Définir l'UID pour Windows

8

Existe-t-il un équivalent de set uid pour Windows (XP)? L'option «exécuter en tant que» nécessite un mot de passe administrateur à chaque exécution. Je veux que les utilisateurs puissent exécuter cet exécutable particulier sans connaître le mot de passe administrateur. Je suis très nouveau dans le domaine Windows. :(

Akilan
la source
Avez-vous vraiment besoin de faire ça? Il y a peut-être une autre façon, comme changer les permissions pour la branche de registre ou le répertoire ...
Taras Chuhay
Il y a ce logiciel (ANSYS pour être précis) qui ne fonctionne correctement que s'il est exécuté avec des privilèges d'administrateur. :(
Akilan
Sûr. Vous pouvez obtenir l'équivalent de setuid root sur WinXP en utilisant ce que l'on appelle un «traîneau nop». Fonctionne comme un charme ...
Parthian Shot
1
Si vous êtes d'accord pour mélanger des réponses super obsolètes avec le répertoire actif, alors c'est le cas! Le lanceur d'application Microsoft Elevated Privileges permet exactement cela.
Mitch

Réponses:

5

Voir ici: Existe - t-il un équivalent de SU pour Windows

Essentiellement, l'architecture du système d'exploitation empêche de faire ce que vous souhaitez sans stocker les informations d'identification. Oui, vous pouvez les stocker "cryptés", mais si l'utilisateur n'est pas censé avoir à taper quoi que ce soit (comme, par exemple, un mot de passe), quel que soit le "cryptage" que vous utilisez pour stocker les informations d'identification, sa clé sera stockée juste à côté, par exemple qu'il peut être "décrypté" (vraiment encodé / décodé) au moment où l'utilisateur y accède.

Obtenir des systèmes d'exploitation Windows NT pour créer un jeton d'accès comme une autre utilisation sans spécifier leur mot de passe nécessite d'appeler des API en mode natif non documentées. Le projet RunAsEx fera cela, mais il pourrait se casser dans les futures versions de Windows.

Evan Anderson
la source
3

runas (au moins sur xp sp3) a l'option "/ savecred" - il demande le mot de passe la première fois et ensuite il en utilise un enregistré (même après le redémarrage).

Agent
la source
1

Il existe des RunAs cryptés et une alternative CPAU gratuite . Bien que je ne les utiliserais qu'en cas de nécessité absolue.

vu1tur
la source
1

Il existe un programme spécial à ces fins - Admilink .

Il crée un lien crypté spécial vers le fichier ciblé (je teste uniquement avec des fichiers .exe) - vous ne devez effectuer cette action qu'une seule fois. Lorsque vous cliquez sur le lien - le programme (Admirun.exe) démarre automatiquement le programme en lien avec les droits spéciaux (Rigths dépend de l'utilisateur sélectionné pendant le processus de création du lien - vous pouvez utiliser un compte administrateur ou un nom de compte de domaine, etc.).

Restrictions: Pendant le processus de création de lien (une seule fois), vous devez avoir un compte administrateur.
Admirun.exe doit être présenté dans votre dossier Windows (module inclus dans Admilink).
Toute la documentation sur le russe :). Apprenez le russe ou demandez-moi de l'aide supplémentaire

PS C'est GRATUIT pour une utilisation non commerciale.
PPS Il a beaucoup de fonctions supplémentaires

user35115
la source
Cet outil ne contourne pas le problème fondamental que les informations d'identification doivent être stockées afin de documenter les API. Vous décrivez le fichier que cet outil crée comme "crypté", mais il est en fait encodé . Le mot de passe doit être accessible en texte clair, ce qui signifie que le fichier créé par cet outil contient, en effet, le mot de passe en texte brut.
Evan Anderson
Le mot de passe N'EST PAS enregistré dans un texte clair. C'est vraiment crypté. Comment ça marche? J'ai lu la documentation - "le module admilink génère une clé cryptée = utilisateur + domaine + mot de passe. Clé liée à un fichier exécutable concret. Sans ce fichier, le module Admirun ne pourra pas décrypter". Je pense que le stratagème est en algorithme - l'algorithme dans ce cas est utilisé comme mot de passe. Comme l'a dit l'auteur du curriculum vitae, ce qu'Admilink garantit: 1. L'utilisateur pourra exécuter UNIQUEMENT un programme ciblé avec des droits ciblés 2. L'utilisateur ne pourra pas connaître le mot de passe du lien 3. L'utilisateur ne pourra pas exécuter un autre programme en utilisant la substitution de l'exécutable
user35115
4
@ user35115: Le système d'exploitation nécessite des informations d'identification d'administrateur (le mot de passe en texte clair) pour exécuter quelque chose en tant qu'administrateur. Si le lien ne nécessite pas d'informations d'identification d'administrateur pour s'exécuter, il doit stocker les informations d'identification d'administrateur sous une forme qui est récupérable pour effacer le texte. Evan fait valoir qu'il s'agit effectivement d' un texte clair (c'est-à-dire non sécurisé). Oui, il est crypté, mais la clé de cryptage doit alors être stockée de manière accessible; il devient donc effectivement inutile.
Draemon