Frage Gibt es ein Äquivalent von SU für Windows?


Gibt es einen Weg (wenn Sie als Administrator oder als Mitglied der Administratorgruppe angemeldet sind), sich als nicht-privilegierter Benutzer zu tarnen? Vor allem in einer AD-Umgebung.

Beispielsweise könnte ich in der Unix-Welt Folgendes tun (als root):

# whoami
root
# su johnsmith
johnsmith> whoami
johnsmith
johnsmith> exit
# exit

Ich muss etwas auf dem Konto eines Benutzers testen / konfigurieren, und ich möchte ihr Kennwort nicht kennen oder es zurücksetzen müssen.

Bearbeiten:
runas wird es nicht schneiden. Im Idealfall, mein gesamter Desktop würde zum Benutzer usw. werden und nicht nur in einem cmd-Fenster.


29
2018-06-01 15:09


Ursprung


Nur neugierig, aber warum müssen Sie sich als Benutzer anmelden? Ich würde das normalerweise nur tun müssen, um E-Mails zu konfigurieren. Ich habe jedoch festgestellt, dass ich die meiste Zeit alles über Gruppenrichtlinien / Skripte / etc konfigurieren kann. - Dayton Brown


Antworten:


Ich bin mir ziemlich sicher, dass es keinen unterstützten Weg gibt, als ein anderer Benutzer ohne die Anmeldeinformationen dieses Benutzers zu laufen. Es ist eine Nichtabstreitbarkeitsmaßnahme. Jemand kann nicht sagen: "Ich habe es nicht getan", weil entweder sie es getan haben oder jemand mit ihren Anmeldeinformationen es getan hat. Und für die Sekunde mussten sie der anderen Person die Bescheinigungen geben.

Normalerweise mache ich das, was ich tun muss, während ich mich eingeloggt habe, während ein anderer Benutzer Remote-Unterstützung verwendet, um im Wesentlichen RDP in die Sitzung zu bringen, und sie mir die Kontrolle zu gewähren. Dann mache ich was auch immer sie sehen (vermutlich sowieso).

Alles andere kann normalerweise mit GPO / Skripten gemacht werden.


18
2018-06-01 15:50



Ich glaube, das ist richtig. Und, IMHO, das ist eine Sicherheit Verbesserung über die UNIX-Welt. Ich mag die Idee, dass nicht einmal ein Administrator mich ohne mein Passwort sein kann. - tomjedrz
Ein Administrator kann einen anderen Benutzer übernehmen, indem er sein Passwort zurücksetzt. Dann können sie sich wie Sie einloggen. Es gibt jedoch einen Hinweis, wenn Sie dies tun. Zuerst wurde das Benutzerpasswort geändert, damit sie es wissen. Zweitens gibt es Audit-Protokolle (vorausgesetzt, die Überwachung ist aktiviert). - Erik Funkenbusch
Dies ist typisch, wie ich auch arbeite. Aber es gibt Punkte, die ich sage "Es wäre so viel einfacher für Bob, wenn ich Bob wäre", aber Bob ist vor einer Stunde nach Hause gefahren. - BIBD
Was die "Nichtabstreitbarkeit" betrifft, so hält mich das Zurücksetzen meines Passworts nicht davon ab, böswillige / dumme Handlungen als ein anderer Benutzer zu begehen. Es bedeutet nur, dass ich mehr arbeiten müsste, um zu vertuschen, wer dafür verantwortlich war. - BIBD
Ich verstehe, was sie zu tun versuchen. Ich denke nur, dass es mehr Sicherheitstheater als tatsächliche Sicherheit ist. - BIBD


Ich habe eine Menge anderer Leute bemerkt, die Variationen über den Runas-Befehl erwähnen und wie Sie das Benutzerpasswort kennen müssen ist stimmt, aber ich denke nicht, dass jemand ruhig die Frage beantwortet hat. von "die wollen ganze Der Desktop würde zum Benutzer usw. werden und nicht nur in einem cmd-Fenster. "So gehe ich vor:

Hinweis: Ich werde auf diese erste Eingabeaufforderung als CP1 verweisen, um später die Verwirrung zu beseitigen.

Öffnen Sie unter Ihrem Administratorkonto die Eingabeaufforderung

Zum lokal Konto

runas /profile /user:computernamehere\username cmd

Zum Domain Konto

runas /profile /user:domainname\username cmd

ODER so wie ich es bevorzuge

runas /profile /user:username@domainname cmd

Hinweis: Eine neue Eingabeaufforderung wird geöffnet (CP2). Dies ist der Benutzer, bei dem Sie sich anmelden möchten.

Öffnen Sie CP1 und geben Sie Folgendes ein:

taskkill /f /IM explorer.exe

Öffnen Sie CP2 und geben Sie Folgendes ein:

explorer.exe

Abhängig vom Computer kann es ein Profil für den Benutzer erstellen, wenn sie sich nie zuvor dort angemeldet haben. Sie können sich den Hassel später sparen die Eingabeaufforderungsfenster geöffnet lassen für späteren Gebrauch.

Wenn Sie mit Ihrer Arbeit fertig sind, machen Sie dasselbe in umgekehrter Reihenfolge.

