Jump to content
Sign in to follow this  
Christopher

Programm als anderer Benutzer starten

Recommended Posts

Hallo!

 

Ich habe derweil ein recht lästiges Problem, welches mich doch etwas Fuchst.

 

Ich habe hier ein Netzwerk einer öffentlichen Bildungseinrichtung was Nachmittags als internetcafe genutzt wird.

 

Zur Kontrolle setzen wir eine Internetcafesoftware ein, die den Benutzer Codes gibt, damit sie eine bestimmte Zeit unter ihrem eigenen Benutzernamen surfen können, danach meldet die Software den Benutzer automatisch wieder ab.

 

Das Problem an dem ganzen ist, dass die Software als Prozess im taskmanager auftaucht. also habe ich den Aufruf des taskmgr und die Eingabeaufforderung gespeert.

 

Jetzt haben allerdings einige finde Jugendliche "freie" Taskmanager im Netz gefunden, mit denen sie mir immer den Prozess killen können.

 

also kam mir die Idee das Programm einfach als andere Benutzer auszuführen. Ist dies eine Möglichkeit? Falls ja wie realisiere ich das, an die Benutzeranmeldund gekoppelt?

 

Schon einmal vielen Dank für eure Hilfe.

 

Umgebung ist übrigens ein Win2003 Server mit laufendem AD, serverseitiger Anmeldung also sollte das ja irgendwie per GPO zu realisieren sein...

Share this post


Link to post
Share on other sites

also mit runas wäre doch drin

verknüpfung anlegen -irgendwo wos keiner sieht oder vermutet ;)

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/9ab05e52-2bd5-4c3d-bfb4-ff47636b79be.mspx

aber net schlecht die leute ;),

kannst aber auch die seite vom securitytaskmanager

oder das installieren von anwendungen verbieten, sollte auch helfen

 

Grüße Cat

Share this post


Link to post
Share on other sites

also ich gehe mal davon aus,

dass das normale user sind und keine administratoren,

sonst muss ich sagen böses faul und selbst schuld

 

als normale user können sie keine admin-prozesse stoppen, insofern sollte das nicht funktionieren, kannst es ja mal testen

 

ausserdem würde ich in einem Internetcafe grundsätzlich das installieren von software durch user verbieten und dann passiert dir das auch nicht mehr

Share this post


Link to post
Share on other sites

Hallo Christopher,

 

also um auf deine Frage zu antworten: Benutzer können, wie Cat schon sagte, nicht einfach die Prozesse anderer Benutzer killen, solange sie keine Administratoren sind. Ich kann mir ausserdem vorstellen, dass es nur eine begrenzte Menge an Anwendungen gibt, die Benutzer an euren Computern generell ausführen können und dürfen, sodass für dich die Softwareeinschränkungsrichtlinien sowie die vorgefertigten Gruppenrichtlinien für Kiosk-Computer sicher einen Blick wert wären. Ein paar nützliche Links zu dem Thema:

 

Beispielrichtlinie: Highly Managed Computer - Kiosk

Beispielrichtlinie: Highly Managed User - Kiosk

Richtlinien für Softwareeinschränkung: So wird es gemacht

Implementieren allgemeiner Desktopverwaltungsszenarios mit der Gruppenrichtlinien-Verwaltungskonsole

 

Das Problem ist allerdings, Cat, dass das Verbieten von Softwareinstallationen zumeist nicht viel bringt im Vergleich zu Richtlinien für die Softwareeinschränkungen, denn Benutzer können trotzdem Software runterladen und starten, wenn diese keine Installation benötigen. Es gibt sehr viel Software, wie auch den beliebten Process Explorer von Sysinternals, die man nicht erst installieren muss um das System zu beeinflussen oder gewisse Änderungen daran vorzunehmen. Natürlich sollten Benutzer auf solchen Systemen ungeachtet dieser Tatsache und etablierter Softwareeinschränkungsrichtlinien trotzdem keine Software installieren können.

Share this post


Link to post
Share on other sites

Tja ich denke Christopher sollte erstmal was dazu sagen, wie die User angemeldet sind

soll ja kein reiner Kiosk-Computer sein, da passiert ja nochmehr drauf

und auch was dazu, inwiefern da schon was abgesichert wurde

 

Vorher kann man dazu nicht vielmehr sagen

Share this post


Link to post
Share on other sites

Hallo!

Erstmal danke für euren Antworten.

Nein natürlich sind es keine Admin benutzer, total bescheuert bin ich auch nicht *g*

Es sind ganz normale User mit stark eingeschränkten Benutzerrechten.

