Zezwalanie nie-administratorom na uruchamianie programów jako administratorzy

2

Jak mogę umożliwić użytkownikom niebędącym administratorami uruchamianie określonej aplikacji (w moim przypadku skryptu) z uprawnieniami administratora w systemie Windows XP?

Byłoby to podobne do setuid na * nix.

windows privileges Lew
źródło
Pamiętaj jednak, że Twój skrypt prawdopodobnie przechodzi przez tłumacza. Taki tłumacz potrzebuje dostępu. Dzięki temu użytkownik może zrobić wszystko, na co pozwoli mu język skryptowy. Nie jestem świadomy ograniczania dostępu tylko do określonej linii poleceń; to tylko ograniczenie na poziomie programu, afaik.
Joey,

Odpowiedzi:

5

Może to być lepszy sposób, ale:

  1. Utwórz dedykowane do tego celu konto administratora
    -> Użytkownicy mogą teraz kliknąć prawym przyciskiem myszy i wykonać polecenie „Uruchom jako”
  2. Zastosuj zasady grupy dla tego konta administratora, aby mogły one uruchamiać tylko wymagane procesy

Możesz także dodać konto administratora do „Odmów logowania lokalnie” i „Odmów logowania zdalnie”, aby nie mogli się zalogować. Jednak nie wiem, czy to uniemożliwi im użycie polecenia „Uruchom jako”.

ta.speot.is
źródło
1
Czy nie mogą po prostu zmienić również zasad grupy, jeśli są administratorami? Mam na myśli, że „Administrator” oznacza „Możesz robić tak, jak chcesz” - czy jest to możliwe lub wykonalne, aby zablokować takiego użytkownika?
Joey,
Jeśli proces, któremu przyznano dostęp do uruchomienia w zasadach grupy, pozwala na modyfikację rejestru, tak. Jeśli jednak mogą uruchamiać notepad.exe, są poważnie ograniczeni do tego, co mogą zrobić. Można sobie wyobrazić, że mogą użyć notatnika do napisania pliku wsadowego, który analizuje pliki register.pol pod kątem zasad grupy i zmiany procesów, które mogą uruchamiać, zapisz plik wsadowy w folderze startowym innego administratora i poczekaj, aż inny administrator się zaloguje. Jeśli są to terminale publiczne z zainstalowanym oprogramowaniem takim jak DeepFreeze i nocne restartowanie to mniejszy problem.
ta.speot.is