Logo Runas
underline
 ROBOTRONIC.DE

 
Run as administrator
point
     Home    
   Kontakt  
    AGB   
  Runas Spc 
  Runas Rob 
  RunAsAdmin  
  RunAsService  
  as another user  
  details  
  Run Elevated 
  Bestellung  

 Runas Rob EnglishRunas Rob
RunAsAdmin autorisiert Programme oder Ordner, deren Inhalte mit Administratorrechte von einem eingeschränkten Benutzer gestartet werden können.
  • Ermögliche einem Standardbenutzer authorizierte Programme oder alle Programme eines authorizierten Ordners mit Administratorrechte zu starten.
  • Verteile Software oder Updates, durch einfaches kopieren der setup.exe, in ein dafür mit Leserechte gesetztes Verzeichnis,
    aus dem ein Standardbenutzer dann die bereitgestellte Software selbst installieren kann, nachdem der Ordner in RunAsAdmin authoriziert wurde.
  • delegiere administrative Aufgaben über die Autorisierung in RunAsAdmin in Verbindung mit Verzeichnisrechte an Standardbenutzer oder andere Benutzergruppe.
Wenn sie das einfache Prinzip von RunAsAdmin verstehen, können sie dieses Werkzeug effizient für unterschiedlchste Zwecke einsetzen,
bei einer einzelnen Workstation bis hin in einer großen Domain Umgebung.

RunAsAdmin ist nur eine grafische Benutzerschnittstelle, welche den Dienst RunAsRob installiert und die erlaubten Verzeichnisse in den Registrypfad von RunAsRob einträgt..
Wenn ein eingeschränkter Benutzer ein Programm über eine von RunAsAdmin erzeugte Verknüpfung startet oder per Drag and Drop auf RunAsRob.exe zieht,
dann überprüft der Dienst von RunAsRob in seinen Registry Einträgen, ob diese Anwendung erlaubt ist.
Wenn sie erlaubt ist, dann startet der Dienst von RunAsRob dieses Programm unter dem system account oder als administrator, je nachdem welche Logon Option in RunAsAdmin gesetzt wurde.
Standard Zugriffseinstellungen bei Microsoft Systemen verhindern das Manipulieren von Registryeinträge oder Dateien im default Programmverziechnis durch Standardbenutzer.
In Verbindung mit Verzeichnisrechte, OUs oder Gruppenrichtlinien kann RunAsAdmin zu einem vielseitigem Werkzeug werden.

AdminPath configuration Window



Schnellanleitung RunAsAdmin:

Starte ein Programm als Standardbenutzer mit Systemrechte.
  1. Entpacken Sie RunasRob.zip, starten Sie RunAsAdmin.exe und klicken Sie >> install RunasRob <<
  2. Wählen Sie über >> Add application << ein Programm aus, welches Sie mit Systemrechten starten wollen.
  3. Markieren Sie die Anwendung in der Listbox von RunasAdmin und erstellen Sie eine Verknüpfung über >> Create shortcut <<
  4. Über diesen Shortcut kann der eingeschränkte Benutzer nun das gewählte Programm mit Systemrechte zu starten.
  5. Bei Bedarf können Sie den Zugriff auf eine bestimmte Gruppe Benutzer einschränken indem Sie die Ordnerrechte des Pfades setzen.
  6. Bei einer Netzwerk Freigabe muss das Computerkonto NTFS  Leserechte auf die Freigabe haben. In einer Domain ist es die Gruppe Domain Computers.
  7. Videobeispiel

Starte ein Programm als Standardbenutzer mit Administratorrechte und dem Profil des Standardbenutzers.
  1. Starten Sie RunasAdmin.exe aus dem RunasRob Verzeichnis.
  2. Klicken Sie >> Install RunasRob << um den RunasRob Dienst zu installieren.
  3. Setzen sie die Option >> Logon as << auf administrator.
  4. Drücken Sie >> Add application << und wählen Sie das Programm welches autorisiert werden soll.
  5. Wählen Sie das Program inder Listbox aus und klicken Sie >> Create shortcut <<
  6. Über diesen Shortcut kann ein Standard Benutzer Account das Programm
    als Administrator ausführen .
  7. Bevor die Anwendung startet wird der Benutzer nach seinen Anmeldeinformationen gefragt
    damit diese Anwendung unter seinem eigenen Accout als Mitglied der lokalen Administratoren startet.
  8. Videobeispiel



Über Verzeichnisrechte lesen, können sie die Benutzer und Computer berechtigen, welche den erlaubten Order aus RunAsAdmin für RunAsRob.exe nutzen dürfen.

In folgendem Screenshot hab ich 3 Verzeichnisse software, updates und taxlaw auf einem Netzwerkserver freigegeben und
entsprechende Verzeichnisrechte auf lesend gesetzt für die Gruppe >Region admin<, >Users<, >Accountants<
und allen Computer Clients über die Gruppe >Domain computers<. Bei der Freigabe taxlaw beschränke ich den erlaubten Aufruf auf die Computergruppe >Accountants Computers<
Anschließend hab ich auf den Clients in RunAsAdmin diese Netzwerkpfade gesetzt.
Nun können Benutzrer der jeweiligen Gruppe auf Ihren Clients Programme aus ihren entsprechenden Verzeichnissen über RunAsRob mit System oder Administatorrechte starten.
RunasRobShareAndPermissions



