Je cherche un moyen de pouvoir permettre à certains utilisateurs de mon domaine (en 2012) d executer localement certains (vieux) programmes qui ne fonctionnent correctement qu'en droit d'admin ... mais sans leur donner le l/p d un compte avec les droits d'admin. En gros j ai mémorisé le lancement en admin de certains exe via un compte admin, mais une fois dans leur session en droit classique l'UAC leur demande la saisie d un compte admin ... il y a un moyen de passer outre ça ?

Salut,
 
Je ne pense pas car les droits utilisateurs sur la machine sont configurés au lancement de la session, chaque changement nécessite un redémarrage de session.
 
As tu essayé de fournir à tes utilisateurs un raccourci pointant sur un script qui lancerai l'application avec un autre compte admin du poste ? avec RUNAS par exemple ?
Inconvénient: le Login/mdp sera en clair dans le script.. mais s'il est caché cela pourrai t'il suffire?

Effectivement reste la solution d un script au pire

J ai trouvé ça, un peu plus sécurisé qu un runas /savecreds :
 
http://www.generation-nt.com/execu [...] 798-6.html

A essayer en effet...
 
Sinon tu peux lancer un script de démarrage pour que les Users ne puissent avoir le script de visible directement sur leur poste (après s'il y a des petits malins, ils pourront toujours voir le script dans le sysvol mais bon...., par contre l'application sera lancée à chaque démarrage du coup

Mouais ça m'a l'air du bricolage son truc qd même.
 
Déjà il faut identifier pourquoi il y a besoin de droits admins. Souvent c'est à cause de fichiers ou d'emplacements qui requiert des droits d'écriture alors que par défaut ils ne les ont pas. Pareil pour le registre ou l'accès à des objets COM. Le mieux est donc de rémédier cette gestion des droits.
 
Après tu as de vrais applications qui ont des besoins vraiment spécifiques. Dans ce cas tu as des solutions style Appsense Application Management, BeyondTrust PowerBroker qui injecte à la volé le token administrator pour CETTE application uniquement (tout en étant loggué avec son compte), voir faire du self privilege elevation sur des comptes standard (bon ça fait bien plus de choses mais c'est hors scope)

Déjà tout cherché pour les droits, pas moyen de les faire fonctionner correctement
 
Pour le soft dont j'ai mis le lien c'est un runas avec un chiffrement du pass en gros
 
 

Tu as utilisé les outils comme Regshot / FileMon / Process monitor ?
Je m'en suis sorti pas mal de fois grâce à ça.

Je vais en rester sur SuperExec pour le moment ca a l'air de faire le travail correctement et de manière assez sécurisée
Pour les droits on a des soft qui datent de 1993 .. et une trentaine .. donc je pense que je vais y passer plus de temps a déterminer avec précision tout les droits qui doivent être appliqués et au final me retrouver avec 90% des dossiers ouverts en écriture

sinon un script auto IT
 
RunAsWait(administrateur, nom du domaine, Password, 0, $CmdLine[1])
 
et tu compile en exe
 
et pour le lancement
 
nom de l'exe.exe c:\programme.exe
 
 
 
 

C'est quoi la méthode d'encryption de autoIT ? Ca me fait à moitié peur quand je sais que y'a un password dans un .exe ...

ca encrypte rien du tout
 
ca compile en exe mais ca se décompile facilement si tu sais en quel language c'est fait