[XP] Run with different credentials - vraagje

Ik heb hier een systeem met 1 gebruiker met administrator rechten, en een aantal gebruikers met limitited rechten. Nu is het probleem dat bepaalde spelletjes (The Sims, Bejeweled, Alchemy, enz.) alleen maar werken onder een administrator account...

Ik heb dit opgelost door een nieuwe gebruiker aan te maken ("Games") met administrator rechten die níet op het XP login scherm staat. In de shortcuts naar de spelletjes heb ik aangegeven dat ze "with different credentials" gedraaid moeten worden. De gebruiker hoeft dan uit het rijtje met accounts alleen maar even "Games" te kiezen.

Nadeel hieraan is natuurlijk dat dit niet echt veilig is, omdat de gebruiker ook programma's zou kunnen installeren als deze "Games" gebruiker en zelfs in zou kunnen loggen als "Games" (door in het inlogscherm op ctrl-alt-delete te drukken).

Mijn vraag is dus: is het mogelijk om een programma "under different credentials" te draaien, zonder dat de eindgebruiker hier iets van ziet? Misschien middels een script dat de "Games" account vanzelf uitkiest?

Ik weet 0,nix over scripts in Windows, en of het überhaupt mogelijk is, maar er is hier vast wel iemand die mij dit kan vertellen.

Een andere oplossing is natuurlijk ook welkom!

blackd schreef op 15 augustus 2002 @ 09:23:
HOW TO: Enable and Use the "Run As" Command When Running Programs in Windows

Lijkt mij een mooie oplossing.

Dankje , maar wat er in dit document staat had ik zelf al uitgevonden (er staat alleen hoe je een programma als een andere gebruiker kan starten). Het gaat mij er dus om dat ik dit kan doen zonder dat de gebruiker dit kan zien!

blackd schreef op 15 augustus 2002 @ 09:34:
Dan maak je toch een snelkoppeling met 'runas' ervoor + username + password:

[...]

Staat Program Windows Are Blank When You Use the RUNAS /USER:ADMINISTRATOR Command in Windows XP hier beschreven.

Kijk, dat is nog eens top!

Een vraagje dan nog: je zegt dat ik in die snelkoppeling dan ook gelijk het password kan stoppen, maar hoe doe ik dat? Er is wel een "/user:", maar waar zet ik het wachtwoord?

blackd schreef op 15 augustus 2002 @ 09:43:

[...]

Hmm, ik gebruik het zelf niet, en er staat onderaan dat stukkie tekst dat je even 't wachtwoord in moet geven voor je dan 't programma start.

Waarschijnlijk moet je dat dus invoeren @ startup van je programma. Probeer het eens zou ik zeggen, ik heb er ook nog nooit mee gewerkt

Dat klopt, je krijgt een command prompt waar je het wachtwoord in moet geven. Het zou natuurlijk het mooiste zijn als dat niet zou hoeven...

Iemand een idee hoe ik dát kan omzeilen?

Als ik de games user nou geen wachtwoord geef, dan hoeft er bij dat "type a password" alleen maar op enter gedrukt te worden. Kan zoiets niet in een batch file geregeld worden?

Poltergeist schreef op 15 augustus 2002 @ 09:51:
Nee, RUNAS ondersteund niet dat het wachtwoord tegelijkertijd wordt ingevoerd. Daarvoor hebben ze weer een andere set commando's, die in de resourcekit zitten. Eerst installeer je suss als een service, daarna kun je su (met naam en wachtwoord) gebruiken om een programma als een andere gebruiker te runnen.

Je kunt het wachtwoord dan invoeren door het volgende commando te gebruiken:

SU.EXE gebruikersnaam "programmanaam" domeinnaam < txtbestand_met_wachtwoord

Dankje, ik denk dat ik dit ga proberen. Die reskit staat gewoon op de XP Pro CD toch?

Jullie lezen mijn bevindingen vanavond!

Verwijderd schreef op 15 augustus 2002 @ 10:02:
Wellicht schiet je je doel ver voorbij.

Het is misschien veel verstandiger uit te zoeken WELK recht de gewone gebruikers niet hebben maar wel nodig hebben om het spel te kunnen spelen.


Zo heb ik vorig jaar VMWare 2.0 uitgerold bij een klant, en om VMWare te kunnen opstarten moet je local admin zijn volgens vmware. anders werk het niet goed.
Het enige recht dat je nou daadwerkelijk nodig bleek te hebben, was NTFS change rechten op de program directory van VMware.

Het zou mij dus niet verbazen dat jou gewone gebruikers met change rechten op de programma directory voldoende kunnen. In het ergste geval moet je ze ook change rechten geven op HKLM\Software\spelletjesnaam en alls wat daaronder zit in je register.

Hoef je niet werken met batchfiles, run-as en dergelijke. De kans dat de gewone gebruiker via een slinkse wijze een lokale admin gaan gebruiken is zo veel te groot...

Hmm, das misschien ook wel handig! Maar waar stel ik die change rechten in? Ik ben echt een newbie op dit gebied...

blackd schreef op 15 augustus 2002 @ 10:07:
start -> run -> regedt32

zover was zelfs ik al gekomen... Maar er staan nogal veel registry keys, waar moet ik ongeveer zijn?

Okay dan! Met Bejeweled en Alchemy is het al gelukt, al krijg ik nog wel een vreemde foutmelding wanneer de spelletjes worden afgesloten. Maar daar kan ik (voorlopig) wel mee leven.

The Sims ga ik vanavond testen, nu moet ik weg.

Tot zover ontzettend bedankt voor alle hulp!

Verwijderd schreef op 15 augustus 2002 @ 10:35:
Dus zonder extra accounts nu?

Laatste berichtje voordat ik de deur dichttrek: inderdaad, zonder extra accounts! Of dat bij The Sims ook gaat lukken merk ik vanavond.

Ja hoor, het werkt ook met The Sims (rechten van de directory en de registry aanpassen).

Top jongens, heel erg bedankt!

Het enige dat blijft is een foutmelding in Bejeweled en Alchemy wanneer ik deze programma's afsluit. Ik vermoed dat het iets te maken heeft met een reclame pop-up die deze programma's normaal openen, maar nu dus niet. Het programma zelf (dus niet Windows) komt met een melding dat er permission-problemen zijn met ntdll.dll. Ik heb hiernaar gezocht in de registry, en het blijkt dat deze dll ook iets te maken heeft met het openen van popups. Maar: zelfs al geef ik schrijfrechten voor de hele registry, de error blijft komen...

F_J_K schreef op 16 augustus 2002 @ 09:50:
Als je ook van de laatste foutmeldingen af wilt komen kan je gebruik maken van regmon en diskmon van www.systinternals.com

Deze kijken welk programma wat in je register resp. naar je HDD wegschrijft. Zo kan je uitvinden welke sleutels/dir je vergeten bent.

Bedankt voor de tip. Je link klopt alleen niet, dat moet waarschijnlijk www.sysinternals.com zijn (dus geen systinternals).