Das Durchführen von Installationen auf Clients, wozu i.d.R. sehr oft Administratoren-Rechte benötigt werden, ist immer wieder ein Spießrutenlauf.
Mit dem Tool das ich gefunden habe, könnte man eine zu 99% saubere Lösung dieses Problems schaffen (so behaupte ich mal): “runasspc” – siehe Screenshot – bietet die Möglichkeit, ein Programm (Setup, Script, usw.) zu definieren, weiters Benutzer und Passwort UND – siehe ganz unten – eine Verschlüsselungsdatei, in der das alles verschlüsselt abgespeichert wird.
Das verwendete Passwort für die Verschlüsselung wird zur Laufzeit generiert, die mittels AES 256Bit erstellte Verschlüsselungsdatei erhält über eine Art Fingerabdruck sein eigenes dynamisch generiertes Verschlüsselungskennwort. Danach kann ganz einfach mit dem Aufruf von runasspc /cryptfile: “crypttest.spc” das Paket (z.B. im Zuge eines Login-Scripts) gestartet werden.
Das Tool eignet sich aber nicht nur vorzüglich für Installationen, sondern auch für Programm-Starts unter fremdem User-Kontext, wenn Passwörter geheim bleiben sollen. Zu 99% sauber bezeichne ich die Lösung, da ein Passwort auf der Platte (wenn auch verschlüsselt, aber doch) abgespeichert wird. Hier gehts zum Download und auch zu noch mehr Infos zu runasspc.
Als Alternative für Installationen auf lokalen Rechnern, bei denen Administratoren-Rechte benötigt werden, würde sich folgende weitere Vorgangsweise – diesmal ganz ohne fremde Hilfsmittel – anbieten:Vorbereitungsarbeiten:
- Domäne: Anlage einer neuen Domänengruppe, z.B. LocalTempAdmins
- Client: Anlage einer lokalen Benutzergruppe mit Admin-Rechten
- Client: In dieser neuen lokalen Benutzergruppe ist die neue o.a. Domänengruppe Mitglied
Sollen nun bestimmte Benutzer kurzfristig Admin-Rechte für eine Installation haben:
- Schieben dieser Benutzer zentral in die neue Domänengruppe, damit haben sie automatisch lokale Adminrechte
- Die Installationsroutine startet im Login-Script, installiert die erforderlichen Dinge (z.B. dlls.bat) und entfernt anschließend den Anwender per “net group /domain ” /delete wieder aus der Domänenbenutzergruppe mit den lokalen Adminrechten
- Dann sollte noch ein automatischer Reboot (der Vollständigkeit halber) erfolgen und mit der nächsten Anmeldung ist der Benutzer wieder mit normalen Benutzer-Berechtigungen unterwegs
Thanx to Josef Tisch for helping restore this deleted article!