00000010 1.52929962 [2264] Service.cpp(1480): CreateProcessAsUser failed: 86(0x00000056): Das angegebene Netzwerkkennwort ist falsch.
00000011 1.52929962 [2264]
00000012 1.68685639 [2264] [fflib] DLL_PROCESS_DETACH (pid 000008D8h)
00000013 4.59951973 [2420] [fflib] DLL_PROCESS_DETACH (pid 00000974h)
00000014 18.45929718 [1456] [fflib] CmnFileDlgHook::Init()

WNetGetUniversalName duerfte nicht funktionieren und irgendwie scheinen die Umgebungsvariablen da auch reinzurutschen.

Hab auch versucht: Navigation zum EXE ueber einen als Administrator gestarteten Explorer mit "\\depot\down" in der Adresszeile und anschliessender Eingabe des (normalen) Benutzernamens und Passworts, sowie Auffinden des Files im Verzeichnisbaum.

Beim Doppelklick drauf kam dann eine Dialogbox mit der Information, dass die Datei, auf die ich gerade doppelt geklickt habe, nicht gefunden werden kann.

danke

Ogrosl (Guest) 2010-07-20, 23:41 #5

No profile available.

Link to this post

sorry, vergessen: surun 1.2.0.9b12

Ogrosl (Guest) 2010-07-20, 23:54 #6

No profile available.

Link to this post

tschuldign nochmals (es ist auch schon relativ spaet...).

variante 2 (explorer als admin starten) funktioniert.

Hatte aber das exe-file als user umbenannt und F5 zum Aktualisieren vergessen :-(

danke

Kay (Administrator) 2010-07-30, 21:56 #7

User title: Weltverbesserer
Member since Nov 2007 · 1335 posts · Location: Rockenhausen
Group memberships: Administratoren, Mitglieder

Show profile ·

Link to this post

Besser spät, als nie :blush:

...
Der Administrator-Token, den SuRun verwendet, hat ein anderes Kennwort, als der eingeschränkte Benutzer und Samba meckert das an. Ich habe den Programmstart entsprechend angepasst. Mit SuRun 1.2.0.9b13 sollte es gehen.

Ogrosl (Guest) 2010-08-01, 11:55 #8

No profile available.

Link to this post

Besser spaet, als nie

Hab's nicht eilig ;-)

1.2.0.9b13: funktioniert bei mir aber immer noch nicht.

achja: simple LM security ist aktiviert (sonst geht's aber auch interaktiv gar nicht)

00000000 0.00000000 [384] SuRunext.cpp(630): SuRun ShellExtHook Error: invalid verb (SuRun)!
00000001 0.05148331 [1832] [fflib] DLL_PROCESS_ATTACH (pid 00000728h, "C:\WINDOWS\SuRun.exe")
00000002 0.06138857 [1832] Helpers.cpp(699): WNetGetUniversalName failed: 1200(0x000004B0): Der angegebene Gerätename ist unzulässig.
00000003 0.06138857 [1832]
00000004 0.06163287 [1832] Helpers.cpp(699): WNetGetUniversalName failed: 1200(0x000004B0): Der angegebene Gerätename ist unzulässig.
00000005 0.06163287 [1832]
00000006 0.11458990 [2356] [fflib] DLL_PROCESS_ATTACH (pid 00000934h, "C:\WINDOWS\SuRun.exe")
00000007 0.20960113 [2704] [fflib] DLL_PROCESS_ATTACH (pid 00000A90h, "C:\WINDOWS\SuRun.exe")
00000008 1.57804346 [2356] Service.cpp(465): WARNING: CreateProcessAsUser(\\trum\down\adobe\reader\933d\AdbeRdr933_de_DE.exe,00_Useless=some junk,\\trum\down\adobe\reader\933d) failed: 86(0x00000056): Das angegebene Netzwerkkennwort ist falsch.
00000009 1.57804346 [2356] ; SECOND TRY with Impersonation
00000010 1.60425913 [2356] Service.cpp(475): CreateProcessAsUser(\\depot\down\adobe\reader\933d\AdbeRdr933_de_DE.exe,00_Useless=some junk,\\depot\down\adobe\reader\933d) failed: 1326(0x0000052E): Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.
00000011 1.60425913 [2356]
00000012 1.60434651 [2356] Service.cpp(480): CreateProcessAsUser(\\depot\down\adobe\reader\933d\AdbeRdr933_de_DE.exe,00_Useless=some junk,\\depot\down\adobe\reader\933d) failed: 1326(0x0000052E): Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.
00000013 1.60434651 [2356]
00000014 1.60442865 [2356] Service.cpp(1480): CreateProcessAsUser failed: 1326(0x0000052E): Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.
00000015 1.60442865 [2356]
00000016 1.81083632 [2356] [fflib] DLL_PROCESS_DETACH (pid 00000934h)
00000017 3.51468468 [1832] [fflib] DLL_PROCESS_DETACH (pid 00000728h)
00000018 24.15473175 [936] [fflib] CmnFileDlgHook::Init()
00000019 50.48303986 [1432] [fflib] DLL_PROCESS_ATTACH (pid 00000598h, "C:\WINDOWS\SuRun.exe")