Gespeicherte Konfiguration:
Hier sehen sie die Registry Werte AllowedPath und LogonFlag, welche von RunAsAdmin gespeichert und von RunAsRob für die Überpfrüfung gelesen werden.
Diese Werte können auch manuell oder über Gruppenrichtlinien gesetzt werden.
Registry RunasRob



Mit Gruppenrichtlinien können sie die erlaubten Programme von RunAsAdmin zentral verwalten..
Sie können diese RunAsRob Gruppenrichtlinien Dateien admx und adml unter folgendem Link herunterladen  RunAsRobPolicy.zip
Im Screenshot sehen sie eine OU Finance, welcher ich die PolicyRunAsRob zuwies und die Verzeichnisse >>  \\appsrv\software\;\\appsrv\updates\;\\appsrv\taxlaw\ << auf den Computern dierser OU erlaubt habe.
Welche Benutzer oder Gruppe dieser Computer Anwendung daraus starten dürfen, löse ich über Verzeichnisrechte wie oben beschrieben.
RunasRobGroupPolicyAllowedPath



Beispiel:
Ordner definieren, aus welchem Anwendungen mit Administratorrechte von Standardbenutzern gestartet werden können.
Über diesen Weg können Sie zentral in einer Domain einen Ordner freigeben für Anwendungen, Updates, Patches...  die dann vom Anwender selbst installiert werden können
und / oder Sie können auch einen lokalen Programmpfad angeben, dessen Inhalt vom Standard Anwender unter lokalen Administratorrechten gestartet werden kann.

Beschreibung:
  1. Verwenden Sie einen lokalen Pfad oder geben Sie einen Ordner auf einem Server frei mit Leserechte für den Anwender und bei einer Serverfreigabe auch für das Computerkonto.
    Sie können auch Ihre eigene Gruppe von Computer und/oder Benutzern anlegen, die für diesen Ordner berechtigt sind.
    Über diesen Weg können Sie differenzierte Ausüfhrungsrechte einzelner Benutzer, Computer oder Gruppen festlegen.
    Server Share Permission

  2. Installieren und konfigurieren sie am Client die autorisierten Ordner oder Programme in der Registry
    durch a) RunasAdmin.exe, b) zentrale Gruppenrichtlinien oder c) Kommandozeile

    a) RunasAdmin
    Screenshot RunasAdmin

    b) Zentrale Gruppenrichtlinien
    GroupPolicyAllowedPath

    c) Kommandozeile
    installieren Sie RunasRob  mit der Option /install und /allowedpath, gefolgt von den Ordnern und Programmen welche Sie erlauben möchten.
    Bei mehreren Ordnern oder Programmen trennen Sie die Pfade mit einem Strichpunkt.
    Im Beispiel unten erlauben Sie Programme im lokalen Pfad taxlaw, die Anwendung regedt32.exe und Programme im Serverpfad share1
    >> runasrob.exe /install /allowedpath:C:\Program Files (x86)\taxlaw\;C:\windows\system32\regedt32.exe;\\server\share1\; <<
    Runas Rob Install AllowedPath

    Eine weiterer optionaler Parameter ist /asservice (default) oder /asadmin
    /asservice ->  Die freigegebene Anwendung startet unter dem system account mit erhöhten Administratorrechten.
    /asadmin ->  Nach  Eingabe der Anmeldedaten wird der Benutzer zum Mitiglied der lokalen Administratoren für diese Anwendung welche dann.unter seinem eigenen Account startet.
    >> runasrob.exe /install /allowedpath:C:\Program Files (x86)\taxlaw\;C:\windows\system32\regedt32.exe;\\server\share1\; /asadmin <<
    allowed folder with option asadmin

  3. Konfiguration ist bereits fertig. Sie können im Registrypfad von RunasRob den Key mit den Pfaden sehen.
    Diesen Key können Sie bei Bedarf auch manuell oder über zentrale Gruppenrichtlinien anpassen.
    Auf 64 Bit Computer >> HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\RunasRob
    Auf 32 Bit Computer >> HKEY_LOCAL_MACHINE\SOFTWARE\RunasRob
    RunasRob Registry Screenshot of Allowed Path

  4. Nun kann ein Standardbenutzer Anwendungen aus diesen Pfaden mit Administratorrechte starten indem er
    die Anwendung per Drag and Drop über RunasRob zieht 
    oder Sie erstellen ihm eine Verknüpfung oder Batchdatei wie 
    >> runasrob.exe \\server\share1\IhreAnwendung.exe  <<
    >> runasrob.exe c:\windows\system32\regedt32.exe  <<
    >> runasrob.exe c:\Program Files (x86)\taxlaw\update.exe <<
    Call an Application from an allowed path



Weitere Videobeispiele:

Im Videobeispiel 1 wird eingeschränkten Benutzern erlaubt über RunAsRob Programme des Verzeichnisses system32 mit Systemrechten zu starten.
Im Videobeispiel 2 wird eingeschränkten Benutzern ermöglicht über RunasRob Programme aus einer Netzwerkfreigabe selbst zu installieren.
Im Videobeispiel 3 sehen sie, wie ein bestimmter Kreis von Benutzer für bestimmte Computer berechtigt werden kann Software über RunasRob mit Administratorrechte zu starten die einem definierten Pfad liegt.



Kontakt:


Für Verbesserungsvorschläge, Fragen, spezielle Anforderungen oder Anpassungen schreiben sie uns.
runas@robotronic.de



Lizenz:


RunasRob ist nur für die private Verwendung frei.
Für Unternehmen und andere Organisationen gibt es auf den Organisationsnamen lizenzierte Versionen.
Bestellung RunasRob >>>
Download RunasRob >>>