RunAsRob Command line parameter, Registry Werte, Möglichkeit mit Gruppenrichtlinien und der Unterschied zu RunAsSpc
RunAsSpc ist seit 2005 auf dem Markt und RunAsRob eine Weiterentwicklung, auf dem Markt seit 2021
RunAsSpc ist sehr beliebt mit seiner Möglichkeit ein Programm unter anderer Benutzerkennung zu starten.
Anwendung und Benutzeranmeldedaten können in klartext oder verschlüsselt übergeben werden.
RunAsSpc ist portabel einschließlich der Datei mit den Anmeldedaten.
RunAsRob kann das gleiche, hat aber mit seinen 4 Programmteilen völlig unterschiedliche Möglichkeiten eine bestimmte Anwendung mit eigenen Rechten zu starten.
Abhängig von der Lösung die sie benötigen, hat jede Option seine Vorteile und Nachteile.
-
RunAsRob der Programmteil für verschlüsselte Dateien kann eine bestimmte Anwendung unter einem anderen Benutzerkonto starten und ist portabel.
-
Der Teil RunAsService startet eine Anwendung als Dienst automatisch mit den höchsten Privilegien, ohne dass ein Benutzer angemeldet sein muss und ohne Benutzerinteraktion.
-
Der Teil RunAsAdmin login as system startet eine Anwendung unter dem Systemkonto. Dieses spezielle Systemkonto ohne Benutzerprofil hat mehr Privilegien als ein Administrator.
Durch diese Option können sie die UAC umgehen und sie haben Zugriff auf Systemresourcen welche sie als Administrator nicht haben.
-
Der Teil RunAsAdmin login as administrator startet eine Anwendung als Administrator von einem Standardbenutzerkonto mit dem eigenem Profil des Benutzers.
Weil der Benutzer temporär Mitglied der Gruppe Administratoren wird mit seinem eigenen Konto für den Start der erlaubten Anwendung, behält er seine Einstellungen in der Anwendung.
Vergleichstabelle mit Merkmalen von RunAsSpc und den vier Programmteilen bei RunAsRob
RunAsSpc
- startet ein Programm unter anderer Benutzerkennung
- Portabel
- Kann unter der Befehlszeile direkt aufgerufen werden wie der Befehl runas, allerdings mit Anmeldedaten als Parameter
- Unverschlüsselte oder verschlüsselte Anmeldedaten
- Verschlüsselte Datei kann über Befehlszeile oder grafische Benutzerschnittstelle erstellt werden
Empfohlene Verwendung:
Schicke eine verschlüsselte Datei mit den Anmeldedaten eines Administrators und der Aufgabe die du an einen Benutzer delegieren musst, der keine Administratorenrechte hat.
Sie benötigen eine zweite Anmeldesession für ein Programm als Administrator oder sonst einem Benutzerkonto auf dem gleichen Desktop ohne die Anmeldedaten einzugeben.
RunAsRob der Programmteil mit verschlüsselter Datei
- startet ein Programm unter anderer Benutzerkennung
- Portabel
- Verschlüsselte Anmeldedaten
- Verschlüsselte Datei wird über die grafische Benutzerschnittstelle erstellt
- Kann ein Programm auch unter dem Systemkonto starten (Keine portable Option weil der Dienst von RunAsRob installiert sein muss)
- Kann ein Programm auch unter dem eigenen Konto eines Standardbenutzers als Mitglied der Gruppe Administratoren starten (Keine portable Option weil der Dienst von RunAsRob installiert sein muss)
Empfohlene Verwendung:
Schicke eine verschlüsselte Datei mit den Anmeldedaten eines Administrators und der Aufgabe die du an einen Benutzer delegieren musst, der keine Administratorenrechte hat.
Sie benötigen eine zweite Anmeldesession für ein Programm als Administrator oder sonst einem Benutzerkonto auf dem gleichen Desktop ohne die Anmeldedaten einzugeben.
RunAsRob part RunAsService
- Startet ein Programm als Dienst unter dem Systemkonto mit höchsten Privilegien, sogar mehr Rechte als ein Administrator
- Anwendung startet nach dem Booten des Computers ohne das ein Benutzer angemeldet sein muss
- Anwendung läuft im Hintergrund als Dienst, deshalb ist keine Interaktion des Programmes mit dem Benutzer möglich
- Keine gespeicherten Anmeldedaten notwendig weil das Systemkonto verwendet wird und die Autorisierung wird über die Registry verwaltet
- UAC umgehen
- Keine portable Option weil der Dienst von RunAsRob installiert sein muss
- Das Systemkonto ist kein vollwertiges Benutzerkonto, hat kein Passwort, kein Profil und keine Registry für Anwendungseinstellungen eines Benutzers
Empfohlene Verwendung:
Regelmäßige Hintergrund Aufgaben wie Monitoring, Backup, Datei Scans, Copy Jobs, Computer und Software Überprüfungen.