Danke

Ogrosl 2010-08-01, 12:04 #9

Member since Aug 2010 · 3 posts
Group memberships: Mitglieder

Show profile ·

Link to this post

Sorry, habe 2 logs vermischt. Die UNC Pfade sind pro Durchlauf jeweils gleich, daran liegt es nicht.
Danke

Kay (Administrator) 2010-08-01, 12:12 #10

User title: Weltverbesserer
Member since Nov 2007 · 1335 posts · Location: Rockenhausen
Group memberships: Administratoren, Mitglieder

Show profile ·

Link to this post

Macht nix... SuRun macht immer noch Mist. Im zweiten Versuch sollte es mit der Identität des Shell-Benutzers versuchen, den Prozess zu starten. Mit Beta 14 wird das gehen.

Ogrosl 2010-08-05, 13:01 #11

Member since Aug 2010 · 3 posts
Group memberships: Mitglieder

Show profile ·

Link to this post

Sehr gut, wieder ein Schritt weiter zum Ziel ;-)

Der Netzwerkzugriff und der Aufruf simpler Exe-Dateien funktioniert mit "start als admin".

Installer, die offenbar Unterprozesse starten, geben auf (adobe reader, foxit etc).

Beispiel piriform defraggler

Versuch 1 - Aufruf via Explorer:

00000000 0.00000000 [380] SuRunext.cpp(630): SuRun ShellExtHook Error: invalid verb (SuRun)!
00000001 0.04745101 [3392] [fflib] DLL_PROCESS_ATTACH (pid 00000D40h, "C:\WINDOWS\SuRun.exe")
00000002 0.05679635 [3392] Helpers.cpp(699): WNetGetUniversalName failed: 1200(0x000004B0): Der angegebene Gerätename ist unzulässig.
00000003 0.05679635 [3392]
00000004 0.05704748 [3392] Helpers.cpp(699): WNetGetUniversalName failed: 1200(0x000004B0): Der angegebene Gerätename ist unzulässig.
00000005 0.05704748 [3392]
00000006 0.10400447 [3576] [fflib] DLL_PROCESS_ATTACH (pid 00000DF8h, "C:\WINDOWS\SuRun.exe")
00000007 0.19132060 [3596] [fflib] DLL_PROCESS_ATTACH (pid 00000E0Ch, "C:\WINDOWS\SuRun.exe")
00000008 2.01391959 [3576] Service.cpp(479): WARNING: CreateProcessAsUser(\\depot\down\disk\defrag\defraggler\dfsetup121_slim.exe,00_Useless=some junk,\\depot\down\disk\defrag\defraggler) failed: 86(0x00000056): Das angegebene Netzwerkkennwort ist falsch.
00000009 2.01391959 [3576] ; Impersonating as User
00000010 2.32495141 [3576] [fflib] DLL_PROCESS_DETACH (pid 00000DF8h)
00000011 2.33541155 [2920] [fflib] DLL_PROCESS_ATTACH (pid 00000B68h, "\\depot\down\disk\defrag\defraggler\dfsetup121_slim.exe")
00000012 2.33925390 [3392] [fflib] DLL_PROCESS_DETACH (pid 00000D40h)

Der Installer beschwert sich in Dialogfenster: Caption - NSIS Error, Text - Error launching installer.

Habe dann die exe-Datei via drag'n'drop von einem explorerfenster in ein zweites nach E:\install kopiert.
Die lokale Kopie wird erstellt, lokaler Aufruf als admin funktioniert auch.
Bei mir ist Teracopy als Copyhandler registriert.
Folgendes ist beim Kopieren im Debugfenster zu beobachten:

