Новый процес с админ правами из сервиса

@slipp1 · Регистрация: 09.11.2012

Студворк — интернет-сервис помощи студентам

Создать новый процесс из сервиса:

1. от имени залогиненого пользователя
2. с правами администратора.

Нужно чтобы запустить .msi в silent mode.

с первым я справился CreateProcessAsUser + Token залогиненого юзера. Но не хватате прав администратора чтобы запустить .msi в silent mode (не в сайлент режиме поднимается UAC).

как разрешить пользователю создавать процесс без поднятия UAC'a?

Убежденный · 17.11.2014, 00:00

Сообщение от slipp1

с первым я справился CreateProcessAsUser + Token залогиненого юзера.

Этого мало. Как минимум, следует еще вызвать CreateEnvironmentBlock и
передать полученный указатель в CreateProcessAsUser, иначе такой запуск
будет "не похож" на запуск пользователем.

Сообщение от slipp1

Но не хватате прав администратора чтобы запустить .msi в silent mode

GetTokenInformation с кодом TokenLinkedToken. Требуется SE_TCB_NAME.
Если пользователь входит в группу "Администраторы", а UAC включен, в
структуре будет полный (не фильтрованный) access token, который можно
передавать в CreateProcessAsUser. Только здесь следует иметь в виду, что:

- пользоваталь может не быть администратором (linked-токена нет);
- UAC отключен, либо система < Vista (linked-токена нет);
- пользователь администратор, UAC включен, но отключена политика
"Admin Approval Mode" (linked-токена снова нет).

Кстати, уверены, что ваш msi корректно отработает из службы ?

@slipp1 · 17.11.2014, 00:36 **[ТС]**

Сообщение от Убежденный

Кстати, уверены, что ваш msi корректно отработает из службы ?

он то отработает только проблема в том что его нужно запустить из службы от имени пользователя.

а если запускать от имени пользователя поднимается UAC для повышения прав.

а так как запуск происходит в сайсент режиме .msi не отрабатывает так как нужно повышение, а в сайлен режиме его нет...

следовательно нужно чтобы вызывающий процес имел права администратора которых у юзера НЕТ.
- как их ему дать?
- как побороть...?

Убежденный · 17.11.2014, 13:50

Сообщение от slipp1

нужно чтобы вызывающий процес имел права администратора которых у юзера НЕТ.

Так не получится. Нельзя запустить процесс от имени пользователя, дав ему при
этом права администратора, которых у пользователя нет.

Одно из решений я привел выше: если пользователь - член группы "Администраторы",
то из службы получаете его полный токен и с этим токеном запускаете процесс.
Окна UAC не будет, при этом процесс получит админские права.

@slipp1 · 17.11.2014, 20:53 **[ТС]**

Сообщение от Убежденный

если пользователь - член группы "Администраторы",

а если пользователь не состоит в группе администраторов?

Убежденный · 17.11.2014, 20:59

Тогда нужен другой пользователь, его имя и пароль.
Либо чтобы был хотя бы один запущенный от его имени процесс.

@slipp1 · 17.11.2014, 23:39 **[ТС]**

Сообщение от Убежденный

GetTokenInformation с кодом TokenLinkedToken.

это единственный способ запуска от пользователя с админ правами?

Убежденный · 18.11.2014, 16:50

Не единственный.
Но так или иначе, нужны либо имя/пароль пользователя (чтобы
выполнить LogonUser и получить access token), либо хотя бы один
процесс, запущенный от его имени (чтобы стырить токен оттуда).

@demmax2004 · 21.11.2014, 06:47

Так для ознакомления
http://blogs.technet.com/b/ask... ation.aspx

Ну и тут как запускать из 0 сессии
http://stackoverflow.com/quest... -isolation

http://blogs.msdn.com/b/winsdk... rvice.aspx

http://blogs.msdn.com/b/winsdk... later.aspx

@slipp1 · 26.11.2014, 20:34 **[ТС]**

Сообщение от demmax2004

Так для ознакомления
http://blogs.technet.com/b/ask... ation.aspx
Ну и тут как запускать из 0 сессии
http://stackoverflow.com/quest... -isolation
http://blogs.msdn.com/b/winsdk... rvice.aspx
http://blogs.msdn.com/b/winsdk... later.aspx

мне нужно не только запустить процес от пользователя в нулевой сессии но и чтобы этот процес имел права администратора.

