Wenn sie die einfache Arbeitsweise von RunAsAdmin verstehen,
können sie dieses Werkzeug sehr effizient für unterschiedliche Ziele einsetzen,
bei einer einzelnen Workstation bis hin in einer großen Domain Umgebung.
RunAsAdmin.exe ist die grafische Benutzerschnittstelle, welche den Dienst RunAsRob installiert und die erlaubten Verzeichnisse in den Registrypfad von RunAsRob einträgt.
Wenn ein eingeschränkter Benutzer ein Programm über eine von RunAsAdmin erzeugte Verknüpfung startet oder per Drag and Drop auf RunAsRob.exe zieht,
dann vergleicht der Dienst von RunAsRob in seinen Registryeinträgen, ob diese Anwendung erlaubt ist.
Wenn sie erlaubt ist, dann startet der Dienst von RunAsRob dieses Programm unter dem system account oder als Administrator, je nachdem welche Logon Option in RunAsAdmin gesetzt wurde.
Standard Zugriffseinstellungen bei Microsoft Systemen verhindern das Manipulieren von Registryeinträge oder Dateien im standard Programmverzeichnis durch Standardbenutzer.
In Verbindung mit Verzeichnisrechte, OUs oder Gruppenrichtlinien kann RunAsAdmin zu einem vielseitigem Werkzeug werden.
Starte ein Programm als Administrator mit Systemrechte von einem Standardbenutzer aus.
Starte ein Programm als Administrator von einem Standardbenutzer aus mit dem Profil des Standardbenutzer.
Bitte beachten sie folgende Netzwerkregeln für das Verständnis
- das lokale Systemkonto, welches Zugriff auf eine Share benötigt, ist in der Domain das Active Directory Computer Objekt mit dem Namen des Rechners.
- dass Netzwerk Zugriffsrechte für die Freigabe und NTFS Ordner Rechte untereinander unabhängig sind. Sie sollten deshalb immer beide Rechtesysteme eines freigegebenen Ordners configurieren und verwalten.
In folgendem Screenshot hab ich drei Verzeichnisse software, updates und taxlaw auf einem Netzwerkserver freigegeben
und entsprechende Verzeichnisrechte auf lesend gesetzt für die Gruppe >Region admin<, >Users<, >Accountants<
und allen Computer Clients über die Gruppe >Domain computers<.
Bei der Freigabe taxlaw beschränke ich den erlaubten Aufruf auf die Computergruppe >Accountants Computers<
Am Ende hab ich auf den Clients in RunAsAdmin diese Netzwerkpfade autorisiert.
Nun können Benutzer der jeweiligen Gruppe auf ihren Clients Programme aus diesen Verzeichnissen über RunAsRob mit System oder Administatorrechte starten.
Netzwerk Freigaberechte auf dem Server, in diesem Screenshot als Beispiel für den Ordner taxlaw
Verzeichnisrechte auf dem Server für die freigegebenen Ordner software, updates und taxlaw
Zum Schluss, autorisiere Netzwerkfreigaben am Clientcomputer in RunAsAdmin
Hier sehen sie die Registry Werte von RunAsRob mit AllowedPath und LogonFlag, welche durch RunAsAdmin gesetzt werden und von RunAsRob überprüft wird, sobald eine Anwendung über RunAsRob starten soll.
Diese Werte können auch manuell oder über Gruppenrichtlinien gesetzt werden.
Sie können diese RunAsRob Gruppenrichtlinien Dateien admx und adml unter folgendem Link herunterladen RunAsRobPolicy.zip
Im Screenshot sehen sie eine OU Finance, welcher ich die PolicyRunAsRob zuwies und die Verzeichnisse >> \\appsrv\software\;\\appsrv\updates\;\\appsrv\taxlaw\ << auf den Computern dierser OU erlaubt habe.
Welche Benutzer oder Gruppe dieser Computer Anwendung daraus starten dürfen, löse ich über Verzeichnisrechte wie oben beschrieben.
Konfiguriere einen Ordnerpfad, aus welchem Programme mit Administratorrechte gestartet werden können von einem Standardbenutzer.
Über diesen Weg können Sie zentral in einer Domain einen Ordner bereitstellen für Anwendungen, Scripte, Updates, Patches,...,
die dann der eingeschränkte Benutzer selber installieren kann, sobald sie in diesem autorisierten Ordner liegen.
Der Domain Administrator muss dann nur noch bei Bedarf entsprechendes Programm in diesen Ordner kopieren und dem Anwender bescheid geben.
Sie können natürlich auch einen lokalen Programmpfad angeben, dessen Inhalt vom Standardbenutzer unter lokalen Administratorrechten gestartet werden kann.
Beschreibung:
Im Videobeispiel 1 wird eingeschränkten Benutzern erlaubt über RunAsRob Programme des Verzeichnisses system32 mit Systemrechten zu starten.
Im Videobeispiel 2 wird eingeschränkten Benutzern ermöglicht über RunasRob Programme aus einer Netzwerkfreigabe selbst zu installieren.
Im Videobeispiel 3 sehen sie, wie ein bestimmter Kreis von Benutzer für bestimmte Computer berechtigt werden kann
Software über RunasRob mit Administratorrechte zu starten die einem definierten Pfad liegt.
Für Verbesserungsvorschläge, Fragen, spezielle Anforderungen oder Anpassungen schreiben sie uns.
runas@robotronic.net
RunasRob ist nur für die private Verwendung frei.
Für Unternehmen und andere Organisationen gibt es auf den Organisationsnamen lizenzierte Versionen.
Bestellung RunasRob >>>
Download RunasRob >>>
Date: 2024-08-26
Datenschutz
Impressum