RunAsRob part RunAsAdmin logon as system
- Startet ein Programm vom Benutzer aus unter dem Systemkonto mit höchtsten Privilegien, sogar mehr Rechte als ein Administrator
- Ganze Order und Dateien mit Wildcard asterisk * können autorisiert werden bei Bedarf
- Keine gespeicherten Anmeldedaten notwendig weil das Systemkonto verwendedt wird und die Autorisierung wird über die Registry verwaltet
- UAC Dialog umgehen
- Keine portable Option weil der Dienst von RunAsRob installiert sein muss
- Das Systemkonto ist kein vollwertiges Benutzerkonto, hat kein Passwort, kein Profil und keine Registry für Anwendungseinstellungen eines Benutzers
Empfohlene Verwendung:
Installationen von Anwendungen, Patches, Treiber, Updates von einem Standard Benutzer Konto das keine Administratorenrechte hat.
Genehmige einem eingeschränkten Benutzer Einstellungen im System vorzunehmen für Netzwerk, Hardware, Software,... wofür er normalerweise Administrator sein muss.
RunAsRob part RunAsAdmin logon as administrator
- Startet ein Programm vom Benutzer aus als Administrator mit dem eigenen Konto des Benutzers und seinen Druckern, Netzlaufwerken, Anwendungseinstellungen, NTFS und Netzwerkrechte.
- Ganze Order und Dateien mit Wildcard asterisk * können autorisiert werden bei Bedarf
- Keine gespeicherten Anmeldedaten notwendig weil das eigene Benutzerkonto verwendedt wird und die Autorisierung wird über die Registry verwaltet
- Keine portable Option weil der Dienst von RunAsRob installiert sein muss
Detailanleitung 1:
Kommandozeilenargumente / Command line options
-
Installationsbefehle
>> runasrob.exe /install <<
>> runasrob.exe /uninstall <<
-
Um ein Cryptfile zu erstellen,
starten Sie das Konfigurationsfenster von RunasRob mit einem Doppeklick auf
runasrob.exe oder verwenden sie die Option /configure
>> runasrob.exe /configure <<
-
Das Cryptfile selbst starten Sie über den Parameter /cryptfile:
>> runasrob.exe /cryptfile: “c:\path\yourcryptfile.xus”<<
oder per drag and drop des Cryptfiles auf runasrob.exe.
-
Für einen Aufruf ohne Statusmeldungen setzen sie den Schalter /quiet
>> runasrob.exe /install /quiet <<
>> runasrob.exe /cryptfile: “c:\path\yourcryptfile.xus” /quiet <<
-
Um Ordnerpfade bei der Installation zu autorisieren.
Installieren Sie RunasRob mit der Option /allowedpath: gefolgt von den zu erlaubenden Pfaden bzw. Anwendungen.
Strichpunkt getrennt bei mehreren Pfaden.
>> runasrob.exe /install /quiet /allowedpath:c:\program files\folder1\;\\server\share\folder2\;c:\windows\system32\regedt32.exe<<
-
Um aus diesen freigegebenen Ordner ein Programm zu starten, müssen Sie es per Drag and Drop über runasrob.exe ziehen
oder Sie geben folgenden Befehl ein:
>> runasrob.exe c:\freigegebenerOrdner\applicaton.exe
<<
Dieser kann direkt in der Befehlszeile, als Batchdatei,
Verknüpfung oder sonst irgendwie erfolgen.
-
Eine weiterer optionaler Parameter ist /assystem oder /asadmin
/assystem -> Die freigegebene Anwendung startet unter dem service account mit erhöhten Administrator Rechten.
/asadmin -> Nach Eingabe der Anmeldedaten wird der Benutzer zum Mitglied der lokalen Administratoren für diese Anwendung welche dann.unter seinem eigenen Account startet.
