Установить UID для Windows

8

Есть ли эквивалент set uid для Windows (XP)? Параметр «Запуск от имени» требует пароль администратора при каждом запуске . Я хочу, чтобы пользователи могли запускать этот конкретный исполняемый файл, не зная пароля администратора. Я очень плохо знаком с областью окон. :(

windows-xp setuid Акилан
источник
Вам действительно нужно это сделать? Возможно, есть и другой способ, например, изменение разрешений для ветки реестра или каталога ...
Тарас Чухай
Это программное обеспечение (если быть точным, ANSYS) работает правильно, только если оно запускается с правами администратора. :(
Акилан
Конечно. Вы можете получить эквивалент setuid root в WinXP, используя нечто, называемое «nop sled». Работает как очарование ...
Парфянский выстрел
1
Если вы согласны с смешиванием супер устаревших ответов с активным каталогом, то есть! Microsoft Повышенных привилегии Application Launcher позволяет точно это.
Митч

Ответы:

5

Смотрите здесь: есть ли аналог SU для Windows

По сути, архитектура ОС не позволяет делать то, что вы хотите, без сохранения учетных данных. Да, вы можете хранить их в «зашифрованном виде», но если пользователь не должен вводить что-либо (например, пароль), то какое бы «шифрование» вы ни использовали для хранения учетных данных, его ключ будет храниться прямо вдоль что он может быть «расшифрован» (действительно закодирован / декодирован) во время доступа пользователя к нему.

Чтобы операционные системы Windows NT могли создавать токены доступа в качестве другого использования без указания их пароля, требуется вызов недокументированных API в основном режиме. Проект RunAsEx сделает это, но он может сломаться в будущих выпусках Windows.

Эван Андерсон
источник
3

runas (по крайней мере на xp sp3) имеет параметр «/ savecred» - он запрашивает пароль в первый раз, а затем использует сохраненный (даже после перезагрузки).

агент
источник
1

Для этих целей существует специальная программа - Admilink .

Он создает специальную зашифрованную ссылку на целевой файл (я проверяю только с файлами .exe) - вам нужно выполнить это действие только один раз. При нажатии на ссылку - программа (Admirun.exe) автоматически запускает программу в ссылке со специальными правами (права зависят от выбранного пользователя в процессе создания ссылки - вы можете использовать учетную запись администратора или имя учетной записи домена и т. Д.).

Ограничения: При создании ссылки (только один раз) вам необходимо иметь учетную запись администратора.
Admirun.exe должен быть представлен в вашей папке Windows (модуль включен в Admilink).
Вся документация на русском языке :). Учите русский или обратитесь за дополнительной помощью

PS БЕСПЛАТНО для некоммерческого использования.
PPS имеет много дополнительных функций

user35115
источник
Этот инструмент не решает фундаментальную проблему, заключающуюся в том, что учетные данные должны храниться для документированных API. Вы описываете файл, который этот инструмент создает как «зашифрованный», но он фактически закодирован . Пароль должен быть доступен в виде открытого текста, это означает, что файл, который создает этот инструмент, в действительности содержит пароль в виде открытого текста.
Эван Андерсон
Пароль НЕ хранится в ЧИСТОМ ТЕКСТЕ. Это действительно зашифровано. Как это работает? Я прочитал документацию - «Модуль admilink генерирует зашифрованный ключ = пользователь + домен + пароль. Ключ привязан к конкретному исполняемому файлу. Без этого файла модуль Admirun не сможет расшифровать». Я думаю, что уловка в алгоритме - алгоритм в этом случае используется в качестве пароля. Как сказал автор резюме, что Admilink гарантирует: 1. Пользователь сможет запускать ТОЛЬКО целевую программу с целевыми правами 2. Пользователь не сможет узнать пароль по ссылке 3. Пользователь не сможет запустить другую программу, используя подстановку исполняемого файла
user35115
4
@ user35115: ОС требуется учетные данные администратора (пароль в виде открытого текста) для запуска чего-либо в качестве администратора. Если для запуска ссылки не требуются учетные данные администратора, необходимо сохранить учетные данные администратора в форме, которую можно восстановить в виде обычного текста. Эван утверждает, что это эффективно чистый текст (то есть небезопасный). Да, он зашифрован, но тогда ключ шифрования должен храниться в доступной форме; таким образом это становится фактически бесполезным.
Draemon