SuRun einsetzen bei nicht-vertrauten Benutzern

Ppradiminix9 · 29. Apr 2010

Hallöchen,

zu Hause auf meinem eigenen PC (WinXP SP3) setze ich SuRun v1.2.0.8 ein.

Die Frage ist:
Auf dem Vereins-PC überlege ich wie kann ich SuRun sinnvoll einsetzen kann:
Die eingeschrenkte Benutzer sollen ohne Abfrage eines für denen unbekannten Passworts gewisse System-/Admin-Progs nicht starten können. (ERUNT, ... )
Jedoch möchte ich selbst als Admin eine sicherere Möglichkeit als MachMichAdmin nutzen oder zu meinen Admin-Account wechseln zu müssen.

Hat jemand da Anregungen oder Erfahrungswerte?
Oder ist das eher ein Feature-Request?

Vielen Dank für Eure Hilfe!
Alle einen schönen und friedvollen Tag,
PrAdiminix9

Ccosmo · 30. Apr 2010

Mach die Benutzer zu eingeschränkten SuRunnern (SuRunner-Einstellungen -> Benutzer darf nur festgelgte ...), eventuell dort auch "verbergen" aktiveren. Für das von dir selbst erstellte Konto erstelle eine Verknüpfung wie folgt:
surun /SwitchTo Admin
wobei statt Admin den Namen des Kontos des Admins einträgst. Im Admin-Konto kannst du eine ebensolche Verknüpfung erstellen, hierbei statt Admin den Namen deines eingeschränkten Kontos einsetzen. (Du könntest auch weitere Verknüpfungen zu den anderen Benutzerkonten erstellen.) Somit kannst du unter der Voraussetzung, daß das jeweils andere Konto angemeldet ist mit einem Klick unmittelbar in dieses Konto wechseln (ohne den Umweg über den Anmeldebildschirm).

Ppradiminix9 · 30. Apr 2010

Hallo Cosmo,

danke für Deine Anregung, scheint mir aber nicht, dass es bei dem Vereins-PC (auch mit WinXP SP3) so viel helfen würde.
/SwitchTo <Admin-Account> macht den Wechsel schneller, aber die Benutzerrechte sind die gleichen, wie beim "normalen" Benutzerwechsel. (Habe es ausprobiert)

Das Problem ist, dass das Windows-System vor den Benutzern, die zum größten Teil "Von Computer keine Ahnung", sowie ggf. probierfreudige Jugendliche, geschützt werden muss. Daher möchte ich sie auf keinen Fall Programme als Admin ausführen zu lassen, ohne dass sie ein fremdes unbekanntes Passwort eingeben müssen.
Um die HKEY_CURRENT_USER auf einfache Art zu verarbeiten, sowie ERUNT zu benutzen, muss man als der entsprechende User angemeldet zu sein. Daher fällt das jetzige /RUNAS <Programm> flach, meines Verständnis nach. (Habe es auch ausprobiert)

Hilfreich wäre ein /RunAsWithAdminPrivileges <Programm>

Eine andere Lösung wäre, dass das eingeschränktes Benutzerkonto keinen Fall Programme als Admin ausführen zu lassen, ohne dass sie ein fremdes unbekanntes Passwort eingeben müssen. Z.Zt. gibt wohl so ein Feature (noch nicht) im SuRun.
Wie soll ansonsten SuRun wissen, ob ich als Admin für das betreffenden eingeschränktes Benutzerkonto mir alle Rechte holen darf, für das selbige Benutzerkonto mit all den anderen Menschen vor dem Computer aber nicht?

Gibt es sonstige Lösungen? - Danke für die Anregungen!
Einen sonnigen Tag!

Ccosmo · 1. Mai 2010

Was meinen Tip mit /SwitchTo betrifft, hast du mich mißverstanden. Hierbei geht es nicht um Rechte, sondern um einen komfortableren Wechsel der Konten. Und diesen Tip gab ich in Bezug auf deinen Satz "Jedoch möchte ich selbst ... zu meinen Admin-Account wechseln."

Was das andere betrifft, habe ich dich möglicherweise nicht wirklich verstanden. Wenn du - wie ich dir schrieb - die anderen zu eingeschränkten SuRunnern machst (oder gar nicht zu SuRunnern), so können sie nur mit erhöhten Rechten ausführen, was du zuvor freigegeben hast (oder sie bräuchten das Admin-Kennwort). Insofern verstehe ich dein Problem nicht, vielleicht schreibst du noch einmal genauer, was an meinem Vorschlag in deinem Szenario nicht paßt.

Auch dein Vorschlag mit einem Parameter /RunAsWithAdminPrivileges habe ich nicht wirklich verstanden. RunAs (so wie es von Windows angeboten wird) bezieht sich immer auf Admin-Konten, in deren Benutzerkontext man ein Programm startet, ohne in dem betreffenden Admin-Konto angemeldet zu sein. Und in diesem Fall läuft das Programm in dem gewählten Admin-Konto immer mit Admin-Privilegien, was soll dieser Schalter gegenüber dem vorhandenen /RunAs jetzt anders machen?

Übrigens: ERUNT, wenn über /RunAs gestartet (mit oder ohne SuRun) hat eine Option, die User-Registry des angemeldeten Benutzers in die Sicherung mit einzubeziehen. Praktiziere ich hier seit Jahren, um die Registry inklusive der Benutzerschlüssel sowohl für mein Admin-Konto und für mein Benutzerkonto in einem Rutsch zu sichern. Ich verwende allerdings tatsächlich nicht ERUNT.exe, sondern das mitgelieferte AUTOBACK.exe, bei dem dann die Parameter
sysreg curuser otherusers
hinzufüge.

Ppradiminix9 · 3. Mai 2010

Hallo Cosmo,

kurze Rückmeldung - war am Wochenende weg und fahre gleich wieder weg. Erst am Do/Fr. komme ich hoffentlich dazu, da ich kommende WE wieder weg bin.