Im CP2-Typ:

taskkill /f /IM explorer.exe

Öffnen Sie CP1 und geben Sie Folgendes ein:

explorer.exe

Sie sollten jetzt wieder im ursprünglichen Administratorkonto sein. Sie können eine schnelle Überprüfung durchführen, indem Sie auf die Windows-Taste tippen und nach dem aktuellen Benutzerfenster suchen.

Hoffe das hat geholfen.


16
2018-03-28 16:02



Das ist eine tiefe Magie. - mskfisher
@mskfisher Haha, wenn du denkst, dass jemand verrückt ist, solltest du sehen, was ich tun muss, um herauszufinden, wie man eine Psexec-Sitzung beendet, die nach einem schlechten wmic-Befehl gesperrt wurde. ... Pskill von einer zweiten Eingabeaufforderung, zeigte auf die Remote-Maschine, nach dem Verwenden Sie psservices, um die Prozess-ID für psexec an der ersten Eingabeaufforderung zu finden! - Michael H
Nun, 4 Jahre später wurde ich an diese Frage erinnert und als ich Zeit hatte, das zu testen. BEEINDRUCKEND! - BIBD
Unter Windows 10 fordert runas zur Eingabe des Benutzerkennworts auf. - TheAmigo


Es gibt keinen eingebauten Mechanismus in Windows, um dies zu tun. Es kann getan werden, aber Sie müssen etwas geschrieben haben, um zu tun, was Sie wollen, und Sie werden wahrscheinlich mit undokumentierten APIs herumspielen müssen.

Einer der Poster hier, Grawity, hat es richtig mit dem Aufruf von CreateProcessAsUser (), aber Sie müssen zuerst ein Token mit dem undokumentierten nativen API zwCreateToken erstellen. Wenn Sie Explorer gelöscht und eine neue Explorer-Instanz mit CreateProcessAsUser () gestartet haben, bin ich ziemlich sicher, dass Sie wollen, dass Sie wollen.

Microsoft macht nicht das, was Sie wollen, einfach, weil es nicht so ist, wie Sie wollen, dass Sie NT verwenden. Wenn Sie als Benutzer angemeldet sein müssen, um Probleme zu beheben, gehen Sie in den meisten Fällen nicht optimal vor.

Sie können Änderungen an der Benutzerregistrierung vornehmen, ohne sich anzumelden (indem Sie ihre Registrierungsstruktur anhängen und so manipulieren). Sie können Änderungen an Dateien in ihrem Benutzerprofil vornehmen, ohne als Benutzer angemeldet zu sein. Wenn Sie "E-Mail" oder andere Aktivitäten wie "der Benutzer" einrichten müssen, sollten Sie Skripts schreiben oder die integrierte Funktionalität (administrative Vorlagen für Gruppenrichtlinien, Voreinstellungen usw.) nutzen, um Ihre schmutzige Arbeit für Sie zu erledigen.

Wenn du haben Sehen Sie sich dazu RunAsEx in Code Project an. Dieser Code sollte Ihnen eine ziemlich gute Vorstellung davon geben, was Sie tun müssen. Ich habe das Programm nicht ausprobiert, aber es sieht so aus, als würde es alles richtig machen.


6
2018-06-01 17:12





Sie können den folgenden Befehl unter Windows XP und höher verwenden:

RunAs.exe

Die Befehlszeilenoptionen sind verfügbar Hier.

Dies funktioniert nicht ohne das Passwort des Benutzers zu kennen. Ich glaube nicht, dass es in Windows einen Weg gibt, unter einem Benutzerkonto ohne das Passwort zu arbeiten, weil die Sicherheitskennungen geladen sind.


4
2018-06-01 15:10



Ich glaube, das RunAs-Programm verlangt immer noch, dass Sie das Passwort des Benutzers kennen, von dem ich glaube, dass die ursprüngliche Frage nicht bekannt ist - Kevin Kuphal
Du hast Recht ... Ich hatte das vergessen. - Doug Luxem


(Nur eine Schätzung.) Wenn Ihr Konto hat SeCreateTokenPrivilege, Sie könnten ein kleines Programm schreiben, um einen Prozess mit zu erstellen CreateProcessAsUser() oder eine ähnliche Funktion ... (Aber nicht einmal Administratoren haben das Privileg standardmäßig.)


1
2018-06-01 15:30





Obwohl ich keine persönlichen Erfahrungen mit einigen der auf dieser Seite erwähnten sudo Lösungen habe, empfehle ich sehr Nichtadmin Begonnen von dem Ausgezeichneten Aaron Margosis. Es ist eine große Hilfe, wenn Sie begrenzte Benutzer ausrollen. Ich bin hauptsächlich mit etwas gesprungen, weil alle anderen Runas benutzen. Ich glaube jedoch, dass die meisten oder alle dieser so genannten sudo für Windows mehr mit Elevation umgehen, als dass sie als ein anderer Benutzer ohne ihr Passwort agieren.


1
2018-06-01 15:46





Process Explorer procexp.exe an http://live.sysinternals.com hat einen Lauf als eingeschränkter Benutzer (im Dateimenü), mit dem Sie ein Programm unter Verwendung Ihrer aktuellen Anmeldeinformationen ausführen können, wobei Ihre Zugriffssteuerungsliste jedoch auf die eines normalen Benutzers (Nicht-Administrator) reduziert ist. Nicht, was du genau wolltest, aber gut zum Testen.


0
2018-06-01 17:47