exe als Administrator ausführen lassen

[olf]

Hallo Leute,

ich stehe vor folgendem Problem: Wir haben hin und wieder mit Updates zu kämpfen welche nur mit Administrationsrechten ausgeführt werden können. Natürlich haben diese unsere User nicht, deshalb mussten wir diese Updates bisher immer manuell verteilen.

Ich habe mir nun überlegt mit c# ein kleines Programm zu schreiben welches diese .exe mit Administrationsrechten ausführt. Sprich der Administrationslogin ist in diesem Programmcode mitenthalten und somit auch nicht einfach vom User auslesbar.

Meine frage: Hat jemand eine Idee wie ich das realisieren kann, ODER noch viel besser hat jemand einen ganz anderen Lösungsansatz für dieses Problem?

Grüße Olf

[Klotzkopp]

Wie "verteilt" ihr denn? Das sollte ja sowieso nicht im Kontext des normalen Benutzers passieren.

[olf]

Normalerweise über die AD und das ganze dann silent mithilfe einer .bat

[Saifai]

probier mal das aus:

du kannst entweder bei process.start einen user und das pw übergeben

oder diese werte in der startinfo setzen

            System.Diagnostics.Process p = new System.Diagnostics.Process();

            //System.Diagnostics.Process.Start("filename", "username", "password", "domain");


            if (System.Environment.OSVersion.Version.Major >= 6)

            {

                p.StartInfo.Verb = "runas";

                //p.StartInfo.UserName = "";

                //p.StartInfo.Password = "";

                //p.StartInfo.Domain = "";

                p.Start();

            }

[olf]

Danke das löst mein Problem soweit!

[Saifai]

immer wieder gern ;-)

[Bubble]

Euch ist hoffentlich klar, dass durch ein festes Hinterlegen des Admin-Passworts in einem derartig einfach aufgebautem Programm, dass zum Starten beliebiger Prozesse mit Admin-Rechten verwendbar ist, eine riesige Sicherheitslücke erschaffen wird?

[olf]

Das ist mir klar, das ganze war auch erstmal eine "geht das überhaupt" frage gewesen. Wenn das ganze für den produktiven einsatz geschrieben werden würde dann auch nur mit einem hinterlegten passwort in einer verschlüsselten datei oder dergleichen.

[lupo49]

Ergänzung: Zumal es auch viele kostenlose Alternativen gibt, um vom zentraler Stelle aus die lokalen Clients mit Software zu versehen. Das was du jetzt aufbaust ist nur eine halbherzige Frickellösung.

[Bubble]

Wenn das ganze für den produktiven einsatz geschrieben werden würde dann auch nur mit einem hinterlegten passwort in einer verschlüsselten datei oder dergleichen.

Bei Deinem bisherigen Ansatz ist es sogar völlig egal, ob das Passwort leicht entdeckt werden kann oder nicht (dass es vom Installer benötigt wird und so ausgelesen werden kann, ist natürlich eine weitere größere Schwachstelle), da Dein Programm geeignet ist, jedes andere Programm mit Admin-Rechten auszuführen.

Mit anderen Worten: Du brauchst ein System, dass selbst nach Möglichkeit ohne Admin-Passwort auskommt, nur bereit ist authorisierte Dateien auszuführen und mit einfachen Benutzerrechten nicht ausgetauscht oder verändert werden kann.