Ich probiere das morgen einmal aus ob das dann noch funktioniert, wenn ich den prozess via runas einen anderen account das programm ausführen lasse.

 

Programme installieren dürfen die Benutzer eigentlich nicht, allerdings gibt es ja auch im Internet einige taskmanager die man einfach nur runterladen muss und es reicht wenn man die .exe startet...

Das Runterladen verbieten bekomme ich irgendwie nicht hin, vor allem weil bei uns Firefox und der Inet im Einsatz ist (habe für Firefox keine ADM Templates)

Melde mich dann morgen nochmal bei euch.

 

Schönen abend und danke!

Share this post


Link to post
Share on other sites

Hallo zusammen,

 

@ Christopher

 

Welche technischen Möglichkeiten hast du denn vor Ort ?

 

Sind die PC Mitglied einer Domäne ?

Hast du Zugriff auf eine Firewall ?

Habt ihr einen Proxy im Einsatz ?

 

Alle Fragen zielen darauf, den Download bestimmter Dateien zu verhindern, z.B. .exe, .cmd etc. was die User benutzen könnten, um deine Sperren zu umgehen.

Share this post


Link to post
Share on other sites

Hallo!

Also mit runas hab ich so meine Probleme.

irgendwie läuft das nicht so wirklich rund...

Also ich hab folgendes gemacht: eine kleine bat datei geschrieben die das ganze ausführt.

Inhalt:

runas /user:cybuser@charlottenburg "cybcli.exe"

 

Das geht auch soweit, allerdings muss man dabei nun immer ersteinmal Enter drücken, denn es kommt eine Passwort abfrage (ich habe für den User gerade einfach mal kein PW angelegt.)

Kann ich irgendwie das Passwort im runas Befehl mit übergeben, bzw das in der bat Datei umgehen?

 

Auf die Fragen folgende Antworten:

 

 

Sind die PC Mitglied einer Domäne ? <= Yeep, name Charlottenburg. laufendes AD an einem win2003 server

Hast du Zugriff auf eine Firewall ? <= Unser router fungiert als Hardware fierwall, kann allerdings auch einzelne Webseite blocken

Habt ihr einen Proxy im Einsatz ? <= Nein, bisher noch nicht.

Share this post


Link to post
Share on other sites

das hat auch den vorteil,

dass du dann nur einmal das passwort eingeben musst und danach fragt er es nicht mehr ab

und noch wichtiger, es taucht auch nicht in der verknüpfung auf - wo deine user doch schon so gewitzt sind

Share this post


Link to post
Share on other sites

So bin ein ganzes Stück weiter.

Habe festgestellt das die Software unter bestimmten Bedingung zum abstürzen gebracht werden kann und somit die gesamte Überwachungssoftware ebenfalls raus ist.

 

Das mit dem Abstürzen habe ich jetzt gelöst indem ein vbs script das Cybera Programm startet und, sobald der Prozess des Cybera nicht mehr aktiv ist, den Benutzer abmeldet. Perfekt das läuft schon mal.

Jetzt sind nur noch die Sachen mit dem runas ein Problem...

Ich hab im Netz das Program runasspc gefunden, womit es möglich ist z.B. das Passwort für einen Benutzer zu kodieren, bzw. es mir zu übergeben etc.

 

Allerdings freezt dann bei mir das halbe System wenn der fremde Benutzer, also der unter denen der Cybera läuft, einen shutdown -l ausführt. Dann ist zwar der Cybera aus, der Benutzer wahrscheinlich auch abgemeldet, aber dafür läuft der eigentliche Benutzer noch ohne Software...

 

Mir kam die Idee ob man einen Prozess nicht einfach schützen kann, oder verstecken (das erinnert doch irgendwie an bestimmte Rootkits..) kann.

 

Ansonsten brauche ich sowas wie einen "mache wirklich shutdown -l ohne verluste"

Share this post


Link to post
Share on other sites

Also bin ein ganzes Stück weiter.

Wenn das Programm Cybera beendet wird, soll anschliesend der aktuelle Benutzer ausgeloggt werden.

Über den shutdown -l logge ich aber wohl nur den User aus, unter dem ich den Prozess gestartet habe, nicht meinen Arbeitsbenutzer.

 

Wenn ich das richtig verstanden habe, kann man remote auch keine Benutzer ausloggen, nur runterfahren.

Die Rechner sollen aber nur ausloggen und nicht herunterfahren nach dem der Cybera beendet wurde bzw. gekillt wurde.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...