Windows 7 bietet wesentlich bessere Voraussetzungen, um normale Benutzer nur mit Standardrechten auszustatten und ihnen die Privilegien des lokalen Administrators zu entziehen. Scheitern kann die Umsetzung des Least-Privilege-Prinzips allerdings an hartnäckigen Altanwendungen, die ohne administrative Rechte nicht laufen wollen. Das kostenlose Tool RunAsGUI von Smart-X kann hier helfen.

Neben den fortgeschrittenen Techniken in Windows 7, die schlecht programmierte Anwendungen in Gang bringen sollen, beispielsweise die Virtualisierung von Registry und Dateisystem, gibt es noch einen älteren Mechanismus, der dafür von Nutzen sein kann. Es handelt sich dabei um den RunAs-Befehl, der es erlaubt, Programme im Kontext eines anderen Benutzers, also auch eines Administrators auszuführen.

RunAs für Standardbenutzer schlecht geeignet

Um Kompatibilitätsprobleme zu überwinden, eignet sich RunAs nur schlecht für den Einsatz durch die Endbenutzer. Zum einen handelt es sich dabei um ein Kommandozeilen-Tool, zum anderen erfordert es, dass man die Anmeldedaten eines privilegierten Kontos an die User weitergibt, die diese dann für beliebige Zwecke eingeben können.

RunAsGUI räumt die wesentlichen Hindernisse aus dem Weg, die den gezielten Einsatz von RunAs für einzelne inkompatible Programme ungeeignet macht: es schirmt die Anwender komplett vom Wechsel des Benutzerkontexts ab, indem es ein vollständig konfiguriertes Programmsymbol bereitstellt und indem es die Anmeldedaten so verwaltet, dass sie der normale Anwender nicht zu Gesicht bekommt.

Admin- und Client-Komponente

Die Software besteht aus 2 Komponenten, die als separate MSI-Packages (RunAsGUI.­Setup.­Client.msi und RunAsGUI.­Setup.­Admin.msi) in der ZIP-Datei enthalten sind. Die Admin-Komponente ist dafür vorgesehen, einzelne Programme für die Ausführung unter höheren Rechten zu konfigurieren. Das Tool enthält zu diesem Zweck einen Wizard, der die erforderlichen Daten Schritt für Schritt abfragt. Dazu zählen vor allem die Angaben zum Programm und zur Anmeldung als privilegierter Benutzer.

Bei diesem Vorgang zeigte das Tool 2 Schwächen. Zur Festlegung des Arbeitsverzeichnisses akzeptierte es keine Umgebungsvariablen, so dass es bei der Verwendung durch mehrere Benutzer auf fixe Pfade beschränkt bleibt und sich nicht dynamische auf ihre Profile einstellen kann. Darüber hinaus produzierte es bei der Eingabe des Passworts nach jedem Zeichen eine Fehlermeldung, die sich über ungültige Anmeldeinformationen beschwerte. Gibt das Passwort vor dem Benutzernamen ein, dann geht der Vorgang glatt über die Bühne.

Alle Daten in verschlüsselter .rag-Datei

Nach dem Durchlauf des Wizards erstellt RunAsGUI eine verschlüsselte Datei mit der Endung .rag, die alle zur Ausführung der inkompatiblen Software nötigen Informationen enthält. Diese Extension ist der Client-Komponente des Tools zugeordnet, so dass diese beim Doppelklick auf eine .rag-Datei die darin beschriebene Anwendung unter einem Konto mit höheren Rechten startet.

Das Client-Modul muss nicht unbedingt lokal installiert werden, es kann auch auf einem Netzlaufwerk liegen. Wählt man Letztere Variante, dann wird die Extension .rag mangels Installation nicht mehr dem Client assoziert, so dass man sie direkt aufrufen und ihre den Namen der .rag-Datei übergeben muss.

Nützliche Zusatzoptionen

Das Tool bietet für die Ausführung von Prozessen eine Reihe von Einstellungsmöglichkeiten, darunter beispielsweise den Start im normalen oder minimierten Fenster oder deren automatische Beenden nach Ablauf einer bestimmten Frist. Bei der Wahl der Anmeldedaten kann ein lokales Konto verwendet werden, in der Regel wird man jedoch einen Domänen-Account nehmen. RunAsGUI unterstützt die Auswahl mit einem Browser für die AD-Konten.