RunAsRob Command line parameter, Registry Werte, Möglichkeit mit Gruppenrichtlinien und der Unterschied zu RunAsSpc
RunAsSpc ist seit 2005 auf dem Markt und RunAsRob eine Weiterentwicklung, auf dem Markt seit 2021
RunAsSpc ist sehr beliebt mit seiner Möglichkeit ein Programm unter anderer Benutzerkennung zu starten.
Anwendung und Benutzeranmeldedaten können in klartext oder verschlüsselt übergeben werden.
RunAsSpc ist portabel einschließlich der Datei mit den Anmeldedaten.
RunAsRob kann viel mehr mit seinen 4 Programmteilen und unterschiedlichen Möglichkeiten eine bestimmte Anwendung mit speziellen Rechten zu starten.
Abhängig von der Lösung die sie benötigen, spielt jede Option seine Vorteile aus.
-
Der Teil RunAsAdmin login as administrator startet eine Anwendung als Administrator von einem Standardbenutzerkonto mit dem eigenem Profil des Benutzers.
Weil der Benutzer temporär Mitglied der Gruppe Administratoren wird mit seinem eigenen Konto für den Start der erlaubten Anwendung, behält er seine Einstellungen in der Anwendung.
-
Die Variante RunAsAdmin login as system startet eine Anwendung unter dem Systemkonto. Dieses spezielle Systemkonto ohne Benutzerprofil hat mehr Privilegien als ein Administrator.
Durch diese Option können sie die UAC umgehen und sie haben Zugriff auf Systemresourcen welche sie als Administrator nicht haben.
-
Der Teil RunAsService startet eine Anwendung als Dienst automatisch mit den höchsten Privilegien, ohne dass ein Benutzer angemeldet sein muss und ohne Benutzerinteraktion.
-
RunAsRob der Programmteil für verschlüsselte Dateien kann eine bestimmte Anwendung unter einem anderen Benutzerkonto starten und ist portabel.
Vergleichstabelle mit Merkmalen von RunAsSpc und den vier Programmteilen bei RunAsRob
RunAsSpc
- Startet ein Programm unter anderer Benutzerkennung
- Portabel
- Kann unter der Befehlszeile direkt aufgerufen werden wie der Befehl runas, allerdings mit Anmeldedaten als Parameter
- Verschlüsselte Anmeldedaten können verwendet werden. AES 256
- Verschlüsselte Datei kann über Befehlszeile oder grafische Benutzerschnittstelle erstellt werden
Empfohlene Verwendung:
Schicke eine verschlüsselte Datei mit den Anmeldedaten eines Administrators und der Aufgabe die du an einen Benutzer delegieren musst, der keine Administratorenrechte hat
oder sie benötigen eine zweite Anmeldesession für ein Programm als Administrator oder sonst einem Benutzerkonto auf dem gleichen Desktop ohne die Anmeldedaten einzugeben.
RunAsRob der Programmteil mit verschlüsselter Datei
- Startet ein Programm unter anderer Benutzerkennung
- Portabel
- Verschlüsselte Anmeldedaten werden verwendet. AES 256
- Verschlüsselte Datei wird über die grafische Benutzerschnittstelle erstellt
- Kann ein Programm auch unter dem Systemkonto starten (Keine portable Option weil der Dienst von RunAsRob installiert sein muss)
- Kann ein Programm auch unter dem eigenen Konto eines Standardbenutzers als Mitglied der Gruppe Administratoren starten (Keine portable Option weil der Dienst von RunAsRob installiert sein muss)
Empfohlene Verwendung:
Schicke eine verschlüsselte Datei mit den Anmeldedaten eines Administrators und der Aufgabe die du an einen Benutzer delegieren musst, der keine Administratorenrechte hat
oder sie benötigen eine zweite Anmeldesession für ein Programm als Administrator oder sonst einem Benutzerkonto auf dem gleichen Desktop ohne die Anmeldedaten einzugeben.
RunAsRob part RunAsService
- Startet ein Programm als Dienst unter dem Systemkonto mit höchsten Privilegien, sogar mehr Rechte als ein Administrator
- Anwendung startet nach dem Booten des Computers ohne das ein Benutzer angemeldet sein muss
- Anwendung läuft im Hintergrund als Dienst, deshalb ist keine Interaktion des Programmes mit dem Benutzer möglich
- Keine gespeicherten Anmeldedaten notwendig weil das Systemkonto verwendet wird und die Autorisierung wird über die Registry verwaltet
- UAC umgehen
- Keine portable Option weil der Dienst von RunAsRob installiert sein muss
- Das Systemkonto ist kein vollwertiges Benutzerkonto, hat kein Passwort, kein Profil und keine Registry für Anwendungseinstellungen eines Benutzers
Empfohlene Verwendung:
Regelmäßige Hintergrund Aufgaben wie Monitoring, Backup, Datei scans, Copy jobs, Computer und Software überprüfen.
