RunAs mit GUI: Programme mit erhöhten Privilegien ausführen

    Windows 7 bietet wesentlich bessere Voraussetzungen, um normale Benutzer nur mit Standardrechten auszustatten und ihnen die Privilegien des lokalen Administrators zu entziehen. Scheitern kann die Umsetzung des Least-Privilege-Prinzips allerdings an hartnäckigen Altanwendungen, die ohne administrative Rechte nicht laufen wollen. Das kostenlose Tool RunAsGUI von Smart-X kann hier helfen.

    Neben den fortgeschrittenen Techniken in Windows 7, die schlecht programmierte Anwendungen in Gang bringen sollen, beispielsweise die Virtualisierung von Registry und Dateisystem, gibt es noch einen älteren Mechanismus, der dafür von Nutzen sein kann. Es handelt sich dabei um den RunAs-Befehl, der es erlaubt, Programme im Kontext eines anderen Benutzers, also auch eines Administrators auszuführen.

    RunAs für Standardbenutzer schlecht geeignet

    Um Kompatibilitätsprobleme zu überwinden, eignet sich RunAs nur schlecht für den Einsatz durch die Endbenutzer. Zum einen handelt es sich dabei um ein Kommandozeilen-Tool, zum anderen erfordert es, dass man die Anmeldedaten eines privilegierten Kontos an die User weitergibt, die diese dann für beliebige Zwecke eingeben können.

    RunAsGUI räumt die wesentlichen Hindernisse aus dem Weg, die den gezielten Einsatz von RunAs für einzelne inkompatible Programme ungeeignet macht: es schirmt die Anwender komplett vom Wechsel des Benutzerkontexts ab, indem es ein vollständig konfiguriertes Programmsymbol bereitstellt und indem es die Anmeldedaten so verwaltet, dass sie der normale Anwender nicht zu Gesicht bekommt.

    Admin- und Client-Komponente

    Ein Wizard des Admin-Moduls hilft bei der Konfiguration der Anwendung, die mit höheren Rechten ausgeführt werden soll.Die Software besteht aus 2 Komponenten, die als separate MSI-Packages (RunAsGUI.­Setup.­Client.msi und RunAsGUI.­Setup.­Admin.msi) in der ZIP-Datei enthalten sind. Die Admin-Komponente ist dafür vorgesehen, einzelne Programme für die Ausführung unter höheren Rechten zu konfigurieren. Das Tool enthält zu diesem Zweck einen Wizard, der die erforderlichen Daten Schritt für Schritt abfragt. Dazu zählen vor allem die Angaben zum Programm und zur Anmeldung als privilegierter Benutzer.

    Bei diesem Vorgang zeigte das Tool 2 Schwächen. Zur Festlegung des Arbeitsverzeichnisses akzeptierte es keine Umgebungsvariablen, so dass es bei der Verwendung durch mehrere Benutzer auf fixe Pfade beschränkt bleibt und sich nicht dynamisch auf ihre Profile einstellen kann. Darüber hinaus produzierte es bei der Eingabe des Passworts nach jedem Zeichen eine Fehlermeldung, die sich über ungültige Anmeldeinformationen beschwerte. Gibt man das Passwort vor dem Benutzernamen ein, dann geht der Vorgang glatt über die Bühne.

    Alle Daten in verschlüsselter .rag-Datei

    Nach dem Durchlauf des Wizards erstellt RunAsGUI eine verschlüsselte Datei mit der Endung .rag, die alle zur Ausführung der inkompatiblen Software nötigen Informationen enthält. Diese Extension ist der Client-Komponente des Tools zugeordnet, so dass diese beim Doppelklick auf eine .rag-Datei die darin beschriebene Anwendung unter einem Konto mit höheren Rechten startet.

    Das Client-Modul muss nicht unbedingt lokal installiert werden, es kann auch auf einem Netzlaufwerk liegen. Wählt man Letztere Variante, dann wird die Extension .rag mangels Installation nicht mehr dem Client assoziert, so dass man sie direkt aufrufen und ihre den Namen der .rag-Datei übergeben muss.

    Nützliche Zusatzoptionen

    Der AD-Object-Picker hilft bei der Auswahl von privilegierten Domänen-Benutzern.Das Tool bietet für die Ausführung von Prozessen eine Reihe von Einstellungsmöglichkeiten, darunter beispielsweise den Start im normalen oder minimierten Fenster oder deren automatische Beenden nach Ablauf einer bestimmten Frist. Bei der Wahl der Anmeldedaten kann ein lokales Konto verwendet werden, in der Regel wird man jedoch einen Domänen-Account nehmen. RunAsGUI unterstützt die Auswahl mit einem Browser für die AD-Konten.

