subprozess nicht mit erhöhten rechten starten möglich?

brucelee

Hi,

zunächst einmal muss ich eine Sache los werden.
Mein Kompliment. Ein geniales Tool.

Nun zu meiner Frage:
Ich habe ein Tool, welches ich im User Kontext mit erhöhten Rechten starten muss.
Diese Exe startet einen Subprozess, welcher wiederum zum Ende eine *.bat Datei startet. Nun würde ich gerne diese .bat nicht mehr mit erhöhten Rechten, sondern mit dem eingeloggten User starten.
Geht dies?
Der Programmfilter hat leider nicht geholfen. Die *.bat mit in die Liste und ohne erhöhte Rechte zu konfugirieren ebenfalls nicht.
Kann man das eventuell umgehen, indem man in die *bat eine Exe packt, welche druch einen bat2exe converter kompiliert wurde?

Danke und Gruss
BruceLee

brucelee

Hier eine Lösung von mir. Vielleicht gibt es eine bessere Möglichkeit, aber diese erfüllt seinen/meinen Zweck.

Der Hintergrund:
OpenVPN als Client auf einem
Windows7 Client
AD-Account ohne Adminrechte (als Roadwarrior)
automatischem Login-Script mittels des Usernamens als Variable über \\DC1\netlogon\login_script.cmd
zum Mapping von Laufwerken.

OpenVPN benötigt zwingend Adminrechte um Routen undNetzwerksettings zu setzen. Deswegen ist suruns nötig.
OpenVPN startet allerdings nach erfolgreichem Tunnelaufbau automatisch eine im config Verzeichnis liegende profil_up.bat.
Diese wird nun aber im Kontext der openvpngui.exe/openvpn.exe (also erhöhten Rechten) gestartet. Das verhindert, dass die Mappings im Explorer angezeigt werden, obwohl sie gemappt werden. Denn der Token ist der des Users mit erhöhten Rechten und das Profil nur ein Standard User ist.
In diesem Fall hilft der EnableLinkedConnections DWORD Eintrag nicht.
Was ich nun also getan habe ist folgendes:

Nach dem Konfigurieren der openvpngui.exe und openvpn.exe über surun mit erhöhten Rechten ruft diese nun das profil_up.bat Script auf. In diesem habe ich nun den Aufruf meines Login Script, welches sich auf dem über den OpenVPN Tunnel verbundenen DC im netlogon Verzeichnis befindet, wie folgt gelöst:

hstart /NONELEVATED "\\DC1\netlogon\loginscript.cmd"

hstart ist hier zu finden:
http://www.ntwind.com/software/utilities/hstart.html

Das Ganze ist für mich notwendig, da ich mit einer ifmember.exe zur Gruppenzugehörigkeit und dem Account Namen als Variable im Login Script arbeite. Desweiteren soll es automatisch laufen und alle notwendigen Scripte und Configs im AD liegen. So logged sich ein User mit seinem AD-Account von unterwegs lokal an. Anschließend startet er die OpenVPN Software; klickt auf Connect; gibt die Authentifizeirung-Credentials ein und der Rest läuft automatisch ab. Anschließend ist der Client im AD unterwegs. So als wäre er im Büro. Mappings, Exchange, DNS, WINS etc. Und das nach wie vor ohne Admin-Rechte. Juhu.

Ich denke hstart kann auch anderen helfen das Mapping Problem zu "lösen".
Bei Fragen immer her damit. Ich tue was ich kann.

brucelee

ein Sache habe ich noch. Kann es irgendeinen Grund geben, warum surun heute zweimal die Einstellungen "halb" zurückgesetzt hat?
Ich hatte die erfahrenen Funktionen aktiviert und entsprechende Änderungen vorgenommen. Diese waren weg, nur noch die Applikationen waren in der Liste und ich mußte alles wieder neu setzen.
Wann tritt sowas auf? Ein Fehler von mir? Ein Bug? Wie kann ich es eingrenzen? Danke

Kay

Entschuldige die späte Reaktion...Stress ;-)

SuRun hängt sich nicht in administrativ laufende Prozesse ein.
Deshalb kann es "Sub-Prozesse" auch nicht mit eingeschränkten Rechten starten. (Sollte ich vielleicht mal ändern)

SuRun's Einstellungen setzen sich normaler Weise nicht zurück, es sei denn, Du klickst auf "Empfohlene Einstellungen für Heimanwender vorgeben". Mir ist das bisher jedenfalls noch nie passiert.

brucelee

danke, ich werde es mal beobachten. Zumindest bewußt habe ich nicht diese Option nicht angeklickt.

SuRun hängt sich nicht in administrativ laufende Prozesse ein.

OK. Aber in dem Fall habe ich die erhöhten Rechte mit surun erstellt. Oder ist das unerheblich?
Dieser Prozess startet dann einen Sub-Prozess.

Das ist aber nicht schlimm, da ich es mit hstart lösen kann.
Danke und Gruss

Kay

Ob der admin-Prozess mit SuRun erstellt wurde oder nicht wird von den Hooks nicht ausgewertet.

SuRun kann nicht sicher alle Programmstarts abfangen.
Es wäre also möglich, dass ein Prozess gestartet wird, ohne dass die Hooks das bemerken.
Dieser Prozess würde dann mit Admin-Rechten laufen, obwohl man das nicht wollte.
Ich halte es für besser, dass man davon ausgehen muss, dass ein Kind-Prozess die Rechte der Eltern erbt, falls man das nicht mit hstart oder SuRun bewusst verändert.

brucelee

Danke. Ich halte es ebenfalls für besser, das Kind-Prozesse die Rechte der Eltern-Prozesse erben.
Mit hstart wollte ich einen Weg aufzeigen, das Token-Mapping-Problem zu lösen.
Denn SuRun war dazu leider nicht in der Lage, da es sich um Skripte handelt.