{"id":182680,"date":"2016-10-27T01:49:00","date_gmt":"2016-10-26T23:49:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=182680"},"modified":"2020-12-19T21:08:25","modified_gmt":"2020-12-19T20:08:25","slug":"tipp-programme-mit-trustedinstaller-privilegien-ausfhren","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/10\/27\/tipp-programme-mit-trustedinstaller-privilegien-ausfhren\/","title":{"rendered":"Programme als System oder TrustedInstaller ausführen"},"content":{"rendered":"

[EN<\/a>]Gelegentlich w\u00e4re es hilfreich, wenn man Programme wie den Registrierungseditor mit den h\u00f6chstm\u00f6glichen Berechtigungen (unter dem Kontext System oder TrustedInstaller) ausf\u00fchren k\u00f6nnte. Im Blog-Beitrag stelle ich entsprechende L\u00f6sungen vor.<\/p>\n

<\/p>\n

Das Problem \u2026\"\"<\/h3>\n

Manche Registrierungseintr\u00e4ge oder Dateien lassen sich von Administratoren nicht \u00e4ndern, weil das System oder der TrustedInstaller diese im Besitz hat. Der Ratschlag, den man in Foren findet, lautet, die Berechtigungen anzupassen. Bei Dateien geht dies in den Eigenschaften \u00fcber die Registerkarte Sicherheit <\/em>und bei Registrierungseintr\u00e4gen l\u00e4uft es \u00e4hnlich. Problem ist aber, dass es am Ende des Tages auf die \u00dcbernahme des Besitzes des betreffenden Objekts hinausl\u00e4uft. Der Besitzer hat alle Berechtigungen, d.h. er bekommt Vollzugriff auf das Objekt.<\/p>\n

Aus Sicherheitsgr\u00fcnden finde ich die Besitz\u00fcbernahme oder das Anpassen der Berechtigungen nicht optimal, auch wenn ein Administrator so kurzfristig sein Problem des Zugriffs auf das Objekt l\u00f6sen kann. Nicht umsonst haben die Windows-Entwickler manchen Objekten (Dateien, Registrierungseintr\u00e4ge) in den Besitz des Systems oder des TrustedInstallers gestellt und verwehren anderen Benutzern den Vollzugriff. Cleverer ist es daher in meinen Augen, die Programme zum Zugriff auf die Objekte unter dem Kontext des Systems oder des TrustedInstallers auszuf\u00fchren. Also quasi wie die \"Indianer\" agieren: \"hereinschleichen, seine Sachen erledigen und ohne Spuren zu hinterlassen wieder verschwinden\". Das ist m\u00f6glich, birgt aber auch Klippen. Hierzu habe ich immer einige Tools auf meinen Festplatten herumliegen, die mir in solchen F\u00e4llen gute Dienste leisten.<\/p>\n

Zugriff als System mit PsExec.exe<\/h3>\n

Um die \u00dcbernahme des Besitzes bzw. die Anpassung der Berechtigungen zu vermeiden, kann man ggf. den Registrierungseditor (regedit.exe) mit Systemprivilegien ausf\u00fchren. Ich hatte diesen Ansatz im Blog-Beitrag VMLite\/VirtualBox und der USB-Support<\/a> beschrieben, als ich einen Registrierungseintrag auch mit Administratorberechtigungen nicht per Registrierungseditor l\u00f6schen konnte.<\/p>\n

In der Sysinternals-Suite<\/a> gibt es das Program PsExec.exe, welches in der Eingabeaufforderung l\u00e4uft und eine Anwendung unter dem Systemkonto starten kann. Mit dem Befehl:<\/p>\n

PsExec.exe -s -i regedit<\/em><\/p>\n

wird PsExec mit dem Schalter \u2013s <\/em>angewiesen, den Registrierungseditor unter dem Systemkonto laufen zu lassen. Der Schalter \u2013i <\/em>bewirkt die interaktive Ausf\u00fchrung (so dass Regedit auf dem Desktop angezeigt wird). Der Befehl muss in einer administrativen Eingabeaufforderung eingegeben werden. Dann erscheint das Fenster des Registrierungseditors und die im Besitz von System <\/em>befindlichen Schl\u00fcssel lassen sich manipulieren.<\/p>\n

Vorsicht beim Explorer<\/h3>\n

Wer sich jetzt die H\u00e4nde reibt und das Gleiche auf das Programm explorer.exe <\/em>anzuwenden gedenkt, erleidet Schiffbruch. Auch wenn man die Explorer.exe \u00fcber Als Administrator ausf\u00fchren <\/em>oder mit obigem PsExec<\/em>-Kommando aufruft, l\u00e4uft der betreffende Prozess mit normalen Berechtigungen.<\/p>\n