@demmax2004 · 27.11.2014, 04:59

Сообщение от slipp1

в нулевой сессии но и чтобы этот процес имел права администратора.

Дык смотри ссылки там имеется пример

Новые блоги и статьи Все статьи Все блоги /
10 пpимет, которые всегда сбываются Maks 31.03.2026 1. Чтобы, наконец, пришла маршрутка, надо закурить. Если сигарета последняя, маршрутка придет еще до второй затяжки даже вопреки расписанию. 2. Нaдоели зима и снег? Не надо переезжать. Достаточно. . .	Перемещение выделенных строк ТЧ из одного документа в другой Maks 31.03.2026 Реализация из решения ниже выполнена на примере нетипового документа "ВыдачаОборудованияНаСпецтехнику" с единственной табличной частью "ОборудованиеИКомплектующие" разработанного в конфигурации КА2. . . .	Functional First Web Framework Suave DevAlt 30.03.2026 Sauve. IO Апнулись до NET10. Из зависимостей один пакет, работает одинаково хорошо как в режиме проекта так и в интерактивном режиме. из сложностей - чисто функциональный подход. Решил. . .	Автоматическое создание документа при проведении другого документа Maks 29.03.2026 Реализация из решения ниже выполнена на нетиповых документах, разработанных в конфигурации КА2. Есть нетиповой документ "ЗаявкаНаРемонтСпецтехники" и нетиповой документ "ПланированиеСпецтехники". В. . .
Настройка движения справочника по регистру сведений Maks 29.03.2026 Решение ниже реализовано на примере нетипового справочника "ТарифыМобильнойСвязи" разработанного в конфигурации КА2, с целью учета корпоративной мобильной связи в коммерческом предприятии. . . .	Автозаполнение реквизита при выборе элемента справочника Maks 27.03.2026 Программный код из решения ниже на примере нетипового документа "ЗаявкаНаРемонтСпецтехники" разработанного в конфигурации КА2. При выборе "Спецтехники" (Тип Справочник. Спецтехника), заполняется. . .	Сумматор с применением элементов трёх состояний. Hrethgir 26.03.2026 Тут. https:/ / fips. ru/ EGD/ ab3c85c8-836d-4866-871b-c2f0c5d77fbc Первый документ красиво выглядит, но без схемы. Это конечно не даёт никаких плюсов автору, но тем не менее. . . всё может быть. . .	Автозаполнение реквизитов при создании документа Maks 26.03.2026 Программный код из решения ниже размещается в модуле объекта документа, в процедуре "ПриСозданииНаСервере". Алгоритм проверки заполнения реализован для исключения перезаписи значения реквизита,. . .

@slipp1 13 / 12 / 9 Регистрация: 09.11.2012 Сообщений: 367 Записей в блоге: 1

	Новый процес с админ правами из сервиса 16.11.2014, 22:52. Показов 1464. Ответов 10 Метки нет (Все метки) Создать новый процесс из сервиса: 1. от имени залогиненого пользователя 2. с правами администратора. Нужно чтобы запустить .msi в silent mode. с первым я справился CreateProcessAsUser + Token залогиненого юзера. Но не хватате прав администратора чтобы запустить .msi в silent mode (не в сайлент режиме поднимается UAC). как разрешить пользователю создавать процесс без поднятия UAC'a? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	17.11.2014, 20:59
	Тогда нужен другой пользователь, его имя и пароль. Либо чтобы был хотя бы один запущенный от его имени процесс. 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	18.11.2014, 16:50
	Не единственный. Но так или иначе, нужны либо имя/пароль пользователя (чтобы выполнить LogonUser и получить access token), либо хотя бы один процесс, запущенный от его имени (чтобы стырить токен оттуда). 0

@demmax2004 120 / 142 / 46 Регистрация: 31.10.2014 Сообщений: 721 Записей в блоге: 1
	21.11.2014, 06:47
	Так для ознакомления http://blogs.technet.com/b/ask... ation.aspx Ну и тут как запускать из 0 сессии http://stackoverflow.com/quest... -isolation http://blogs.msdn.com/b/winsdk... rvice.aspx http://blogs.msdn.com/b/winsdk... later.aspx 0