    2 Kommentare

    Bild von daniel
    daniel sagt:
    6. April 2014 - 13:00

    Hallo,

    ich habe hier das Problem dass ich die Adobe Premiere Pro 6 CS auf unsere Schulungsrechner installieren muss. Lizenziert ist es sauber, aber *unglaublich* es verlangt von allen Usern die es nutzen wollen adminrechte. (letzeres scheint mir inzwischen schon als gewollt um die User in Zukunft auf CC Cloud zu bringen, so ein praktisches Mietprodukt - da braucht es dann gar keine Adminrechte mehr, das kaufen wir dann einfach auf Verzeichnisdienst -userbasis :/ ...ganz toll )

    Aber verzeihung ich schweife ab ... Ich habe hier etliche Recherchen gestartet welche tools ich nutzen kann um einmalig einem Programm die adminrechte zuzuweisen und hatte ehrlich gesagt gehofft, dass es mit diesem hier genannten funktioniert - aber es klappt irgendwie nicht.

    Sie hatten ja auch kleinere Fehler in ihrem Artikel hier benannt die bei der Nutzung von Runasgui aufgefallen sind - ich habe es geschafft mit dem Adminteil,
    aber auf den Clients scheitert es ....

    ”error attempting to read from the source install database:

    C:\Windows\Installer\38e358f.msi

    What i did wrong? UAC is almost of and i have full adminrights, Installer msi is on a public drive

    um mich mal selbst zu zitieren - habe auch schon eine Anfrage an den Hersteller geschrieben.

    Dann habe ich noch ein anderes Tool welches sogar von einem MS MVP (!) entwickelt wurde angetestet, dieses hier:

    www.bellamyjc.org/en/superexec.html

    Es läuft der Anleitung nach mit Win8 und Win7 aber schon bei dem Hinterlegen der Credentials für lokalen Admin bzw. domainadmin kommen immer nur Passwortfehler...
    Es ist traurig - anfrage habe ich an den Entwickler gesandt und warte.

    Falls hier jmd in diesem Blog mitliest und bereits Erfahrungen mit anderen Tools dieser Art hat,
    bitte lassen Sie mich teilhaben! Ich probiere jetzt noch das hier von heise:

    http://www.heise.de/download/runasspc-1122490.html

    ...aber erhlich gesagt befürchte ich schon fast, dass das auch nicht "hinhaut" wobei das schon einen immerhin dokumentierteren Eindruck macht. Die beiden tools oben sind kaum präsent Foren etc.

    der workaround den ich nun mit adobe gehen werde muss derzeit sein,
    * ich erstelle ein domainkonto und
    * weise diesem nur loginrechte auf den videoschnittrechnern zu und
    * als loginerlaubniszeit nur die zeit in welcher der kurs stattfindet.

    Setting ist ein CIP Pool mit wechselnden Veranstaltungen - aber gut fühle ich mich mit dieser Lösung natürlich nicht - Administratorenrechte habe ich bisher noch nie jmd. gegeben.

    Alternative wäre eine Datei mit Link auf das Programm welche das Passwort und Namen des privilegierten Kontos enthält, aber das ist genau so blöd, fällt aber vielleicht unseren Leuten nicht so auf.

    Viele Grüße und danke für diesen tollen Blog an den Betreiber, Daniel

    Bild von askus-scriba
    askus-scriba sagt:
    30. August 2016 - 10:28

    Hallo Daniel,

    Dein Kommentar ist schon eine ganze weile her und das Problem wahrscheinlich inzwischen gelöst. Falls nicht und für alle anderen mit einem ähnlichen Problem habe ich hier noch einen Tipp: das ask:us Tool ASAP. Mit ASAP kannst Du für deine Anwender eine Verknüpfung erstellen (.eLnk Datei), der Du die Anmeldeinformationen eines administrativen Accounts mitgibst. Die Inhalte der Verknüpfung sind verschlüsselt und können vom Anwender nicht gelesen werden.

    Es gibt zwei Versionen des Produkts. Eine kostenfreie die auch von Unternehmen eingesetzt werden kann. Probier's einfach, vielleicht reicht die für Deine Anwendung. ASAP for Enterprise erfordert eine Lizenz. Ausführliche Informationen und den Download der kostenfreien ASAP for Local Use findest Du hier:http://www.askus.biz/de/software.html