00000000 0.00000000 [380] SuRunext.cpp(710): SuRun ShellExtHook: CreateProcess(C:\WINDOWS\SuRun.exe /QUIET /TESTAA 380 16de4f8 C:\Programme\TeraCopy\teracopy.exe Copy *"C:\Dokumente und Einstellungen\ogrosl\Anwendungsdaten\TeraCopy\FileList.dat" "E:\install") failed: 267(0x0000010B): Der Verzeichnisname ist ungültig.
00000001 0.00000000 [380]
00000002 0.04368516 [2920] [fflib] DLL_PROCESS_ATTACH (pid 00000B68h, "C:\WINDOWS\SuRun.exe")
00000003 0.07413577 [2920] [fflib] DLL_PROCESS_DETACH (pid 00000B68h)
00000004 0.24474330 [3148] [fflib] DLL_PROCESS_ATTACH (pid 00000C4Ch, "C:\Programme\TeraCopy\teracopy.exe")
00000005 0.37099379 [3148] Das System kann die angegebene Datei nicht finden.
00000006 0.78480935 [3148] [fflib] DLL_PROCESS_DETACH (pid 00000C4Ch)

erfolgreicher lokaler Aufruf als admin:

00000000 0.00000000 [380] SuRunext.cpp(630): SuRun ShellExtHook Error: invalid verb (SuRun)!
00000001 0.05144905 [3588] [fflib] DLL_PROCESS_ATTACH (pid 00000E04h, "C:\WINDOWS\SuRun.exe")
00000002 0.10849735 [1592] [fflib] DLL_PROCESS_ATTACH (pid 00000638h, "C:\WINDOWS\SuRun.exe")
00000003 0.19918375 [3768] [fflib] DLL_PROCESS_ATTACH (pid 00000EB8h, "C:\WINDOWS\SuRun.exe")
00000004 1.67892790 [1592] [fflib] DLL_PROCESS_DETACH (pid 00000638h)
00000005 1.68534756 [3588] [fflib] DLL_PROCESS_DETACH (pid 00000E04h)
00000006 1.70982516 [2188] [fflib] DLL_PROCESS_ATTACH (pid 0000088Ch, "E:\install\dfsetup121_slim.exe")
00000007 16.17606544 [2188] [fflib] DLL_PROCESS_DETACH (pid 0000088Ch)

Danke

Kay (Administrator) 2010-08-05, 16:36 #12

User title: Weltverbesserer
Member since Nov 2007 · 1335 posts · Location: Rockenhausen
Group memberships: Administratoren, Mitglieder

Show profile ·

Link to this post

Quote by Ogrosl:
Installer, die offenbar Unterprozesse starten, geben auf (adobe reader, foxit etc).

Die Installer sind als Stub vor ein Archiv geschnallt... Das können sie nun nicht mehr auspacken, da sie unter Samba 2 keinen Zugriff auf die Datei bekommen. Man könnte in Samba einen zweiten User einrichten, der das Kennwort des SuRun Admin-Benutzers hat. Da SuRun für den Admin Token immer ein zufälliges Kennwort verwendet kann man das wohl auch nicht leicht ändern.

Ogrosl 2010-08-06, 21:34 #13

Member since Aug 2010 · 3 posts
Group memberships: Mitglieder

Show profile ·

Link to this post

Vielleicht liegt's auch nur an den Rechten im %TEMP%-Verzeichnis des aktuellen (admin) Environments.

Habe ein fuer alle und jeden beschreibbares Verzeichnis C:\TEMP angelegt und die Umgebungsvariablen fuer das System und den User umgebogen, dann funktionieren Extraktion und Aufruf der lokalen Setupdateien nach "start als admin" auch.

Kay (Administrator) 2010-08-07, 00:43 #14

User title: Weltverbesserer
Member since Nov 2007 · 1335 posts · Location: Rockenhausen
Group memberships: Administratoren, Mitglieder

Show profile ·

Link to this post

Dasss hab' ich jetzt nicht ganz verstanden...

SuRun erzeugt keinen neuen Admin: Der SuRun Dienst

sichert das (bzw. den hash des...) Kennwort des Benutzers

gibt dem Benutzer ein zufälliges Kennwort

trägt den Benutzer in die Administratoren-Gruppe ein

erzeugt einen lokalen Token mit diesem Kennwort

trägt den Benutzer aus Administratoren wieder aus

stellt das alte Kennwort wieder her

...alle Zugriffe mit dem SuRun-Admin Token sollten genau so erfolgen können, wie mit dem eingeschränkten Token. Alle Umgebungsvariablen sollten auch dieselben sein, denn es ist der selbe Benutzer.
Nur, wenn Samba das Kennwort prüft, geht das nicht, weil eben das Kennwort ein anderes ist.

Ogrosl_ (Guest) 2010-08-19, 23:16 #15

No profile available.

Link to this post

du hast natuerlich recht.
das kommt davon, wenn 2 dinge im system gleichzeitig geaendert werden...

hatte vorm spielen mit TEMP via "'surun explorer' hier" aufs netz zugegriffen, musste username/passwort eingeben und das war dem system spaeter noch bekannt, nur ich hab's vergessen gehabt.

nach einem reboot ging der start als admin dann wieder nicht mehr.
danke