поднять права до system

← →
vidiv © (2005-05-26 12:59) [0]

Как поднять права с администратора до system? теоретически можно создать системный сервис и запустить его. а есть способ по проще?

← →
Anatoly Podgoretsky © (2005-05-26 13:15) [1]

А зачем, котролируемое - это когда запскается сервис с должными правами. Предоставлять такие права администратору равносильно ливерсии, такого человека надо выгонять из индустрии.

← →
vidiv © (2005-05-26 13:24) [2]

> Anatoly Podgoretsky © (26.05.05 13:15) [1]

К примеру у меня Apache работает как сервис с правами SYSTEM. В скрипте на php я работаю с excel-ем (через ole). Excel запускается тоже с правами system, т.к. его запускает Apache. Но в случае ошибки в скрипте - Excel не выгружается, и убить его невозможно с правами администратора. А с правами system можно!
Т.е. решение данной задачи нужно только мне, для удобства, я не пишу никаких супер мега программ. По большому счету требуется только запустить taskmgr с правами системы!

← →
Игорь Шевченко © (2005-05-26 13:28) [3]

> Но в случае ошибки в скрипте

Исправь скрипт

← →
alpet © (2005-05-26 18:04) [4]

Администрирование -> Локальная политика безопасности
Параметры безопасности -> Локальные политики -> Назначение прав пользователям -> Работа в режиме операционной системы.
В список можно добавить учетную запись пользователя, того же администратора, правда поможет или нет я не знаю. А из того же Excel не удается запустить taskmgr ?

← →
Игорь Шевченко © (2005-05-26 18:23) [5]

alpet © (26.05.05 18:04) [4]

> Администрирование -> Локальная политика безопасности
> Параметры безопасности -> Локальные политики -> Назначение
> прав пользователям -> Работа в режиме операционной системы.
>

И чего ?

← →
alpet © (2005-05-26 18:51) [6]

Я в давние времена ради эксперимента добавил свою учетку в этот список, после чего стало возможным гулять по ключу HKLM\SAM\SAM в реестре. Сейчас правда так не получается, видимо я тогда еще что-то в системе испортил...

← →
Игорь Шевченко © (2005-05-26 18:58) [7]

alpet © (26.05.05 18:51) [6]

Я к чему говорю - факт наличия SE_TCB_NAME влияет только на строго определенные функции Windows и не влечет за собой автоматической смены учетной записи на LocalSystem.

← →
vidiv © (2005-05-27 10:08) [8]

> Игорь Шевченко © (26.05.05 13:28) [3]
> Исправь скрипт

Для отладки необходимо.

> alpet © (26.05.05 18:04) [4]
> А из того же Excel не удается запустить taskmgr ?

Нет. Его окна скрыто.

> Игорь Шевченко © (26.05.05 18:58) [7]

А что влечет?

← →
Игорь Шевченко © (2005-05-27 10:12) [9]

vidiv © (27.05.05 10:08) [8]

> Для отладки необходимо.

Исправь скрипт

← →
vidiv © (2005-05-27 10:22) [10]

> Игорь Шевченко © (27.05.05 10:12) [9]

Издеваетесь? Для того и нужно, чтобы исправлять! После нескольких неудачных попыток выполнить скрипт этих Excelей уже целая куча. Вот мешают работать!

← →
wal © (2005-05-27 10:36) [11]

Почему бы "для отладки" не запускать тот же апач не от система, а от пользователя?

С уважением.

← →
Игорь Шевченко © (2005-05-27 10:37) [12]

vidiv © (27.05.05 10:22) [10]

Не издеваюсь. Исправь скрипт. Укажи в скрипте или иным образом, что процессы надо запускать от другой учетной записи.

← →
alpet © (2005-05-27 10:38) [13]

vidiv © (27.05.05 10:22) [10]
Напиши в конце-концов сервис который будет запускать taskmgr с правами system.

Игорь, а привилегия SE_DEBUG_PRIVILEGE дает право завешить процесс с запущенного под у.з. LocalSystem, из процесса запущеного под у.з. Администратора.

← →
wal © (2005-05-27 10:40) [14]

А "подвисшие" системные процессы я убиваю с помошью делфи, она вроде не против

← →
alpet © (2005-05-27 10:47) [15]

Я системные процессы могу с помощью processExplorer завершать. Вот сейчас один завершил, блин :-(

← →
Игорь Шевченко © (2005-05-27 10:47) [16]

alpet © (27.05.05 10:38) [13]

> Игорь, а привилегия SE_DEBUG_PRIVILEGE дает право завешить
> процесс с запущенного под у.з. LocalSystem, из процесса
> запущеного под у.з. Администратора.

Конечно.

← →
alpet © (2005-05-27 10:51) [17]

Вобщем можно посоветывать автору скачать ProcessExplorer и убивать зависший Excel.exe из него.

Taskmgr к примеру не может убить svchost.exe, а PE смог, из-за чего система отсчитав 60 секунд перезагрузилась :-)

← →
vidiv © (2005-05-27 11:01) [18]

> alpet © (27.05.05 10:51) [17]

запускаешь shutdown -a, и работаешь дальше =)
Скачаю - посмотрю.

> Игорь Шевченко © (27.05.05 10:47) [16]

А если ничего не програмируя (т.е. только теми средствами что предостовляет shell) можно запустить taskmgr от имени system ?

vidiv © (27.05.05 11:01) [18]
>запускаешь shutdown -a, и работаешь дальше =)

После убиения svchost.exe, лучше дать системе перезагрузиться.

vidiv © (27.05.05 11:01) [18]
А если ничего не програмируя (т.е. только теми средствами что предостовляет shell) можно запустить taskmgr от имени system ?

Не знаю, чего там shell может предоставлять, а для запуска приложений в контексте безопасности local system можно использовать планировщик задач aka at
Но в случае с taskmgr это тебе не поможет, ибо рабочий стол у служб свой, пользователю недоступный.

> А если ничего не програмируя (т.е. только теми средствами
> что предостовляет shell) можно запустить taskmgr от имени
> system ?

Давай ты не будешь "желать странного"

Игорь Шевченко © (27.05.05 12:27) [21]

В контексте данной задачи это дейсвительно странное желание.
Но в сугубо образовательных целях - очень даже полезное -)

BiN © (27.05.05 12:40) [22]

В сугубо образовательных оно Руссиновича с братом его во Христе Соломоном полезно читать. Я про планировщик, например, оттуда вычитал.

С уважением,

> Для отладки необходимо.
а не получится, для отладки, запускать Apache не от system-а а от администратора?... тогда насколько понял > [2] и ексель запустится с меньшими правами и снести его можно будет простым таскменеджером.

← →
mUchenik (2005-05-30 11:15) [25]

Удалено модератором
Примечание: Задай вопрос в отдельной ветке

← →
mUchenik (2005-05-30 11:18) [26]

Удалено модератором
Примечание: Offtopic

поднять права до system Найти похожие ветки