Statt runas: Einzelne Programme als Admin starten mit dem kostenlosen ASAP

    ASAP von ask:usEs ist eine aner­kannte Best Practice, End­benutzer auf ihren PCs nicht mit admini­strativen Privi­legien auszu­statten. Wenn ein­zelne Pro­gramme oder Aktionen erhöhte Rechte erfor­dern, dann würde es aus­reichen, diese nur dafür zu gewähren. ASAP dient genau diesem Zweck und erfüllt ihn besser als runas.

    Während es unter XP noch der Normalfall war, dass Benutzer als lokale Admini­stratoren arbeiteten, entfällt diese Notwendigkeit seit Windows 7 weit­gehend. Gängige Aufgaben lassen sich seitdem nämlich im Kontext eines Standard­benutzers erledigen.

    Erhöhte Rechte fallweise erforderlich

    Dennoch kann auch weiterhin der Fall auftreten, dass Anwender für einfache administrative Aufgaben oder für das Installieren von Software zumindest vorüber­gehend erhöhte Rechte benötigen.

    Microsoft sieht das Dienst­programm runas vor, um einzelne Programme unter einer anderen Kennung auszuführen. Auf diese Weise kann man es auch mit admini­strativen Privilegien starten:

    runas /user:contoso\MyAdmin cmd.exe

    In diesem Beispiel würde die Eingabeaufforderung im Kontext des Kontos von MyAdmin starten. Dies setzt allerdings voraus, dass dem Benutzer das Kennwort für diesen Account bekannt ist, dessen Eingabe runas verlangt.

    Runas verlangt Weitergabe von Passwörtern

    Nachdem man in der Regel keine Admin-Passwörter weitergeben möchte, könnte der Systemverwalter das Kommando am Rechner des Mitarbeiters selbst eingeben und zusätzlich den Schalter /savecred verwenden, so dass sich Windows das Passwort merkt und es der Benutzer nicht kennen muss, um runas für dieses Konto auszuführen.

    Die mit runas /savecred gespeicherten Anmeldedaten kann man in der Systemsteuerung wieder entfernen.

    Der gravierende Nachteil dieses Vorgehens besteht aber darin, dass der betreffende Mitarbeiter künftig beliebige Programme im Kontext dieses admini­strativen Kontos starten kann. Erst wenn man die Anmelde­daten in der System­steuerung unter Benutzer­konten => Anmelde­informations­verwaltung löscht, erwartet runas die erneute Eingabe des Passworts.

    ASAP als Alternative

    Wesentliches Anliegen der Heilbronner ask:us GmbH ist es, mit ASAP genau diese Nachteile von runas zu vermeiden. Entsprechend muss man ein Admin-Password weder weitergeben noch permanent für den unbeschränkten Einsatz im System speichern.

    Hinzu kommt, dass es sich bei runas um ein Tool für die Kommando­zeile handelt, das für die meisten Endbenutzer nicht praktikabel ist. Auch in dieser Hinsicht bietet ASAP eine bessere Alternative.

    Verschlüsselte Verknüpfungen erstellen

    Das Konzept des Tools besteht darin, dass der System­verwalter eine Verknüpfung für ein Programm erstellt, in der das Kennwort des privilegierten Kontos verschlüsselt abgelegt wird. Der Benutzer erhält dann typischer­weise ein Icon auf seinem Desktop, mit dem er das zugeordnete Programm wie gewohnt durch Doppelklick startet.

    Um eine solche verschlüsselte Verknüpfung erstellen zu können, bietet ASAP einen Wizard, wahlweise kann man direkt zu einem Dialog springen, der alle Einstellungen enthält. Das Tool muss natürlich auch auf all jene PCs verteilt werden, auf denen eine Verknüpfung vom Typ .eLnk gestartet werden soll.

    Wenn man den Wizard überspringt, kann man alle Einstellungen für die Verknüpfung in einem Dialog eingeben.

    Die Eingaben, die das Tool erwartet, sind überschaubar. So muss man ihm den Pfad zum gewünschten Programm inklusive eventueller Parameter, die Anmeldedaten des privilegierten Kontos und den Speicherort der Verknüpfung mitteilen.

    Hinzu kommen einige Optionen, wie etwa die Verwendung von Umgebungs­variablen in Parametern oder von relativen Pfadangaben. Weitergehende Features wie etwa die Beschränkung der Verknüpfung auf bestimmte User bzw. Gruppen oder das bloß einmalige Starten eines Programms bleiben für die kostenpflichtige Version reserviert.

    Die kostenlose Version des Tools lässt zudem nur die Eingabe eines lokalen Admin-Kontos zu, Domänen-User sind ebenfalls ASAP for Enterprise vorbehalten.

    Besitzer des Prozesses mit PowerShell anzeigen

    Nach dem Start eines Programms kann man sich mit Hilfe von PowerShell davon überzeugen, dass es unter dem korrekten Account läuft:

    Get-CimInstance Win32_Process -Filter "name = 'regedit.exe'" |
    Invoke-CimMethod -MethodName GetOwner

    Dieses Beispiel prüft, ob der Registriereditor unter dem angegebenen administrativen Konto gestartet wurde.

    Preis und Verfügbarkeit

    ASAP kann kostenlos von der Website des Herstellers heruntergeladen werden. ASAP for Enterprise gibt es dort auf Anfrage, die Lizenzkosten betragen zwischen 3 und 5 Euro pro PC. Es enthält auch eine Komponente, mit der sich verschlüsselte Verknüpfungen im Unternehmen bereitstellen und anzeigen lassen.

    Keine Kommentare