RunAsRob part RunAsAdmin logon as system
- Startet ein Programm vom Benutzer aus unter dem Systemkonto mit höchtsten Privilegien, sogar mehr Rechte als ein Administrator
- Ganze Order und Dateien mit Wildcard asterisk * können autorisiert werden bei Bedarf
- Keine gespeicherten Anmeldedaten notwendig weil das Systemkonto verwendedt wird und die Autorisierung wird über die Registry verwaltet
- UAC Dialog umgehen
- Keine portable Option weil der Dienst von RunAsRob installiert sein muss
- Das Systemkonto ist kein vollwertiges Benutzerkonto, hat kein Passwort, kein Profil und keine Registry für Anwendungseinstellungen eines Benutzers
Empfohlene Verwendung:
Installationen von Anwendungen, Patches, Treiber, Updates von einem Standardbenutzer Konto das keine Administratorenrechte hat.
Genehmige einem eingeschränkten Benutzer Einstellungen im System vorzunehmen für Netzwerk, Hardware, Software,... wofür er normalerweise Administrator sein muss.
RunAsRob part RunAsAdmin logon as administrator
- Starte ein Programm als Administrator, aber mit dem eigenem Konto und der eigenen Benutzerumgebung des Standardbenutzer. Der Standardbenutzer wird temporär Mitglied in der Gruppe der lokalen Administratoren, nur für die autorisierte Anwendung.
- Ganze Order und Dateien mit Wildcard asterisk * können autorisiert werden bei Bedarf
- Keine gespeicherten Anmeldedaten notwendig weil das eigene Benutzerkonto verwendedt wird und die Autorisierung wird über die Registry verwaltet
- Keine portable Option weil der Dienst von RunAsRob installiert sein muss
Empfohlene Verwendung:
Wenn die eigenen Einstellungen des Standardbenutzer als Administrator im Programm benötigt werden.
Der Benutzer behält in der gestarteten Anwendung seine Drucker, Netzlaufwerke, Anwendungseinstellungen, NTFS und Netzwerkrechte.
Command line options RunAsRob
-
Installationsbefehle
>> runasrob.exe /install <<
>> runasrob.exe /uninstall <<
-
Um ein Cryptfile zu erstellen,
starten Sie das Konfigurationsfenster von RunasRob mit einem Doppeklick auf
runasrob.exe oder verwenden sie die Option /configure
>> runasrob.exe /configure <<
-
Das Cryptfile selbst starten Sie über den Parameter /cryptfile:
>> runasrob.exe /cryptfile: “c:\path\yourcryptfile.xus”<<
oder per drag and drop des Cryptfiles auf runasrob.exe.
-
Für einen Aufruf ohne Statusmeldungen setzen sie den Schalter /quiet
>> runasrob.exe /install /quiet <<
>> runasrob.exe /cryptfile: “c:\path\yourcryptfile.xus” /quiet <<
-
Um Ordnerpfade bei der Installation zu autorisieren.
Installieren Sie RunasRob mit der Option /allowedpath: gefolgt von den zu erlaubenden Pfaden bzw. Anwendungen.
Strichpunkt getrennt bei mehreren Pfaden.
>> runasrob.exe /install /quiet /allowedpath:c:\program files\folder1\;\\server\share\folder2\;c:\windows\system32\regedt32.exe<<
-
Um aus diesen freigegebenen Ordner ein Programm zu starten, müssen Sie es per Drag and Drop über runasrob.exe ziehen
oder Sie geben folgenden Befehl ein:
>> runasrob.exe c:\freigegebenerOrdner\applicaton.exe
<<
Dieser kann direkt in der Befehlszeile, als Batchdatei,
Verknüpfung oder sonst irgendwie erfolgen.
-
Eine weiterer optionaler Parameter ist /assystem oder /asadmin
/assystem -> Die freigegebene Anwendung startet unter dem service account mit erhöhten Administrator Rechten.
/asadmin -> Nach Eingabe der Anmeldedaten wird der Benutzer zum Mitglied der lokalen Administratoren für diese Anwendung welche dann.unter seinem eigenen Account startet.
