Establecer uid para windows

8

¿Existe un equivalente de set uid para Windows (XP)? La opción 'ejecutar como' requiere una contraseña de administrador cada vez que se ejecuta. Quiero que los usuarios puedan ejecutar ese ejecutable en particular sin conocer la contraseña de administrador. Soy muy nuevo en el área de Windows. :(

windows-xp setuid Akilan
fuente
¿Realmente necesitas hacer eso? Tal vez hay otra manera, como cambiar los permisos de rama del registro o directorio ...
Taras Chuhay
Existe este software (ANSYS para ser precisos) que se ejecuta correctamente solo si se ejecuta con privilegios de administrador. :(
Akilan
Por supuesto. Puede obtener el equivalente de la raíz setuid en WinXP usando algo llamado 'nop sled'. Funciona como un encanto ...
Parthian Shot
1
Si está de acuerdo con mezclar respuestas súper desactualizadas con el directorio activo, entonces lo hay. El Lanzador de aplicaciones de privilegios elevados de Microsoft permite exactamente esto.
Mitch

Respuestas:

5

Ver aquí: ¿Hay un equivalente de SU para Windows

Esencialmente, la arquitectura del sistema operativo evita hacer lo que le gustaría sin almacenar credenciales. Sí, puede almacenarlos "encriptados", pero si se supone que el usuario no tiene que escribir nada (como, por ejemplo, una contraseña), cualquier "encriptación" que use para almacenar las credenciales tendrá su clave almacenada junto a ellos. que puede ser "descifrado" (realmente codificado / decodificado) en el momento en que el usuario accede a él.

Hacer que los sistemas operativos Windows NT creen un token de acceso como otro uso sin especificar su contraseña requiere llamar a API de modo nativo no documentadas. El proyecto RunAsEx lo hará, pero podría romperse en futuras versiones de Windows.

Evan Anderson
fuente
3

runas (al menos en xp sp3) tiene la opción "/ savecred": solicita la contraseña la primera vez y luego usa la almacenada (incluso después del reinicio).

Agente
fuente
1

Hay RunAs cifrados y una CPAU alternativa gratuita . Aunque no los usaría hasta que sea absolutamente necesario.

vu1tur
fuente
1

Hay un programa especial para estos fines: Admilink .

Crea un enlace encriptado especial al archivo de destino (lo pruebo solo con archivos .exe): debe realizar esta acción solo una vez. Cuando hace clic en el enlace, el programa (Admirun.exe) inicia automáticamente el programa en enlace con los derechos especiales (los derechos dependen del usuario seleccionado durante el proceso de creación del enlace; puede usar la cuenta de administrador o el nombre de la cuenta de dominio, etc.).

Restricciones: durante el proceso de creación de enlaces (solo una vez) debe tener una cuenta de administrador.
Admirun.exe debe presentarse en su carpeta de Windows (módulo incluido en Admilink).
Toda la documentación en ruso :). Enseñar ruso o pedirme ayuda adicional

PD: es GRATIS para uso no comercial.
PPS tiene muchas funciones adicionales

usuario35115
fuente
Esta herramienta no soluciona el problema fundamental de que la credencial debe almacenarse para documentar las API. Usted describe el archivo que esta herramienta crea como "encriptado", pero en realidad está codificado . La contraseña debe ser accesible en texto sin formato, lo que significa que el archivo que crea esta herramienta contiene, en efecto, la contraseña de texto sin formato.
Evan Anderson
La contraseña NO se almacena EN TEXTO CLARO. Está realmente encriptado. Como es el trabajo Leí documentación: "el módulo admilink genera clave cifrada = usuario + dominio + contraseña. Clave vinculada a un archivo ejecutable concreto. Sin este archivo, el módulo Admirun no podrá descifrar". Creo que la estratagema está en el algoritmo: el algoritmo en este caso se usa como contraseña. Como dijo el autor del currículum, lo que garantiza Admilink: 1. El usuario podrá ejecutar SOLO un programa dirigido con derechos específicos 2. El usuario no podrá conocer la contraseña desde el enlace 3. El usuario no podrá ejecutar otro programa usando la sustitución del ejecutable
usuario35115
44
@ user35115: el sistema operativo requiere credenciales de administrador (la contraseña de texto sin cifrar) para ejecutar algo como administrador. Si el enlace no requiere credenciales de administrador para ejecutarse, debe almacenar las credenciales de administrador en una forma que sea recuperable para borrar el texto. Evan argumenta que este es efectivamente un texto claro (es decir, no es seguro). Sí, está encriptada, pero la clave de encriptación debe almacenarse de manera accesible; entonces se vuelve efectivamente inútil.
Draemon