- PR -

特定のアプリケーションのみ管理者権限で実行させる方法

1
投稿者投稿内容
tesimoto
会議室デビュー日: 2006/10/19
投稿数: 2
投稿日時: 2007-02-28 14:59
ActiveDirectory環境においてある特定のソフトが
管理者権限でないと動作しないような仕組みになってます。
このソフトを一般ユーザーに使用させたいのですが
ユーザーには管理者権限のユーザーやパスワードを教えたく
ありません。ユーザーに知られることなく動作させるように
設定したいのですがどなたかご存知でしょうか?
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-02-28 16:00
こんにちわ.
引用:

tesimotoさんの書き込み (2007-02-28 14:59) より:

ActiveDirectory環境においてある特定のソフトが
管理者権限でないと動作しないような仕組みになってます。

以前はそういった事例が多かったと思います.
PowerUsers では動きませんか?
ue
ぬし
会議室デビュー日: 2005/05/07
投稿数: 581
お住まい・勤務地: 広島市
投稿日時: 2007-02-28 16:00
こんにちは。

引用:

tesimotoさんの書き込み (2007-02-28 14:59) より:

ActiveDirectory環境においてある特定のソフトが
管理者権限でないと動作しないような仕組みになってます。
このソフトを一般ユーザーに使用させたいのですが
ユーザーには管理者権限のユーザーやパスワードを教えたく
ありません。ユーザーに知られることなく動作させるように
設定したいのですがどなたかご存知でしょうか?

これは実現できません。
管理者が出向いて Runas してあげるしかないと思います。
_________________
上本亮介 (ue) @ わんくま同盟
Microsoft MVP for VSTO (Jul 2008 - Jun 2009)
Hello Another World!
.NET 勉強会 / ヒーロー島
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-02-28 22:21
とりあえず、その application が何が原因で動かなくなっているか調査する必要があります。

まあ、とはいえ権限の問題なんですからある程度は絞れるわけですが。
とりあえず、Filemon, Regmon 等 utility を使って trace をとってみましょう。

これ以外の問題(特権とかそのほかの ACL)だとかなり厄介ですね。
Windows の内部動作に通じていれば割り出せるんですが、簡単な方法は無いものでして。。。

あと、起動するのは GUI ですか?
User との対話を必要としない application なら Task Scheduler に登録して、適切な ACL を設定することで何とかなるでしょう。
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-02-28 22:21
[編集]なぜかかぶったので削除[/編集]


[ メッセージ編集済み 編集者: ちゃっぴ 編集日時 2007-02-28 22:22 ]
チャブーン
大ベテラン
会議室デビュー日: 2006/11/25
投稿数: 149
投稿日時: 2007-03-01 00:57
チャブーンです。

正論としては ue さんのコメントどおりです。フリーソフトや "動けばいい" といったアプリケーションであれば、ちゃっぴ さんのコメントのように、動かない原因を特定していじる方法もありえますが、内容によってはあまり奨められません。

無理やりいじってとりあえず動いても、別のところで予期しない動作不良がおこるかもしれません。また、こちらの方が重要ですが、ユーザが内部設定を勝手にいじってその場は動作しても、のちのちソフトの動作に問題がおこった場合、メーカーはサポートしません。

企業が有料のアプリケーションを (少なからざる予算を出して) 使う場合、メーカーサポートによるリスク軽減は当然織り込み済みです。これが使えない状況での運用は業務上重要なアプリケーションであれば、厳しすぎるはずです。

どうしてもなかをとりたい場合、"管理者が runas を実行する" を自動的にやってくれるアプリケーションを使う手もあるでしょう。たとえば runasx といったツールになると思いますが、いくつかは存在します。

上記のツールのうち、いくつかのアプリケーションでは実行アカウントのパスワード情報を見られても "わかりにくくする" 実装があります。しかし多くは簡単な符号化を行っているだけなので、心得があれば解析は可能です。そこをふまえて、ツールを使う人はいるでしょうね。

[ メッセージ編集済み 編集者: チャブーン 編集日時 2007-03-01 01:01 ]
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-03-01 23:28
引用:

チャブーンさんの書き込み (2007-03-01 00:57) より:
正論としては ue さんのコメントどおりです。フリーソフトや "動けばいい" といったアプリケーションであれば、ちゃっぴ さんのコメントのように、動かない原因を特定していじる方法もありえますが、内容によってはあまり奨められません。

無理やりいじってとりあえず動いても、別のところで予期しない動作不良がおこるかもしれません。また、こちらの方が重要ですが、ユーザが内部設定を勝手にいじってその場は動作しても、のちのちソフトの動作に問題がおこった場合、メーカーはサポートしません。

企業が有料のアプリケーションを (少なからざる予算を出して) 使う場合、メーカーサポートによるリスク軽減は当然織り込み済みです。これが使えない状況での運用は業務上重要なアプリケーションであれば、厳しすぎるはずです。


まあ、そもそも support 云々を言うのであれば、管理 tool 等一部の例外を除き "Administrators" group に所属していないと動作しないなんて application を採用すること自体がそれこそ論外なんですが、それはさておき。

それから、NTFS とか registry の ACL を変更したからって、多くの場合 support 対象外にはならないでしょう。
これらのものは、管理者なり使用者なりが必要とされる security level に応じて適切に設定してやるべきものなので。

ただ、"Administrators" group に所属していない user での動作は保障しませんというなら、はねられますがね。

引用:

どうしてもなかをとりたい場合、"管理者が runas を実行する" を自動的にやってくれるアプリケーションを使う手もあるでしょう。たとえば runasx といったツールになると思いますが、いくつかは存在します。

上記のツールのうち、いくつかのアプリケーションでは実行アカウントのパスワード情報を見られても "わかりにくくする" 実装があります。しかし多くは簡単な符号化を行っているだけなので、心得があれば解析は可能です。そこをふまえて、ツールを使う人はいるでしょうね。


すでに書かれているようにこちらのほうが、私的には論外ですね。
安全に実装するためには、それこそまともな認証 system を作れるくらいの技術が必要になります。

そんなことするくらいなら、金かけて application を直してもらうとか、別のまともな製品使うとかしてもらったほうがいいでしょう。

なにしろ符号化すら行っていないものも巷にあふれているようですから。

認証に関わる部分は、下手に手を出さずに信頼の置ける製品の機能に任せるべきです。
# でないと、それこそしゃれにならない脆弱性になります。
まるちねす
ぬし
会議室デビュー日: 2004/04/28
投稿数: 302
投稿日時: 2007-03-02 15:16
複数の管理者同士で動作可能ならば
マルチユーザーには一応対応しており、
ファイル・フォルダのACLをusersに変更書き込み可能にするだけで動作する
場合が多いです。インストールした管理者でしか動作しない場合はちょいと
やっかいです。

runasa というソフトをつかえば、別のユーザーとして実行を パスワード
を秘匿して実現することがかのうです。
しかし、管理者のパスワードを定期的に変更するような場合は不向きかもしれません。
エンドユーザーから外字エディタを使う要望があり、これで逃げた記憶があります。
1

スキルアップ/キャリアアップ(JOB@IT)