Das ist erkennbar, weil beim Zugriff auf bestimmte Systemordner weiterhin das Dialogfeld zur Anpassung der Zugriffsberechtigungen angezeigt wird.<\/p>\n

\"Ordner03\"<\/a><\/p>\n

Wenn der Administrator \u00fcber Fortsetzen <\/em>den Zugriff per Benutzerkontensteuerung freigibt, passt der Explorer die Zugriffsberechtigungen auf NTFS-Ebene f\u00fcr das Administratorkonto an. Wenn der Explorer mit Administratorrechten liefe, w\u00e4re dies nicht notwendig.<\/p>\n

Ich habe das Thema 2011 im Blog-Beitrag Explorer als Administrator ausf\u00fchren<\/a> behandelt. Die L\u00f6sung f\u00fcr dieses Dilemma besteht darin, einen alternativen Dateimanager statt des Explorer.exe <\/em>zu verwenden.<\/p>\n

\"Ordner06\"<\/p>\n

Im Beitrag Windows: Ordner mit Schloss markiert und unl\u00f6schbar<\/a> habe ich gezeigt, wie man portable Dateimanager wie FreeCommander<\/a> oder Explorer++<\/a> f\u00fcr diesen Zweck verwendet und mittels PSExec<\/em> mit erh\u00f6hten Systemrechten ausf\u00fchrt.<\/p>\n

PowerRun: <\/em>Programme mit TrustedInstaller-Privilegien ausf\u00fchren<\/h3>\n

Bleibt noch der Wunsch, Programme wie den Registrierungs-Editor oder den Windows-Editor Notepad.exe mit den Privilegien des TrustedInstallers auszuf\u00fchren. Die portable Freeware PowerRun <\/em>erledigt genau das. Diese l\u00e4sst sich von der Seite sodrum.org<\/a> kostenlos herunterladen. Nach dem Download ist das ZIP-Archiv in einen Ordner zu entpacken.<\/p>\n

\"PowerRun\"<\/p>\n

Im Anschluss starten Sie PowerRun <\/em>und best\u00e4tigen die Abfrage der Benutzerkontensteuerung. W\u00e4hlen Sie anschlie\u00dfend den Eintrag notepad.exe <\/em>mit einem Rechtsklick an und verwenden Sie den Kontextmen\u00fcbefehl Datei laufen<\/em>. Nach Best\u00e4tigung der Benutzerkontensteuerung l\u00e4uft der Editor unter dem Kontext des TrustedInstallers (habe ich im Blog-Beitrag Windows-Updates: Deinstallation nicht entfernbarer Pakete erzwingen<\/a> genutzt).<\/p>\n

In PowerRun sind bereits die Eingabeaufforderung cmd<\/em>, die PowerShell und der Windows-Editor fertig vorkonfiguriert. Sie k\u00f6nnen aber auch andere .exe<\/em>-Dateien in das Programmfenster ziehen oder die Schaltfl\u00e4che mit dem Pluszeichen w\u00e4hlen und eine Anwendung w\u00e4hlen. Dieses Programm wird in der Liste der Programme eingetragen. Mit PowerRun erhalten Administratoren also ein leistungsf\u00e4higes Tool, um auf Systemkomponenten zuzugreifen, ohne deren Berechtigungen anpassen oder deren Besitz \u00fcbernehmen zu m\u00fcssen.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>VMLite\/VirtualBox und der USB-Support<\/a>
\nWindows 10: Eingabeaufforderung als Administrator \u00f6ffnen<\/a>
\nSysinternals-Tools: Januar-Update und weitere Details
\nExplorer als Administrator ausf\u00fchren<\/a>
\nWindows: Ordner mit Schloss markiert und unl\u00f6schbar<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[EN]Gelegentlich w\u00e4re es hilfreich, wenn man Programme wie den Registrierungseditor mit den h\u00f6chstm\u00f6glichen Berechtigungen (unter dem Kontext System oder TrustedInstaller) ausf\u00fchren k\u00f6nnte. Im Blog-Beitrag stelle ich entsprechende L\u00f6sungen vor.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[143,301],"tags":[5518,5520,5519,4351,5517,3288],"class_list":["post-182680","post","type-post","status-publish","format-standard","hentry","category-tipps","category-windows","tag-powerrun","tag-privilegien","tag-psexec-exe","tag-tipp","tag-trustedinstaller","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/182680","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=182680"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/182680\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=182680"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=182680"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=182680"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}