>> runasrob.exe /install /allowedpath:"\\server\share1\setup.exe;\\server\share2\;C:\windows\system32\regedt32.exe /asadmin;C:\Windows\System32\WindowsPowerShell\v1.0\powershell_ise.exe /assystem" <<
-
Um eine Anwendung
oder Script permanent als Dienst zu starten installieren Sie
RunasRob mit der Option /servicemode: gefolgt von der
entsprechenden Anwendung
>> runasrob.exe /install /servicemode:c:\test\yourScript.cmd <<
-
Sie können die
Parameter von RunasRob kombinieren wie in folgendem Beispiel:
>> runasrob.exe /install /quiet /servicemode:"c:\system\monitoring.exe" /allowedpath:"\\server\share\folder2\;c:\windows\system32\regedt32.exe /asadmin" <<
-
Erstellen von Cryptfiles über Kommandozeile ist durch
RunasSpc möglich. Diese Cryptfiles sind auch mit RunasRob.exe
lesbar.
runasspc.exe /cryptfile:"crypt.spc" /program:"C:\WINDOWS\system32\calc.exe" /domain:"localhost" /user:"administrator" /password:"password"
Registry Werte und Möglichkeit mit Gruppenrichtlinien:
Registry Key von RunasRob bearbeiten
HKEY_LOCAL_MACHINE\SOFTWARE\RunasRob
Hier können Sie die Werte AllowedPath, ServiceMode, LogonFlag direkt
oder über zentrale Gruppenrichtlinien in einer Domain bearbeiten.
Änderungen greifen nach einem Neustart des Dienstes RunasRob.
Achtung, eine falsche Verwendung der Registry, kann schwerwiegende Probleme im Betriebssystem verursachen.
Über Gruppenrichtlinien in der Domain können sie diese Einstellungen zentral verwalten.
runasadminde.html#Bygrouppolicy > > >
FAQ:
-
Tools laufen von Windows XP bis Windows 11, Windows Server 2012 bis 2022.
-
64 Bit und 32 Bit Version included.
-
Die Einschränkung in der freien Version für den privaten Gebrauch ist der Startdialog mit der Lizenzinformationen,
welcher in unregelmäßigen Zeitabständen erscheint, auch wenn der Parameter /quiet gesetzt ist.
-
Den UAC Dialog zu umgehen ist möglich durch die Option logon as system in RunAsAdmin
oder durch das in Windows vordefinierte standard Konto >> administrator << in einer verschlüsselten Datei und der Option logon as another user.
-
Anwendung startet nicht als Administrator.
Ihr Programm, Befehl, Batch Datei oder Script fordert keine erhöhten Rechte auf einem UAC aktiviertem System an.
Zur Lösung des Problems fordere elevated privileges (erhöhte Rechte) an für eine nicht priviligierte Anwendung
wie zum Beispiel ein älteres Programm, irgendein Befehl, eine Batchdatei oder irgend ein anderes Script
ist möglich
- durch die logon option as system in RunAsAdmin,
- durch den Einsatz meines freien Tools RunElevated,
- durch das verwenden des vordefinierten standard Kontos >> administrator <<
- oder durch das Ändern der UAC Einstellungen.
-
Die Meldung Datei öffnen - Sicherheitswarnung für Dateien aus dem Netzwerk verschwindet,
nachdem sie einmalig RunAsSpc als bekannte Anwendung anerkennen, indem sie den Haken entfernen bei
>> vor dem Öffnen dieser Datei immer bestätigen <<.
oder gehen sie in die Dateieigenschaften und setzen den Haken Zulassen im Bereich Sicherheit bei
>> Die Datei stammt von einem anderen Computer... <<
-
Umgebungsvariablen werden unterstützt. Beispiel windir: >>%windir%\system32\regedt32.exe\CompMgmtLauncher.exe <<
-
Wildcards können als autorisierter Pfad eingesetzt werden. Beispiel >> *\updates\powershellversion*.exe <<
-
Autorisiere nur einen bestimmten Benutzer oder eine Gruppe die Anwendung zu starten.
Das kann erreicht werden durch das Setzen von Verzeichnisrechte auf die Programmdatei, das Encrypted file oder deren Ordner.
-
Programm Parameter können übergeben werden. Falls die Parameterübergabe aufgrund von Anführungszeichen oder komplexen Argumenten nicht direkt funktioniert,
umgehen sie das Problem einfach durch das Erstellen einer einzeilen Batchdatei mit dem Programmaufruf und den Parametern.
Rufen sie diese Batchdatei dann über RunAsRob auf.
-
Error Codes.
Die meisten Error Codes sind Systemfehler die RunAsRob zurückmeldet und werden bei Microsoft MSDN erklärt.
https://msdn.microsoft.com/en-us/library/ms681381.aspx
Kontakt:
Für Verbesserungsvorschläge, Fragen, spezielle Anforderungen oder Anpassungen schreiben sie uns.
runas@robotronic.net
Lizenz:
RunAsRob ist nur für die private Verwendung frei.
Für Unternehmen und andere Organisationen gibt es auf den Organisationsnamen lizenzierte Versionen.
Bestellung RunasRob >>>
Download RunasRob >>>
Date: 2024-08-26
Datenschutz
Impressum