>> runasrob.exe /install /allowedpath:"\\server\share1\setup.exe;\\server\share2\;C:\windows\system32\regedt32.exe /asadmin;C:\Windows\System32\WindowsPowerShell\v1.0\powershell_ise.exe /assystem" <<
-
Um eine Anwendung
oder Script permanent als Dienst zu starten installieren Sie
RunasRob mit der Option /servicemode: gefolgt von der
entsprechenden Anwendung
>> runasrob.exe /install /servicemode:c:\test\yourScript.cmd <<
-
Sie können die
Parameter von RunasRob kombinieren wie in folgendem Beispiel:
>> runasrob.exe /install /quiet /servicemode:"c:\system\monitoring.exe" /allowedpath:"\\server\share\folder2\;c:\windows\system32\regedt32.exe /asadmin" <<
-
Erstellen von Cryptfiles über Kommandozeile ist durch
RunasSpc möglich. Diese Cryptfiles sind auch mit RunasRob.exe
lesbar.
runasspc.exe /cryptfile:"crypt.spc" /program:"C:\WINDOWS\system32\calc.exe" /domain:"localhost" /user:"administrator" /password:"password"
Detailanleitung 2:
Registry Key von RunAsRob bearbeiten
HKEY_LOCAL_MACHINE\SOFTWARE\RunasRob
Hier können Sie die Werte AllowedPath, ServiceMode, LogonFlag direkt
oder über zentrale Gruppenrichtlinien in einer Domain bearbeiten.
Änderungen greifen nach einem Neustart des Dienstes RunasRob.
Achtung, eine falsche Verwendung der Registry, kann schwerwiegende Probleme im Betriebssystem verursachen.
Über Gruppenrichtlinien in der Domain können sie diese Einstellungen zentral verwalten.
runasadminde.html#Bygrouppolicy > > >
FAQ:
-
Tools running from Windows XP to Windows 11, Windows Server 2012 to 2022.
-
64 Bit und 32 Bit Version included.
-
Die Einschränkung in der freien Version für den privaten Gebrauch ist der Startdialog mit der Lizenzinformationen,
welcher in unregelmäßigen Zeitabständen erscheint, auch wenn der Parameter /quiet gesetzt ist.
-
Den UAC Dialog zu umgehen ist möglich durch die Option logon as system in RunAsAdmin
oder durch das in Windows vordefinierte standard Konto >> administrator << in einer verschlüsselten Datei und der Option logon as another user.
-
Anwendung startet nicht als Administrator.
Ihr Programm, Befehl, Batch Datei oder Script fordert keine erhöhten Rechte auf einem UAC aktiviertem System an.
Zur Lösung des Problems fordere elevated privileges (erhöhte Rechte) an für eine nicht priviligierte Anwendung
wie zum Beispiel ein älteres Programm, irgendein Befehl, eine Batchdatei oder irgend ein anderes Script
ist möglich
- durch die logon option as system in RunAsAdmin,
- durch den Einsatz meines freien Tools RunElevated,
- durch das verwenden des vordefinierten standard Kontos >> administrator <<
- oder durch das Ändern der UAC Einstellungen.
-
Die Meldung Datei öffnen - Sicherheitswarnung für Dateien aus dem Netzwerk verschwindet,
nachdem sie einmalig RunAsSpc als bekannte Anwendung anerkennen, indem sie den Haken entfernen bei
>> vor dem Öffnen dieser Datei immer bestätigen <<.
oder gehen sie in die Dateieigenschaften und setzen den Haken Zulassen im Bereich Sicherheit bei
>> Die Datei stammt von einem anderen Computer... <<
-
Umgebungsvariablen werden unterstützt. Beispiel windir: >>%windir%\system32\regedt32.exe\CompMgmtLauncher.exe <<
-
Wildcards können als autorisierter Pfad eingesetzt werden. Beispiel >> *\updates\powershellversion*.exe <<
-
Autorisiere nur einen bestimmten Benutzer oder eine Gruppe die Anwendung zu starten.
Das kann erreicht werden durch das Setzen von Verzeichnisrechte auf die Programmdatei, das Encrypted file oder deren Ordner.
-
Programm Parameter können übergeben werden. Falls die Parameterübergabe aufgrund von Anführungszeichen oder komplexen Argumenten nicht direkt funktioniert,
umgehen sie das Problem einfach durch das Erstellen einer einzeilen Batchdatei mit dem Programmaufruf und den Parametern.
Rufen sie diese Batchdatei dann über RunAsRob auf.
-
Error Codes.
Die meisten Error Codes sind Systemfehler die RunAsRob zurückmeldet und werden bei Microsoft MSDN erklärt.
https://msdn.microsoft.com/en-us/library/ms681381.aspx
Kontakt:
Für Verbesserungsvorschläge, Fragen, spezielle Anforderungen oder Anpassungen schreiben sie uns.
runas@robotronic.net
Lizenz:
RunAsRob ist nur für die private Verwendung frei.
Für Unternehmen und andere Organisationen gibt es auf den Organisationsnamen lizenzierte Versionen.
Bestellung RunasRob >>>
Download RunasRob >>>
Date: 2022-01-14
Datenschutz
Impressum