Unabhängig davon, was Sie tun, ohne die Verwendung von Dienstprogrammen von Drittanbietern, gibt es immer eine Möglichkeit für Ihre Benutzer, das verwendete Administratorkennwort auf einfache Weise abzurufen, wenn Sie mit PSEXEC auf diese Weise Skripts erstellen. Dies liegt daran, dass PSEXEC das Kennwort als Befehlsparameter in Klartext an das Kennwort übergeben muss, wenn Sie nicht jedes Mal manuell eingegeben werden können.
Einige Beispielszenarien:
Das Passwort wird in den Link-Parametern angegeben:
Das Passwort ist einfach zu sehen, wenn Sie die Verknüpfungseigenschaften anzeigen.
Das Passwort wird über das Batch-Skript bereitgestellt, und Sie zeigen den Link zum Skript:
Sie können das Skript einfach über die Verknüpfungsverknüpfung finden und das Kennwort im Skript finden.
Das Kennwort wird als sichere Zeichenfolge in einer Textdatei gespeichert, die über ein PowerShell-Skript gelesen und an PSEXEC übergeben wird, und Sie zeigen den Link auf das PowerShell-Skript:
Das Kennwort ist weiterhin in den Prozesseigenschaften über den Task-Manager sichtbar.
(Ansicht-> Spalten auswählen-> Befehlszeile)
Diese letzte Option bezieht sich auf die erste Überarbeitung einer Antwort von Adi Inbar auf eine andere Frage .
Die letzte Überarbeitung der gleichen Antwort hat eine bessere Lösung, die nicht ganz so trivial ausnutzbar ist, aber jeder kann das Kennwort trotzdem aufrufen, wenn er weiß, was er tut. Es ist definitiv nichts, was ich für eines meiner eigenen Konten oder Systeme verwenden würde, aber es scheint, als würde es nach Ihren Standards akzeptablen Schutz bieten. Die Lösung lässt PSEXEC vollständig fallen und erledigt stattdessen die gesamte Arbeit in PowerShell. Ich denke jedoch, dass es noch einige Arbeit braucht, bevor es für eine Implementierung mit mehreren Benutzern funktionsfähig ist. (Ich weiß nicht genau, wie es jetzt geht. Ich werde diese Antwort aktualisieren, wenn ich es später herausfinde.) Jeder Benutzer, der Zugriff auf das Skript und seine unterstützenden Dateien hat, kann das Kennwort zwar entschlüsseln und entschlüsseln '
Wenn Sie die Software von Drittanbietern verwenden möchten, gibt es einige Tools, mit denen Sie eingeschränkte Benutzerkonten zu einer Gruppe mit "Sudoers" hinzufügen können und deren erhöhte Berechtigungen auf das direkte Starten der von Ihnen ausgewählten Anwendungen beschränken.
In jedem Fall gilt jedoch Folgendes: Wenn Sie einem Benutzer gestatten, eine Anwendung mit erhöhten Berechtigungen zu starten, können Sie ihm die Möglichkeit geben, erhöhte Berechtigungen für das zu verwenden, was die Anwendung tun kann. Umfasst das Durchsuchen des Dateisystems (z. B. über ein Dialogfeld "Öffnen" oder "Speichern"), kann der Benutzer die erhöhten Berechtigungen für andere Programme / Funktionen verwenden, auf die er keinen Zugriff haben soll.
Beispiel: Angenommen, Sie erlauben mir den Zugriff auf Ihr System und haben mein Konto so konfiguriert, dass die einzige Anwendung, die ich mit erhöhten Berechtigungen ausführen darf, Notepad ist. Vom Notizblock würde ich ...
File->Open
- Stellen Sie den Dateityp auf "All files ( . )".
- Durchsuchen Sie das lokale Dateisystem an einem beliebigen Ort und führen Sie alle Dateien / Programme aus, die ich als Administrator verwenden möchte.
- Beispiel: Navigieren Sie zu
C:\Windows\System32\
, klicken Sie mit der rechten Maustastelusrmgr.msc
, wählen Sie "Öffnen" aus, und fügen Sie mich mithilfe der MMC zur echten Administratorgruppe hinzu.
- Beispiel: Navigieren Sie zu
Ich würde auch über die Verwendung von [tag: runas] mit der Option / savecred nachdenken, aber die Anmeldeinformationen gehen nach dem Neustart verloren clargr1 vor 10 Jahren 0