------------------------------------------------------------------------------


	ADMIN MENU
	http://www.axel-hahn.de/axel/page_compi/bat_runas.htm

    2006-02-04   Suche nach Domainuser mglich; Name der Admin-Gruppe editierbar
    2005-07-15   Beschreibung hinzugefgt: doch mit Explorer statt IE arbeiten
    2005-03-27   erste Version

------------------------------------------------------------------------------


--- Kurzbeschreibung:

Bat-Datei fr ein Men, um als unprivilegierter Benutzer dennoch Programme
(z.B. Systemsteuerung) als Administrator-Account zu starten.
Getestet wurde das Skript unter Windows XP.



--- Dateien dieses Paketes:

admin_menu.bat - das zu startende Skript
admin_menu.cfg - Konfigurationsdatei (Textfile)
readme.txt - diese Datei hier



--- Vorab:

(1) Ich hoffe, Sie arbeiten NICHT als Computeradministrator, geanu so wie es
Microsoft in seiner Hilfe empfiehlt.
(2) Der Dienst "Sekundre Anmeldung" muss gestartet sein, damit der Befehl
"runas" (gehrt zum Betriebssystem) arbeiten kann. Standardmssig ist dies
aber der Fall.
(3) ADMIN MEMU bentigt den Internet Explorer, um den Aufruf der Explorer.exe
zu ersetzen.



--- Installation:

Keine erforderlich: die 3 o.g. Dateien in ein Verzeichnis packen.



--- Problem: Programme als Administrator starten

Wenn man die Windows Hilfe (Start -> Hilfe & Support) aufruft, und nach
"runas" oder "Administrator" sucht, findet man die Anleitung: mit
gedrckter Umschalttaste die rechte Maustaste drcken und dann
"Ausfhren als" whlen...
In Win XP geht dies auch ohne die Umschalttaste, aber na gut...

Problematisch wird es dann, wenn man mal den Explorer, die
Systemsteuerung oder andere Systemtools als Administrator bentigt.
Manches lsst sich nicht auf diese Weise starten.

Die Explorer.exe bentigt bentigt ein Flag, um mit runas ausgefhrt werden
zu knnen und es braucht die Einstellung, den Explorer in jeweils einem
eigenen Prozess zu starten. Die Aufrufe fr Dateibrowser, Systemsteurung
und Co. lassen sich oftmals(*) jedoch auch ohne Manipulation des Systems
durch Verwendung des Internet Explorers lsen.

(*) s.u.: bekannte Probleme


--- Funktionsweise/ Bedienung:

Nach Start der BAT-Datei wird der aktuelle Account geprft, ob er
Administratorrechte besitzt. Wenn nicht, wird ein Benutzer abgefragt.
Die anschliessende Passwortabfrage stammt vom "runas" Befehl zum erneuten
Start der BAT-Datei unter dem angegebenen Benutzer. Die Eingabe erfolgt ohne
Anzeige der eingegebenen Zeichen.

Das nachfolgende Admin-Men erscheint in einem roten Fenster, damit man eine
optische Warnung hat. Die aufgelisteten Programme werden als Administrator
gestartet (der User wird angezeigt).

Achtung:
Wenn nach dem ersten Aufruf das Men im roten Fenster erscheint, dann
ist Ihr Benutzer ein lokaler Adminstrator. Das Skript funktioniert
gleichermassen, aber Sie sollten in Ihrem eigenen Interesse die
Benutzerberechtigungen anpassen. Mehr dazu erfahren Sie in der Windows-
Hilfe.

Zum Start eines Programmes ist das erste Zeichen einzugeben und mit [Enter]
zu besttigen - das ist nicht so sehr komfortabel, es ist
halt nur eine Bat-Datei ;-)
Angezeigt wird der Text "starte [Programmname]" - dieser Text bleibt bis
Ende des Programmes stehen.



--- Konfiguration

ffnen Sie "admin_menu.cfg" mit einem Texteditor Ihrer Wahl (Notepad).

(1) Administrator-Account vorgeben:
Um Tipparbeit zur der Eingabe eines Administrator-Accounts zu sparen,
kann mit der folgenden Zeile ein Benutzer vorgegeben werden:
set sAdminUser=[Benutzername]
Die Eingabe des Passwortes wird jedoch notwendig bleiben.
Auf dem heimischen PC ist das sicher unproblematisch; auf einem Firmen-PC
mchte ich von Verwendung dieser Funktionalitt abraten.

(2) Programme definieren
Im darunterfolgenden Abschnitt sind die angezeigten Men-Eintrge
konfiguriert. Pro Zeile sind angegeben:
- Eingabezeichen (es knnen durchaus mehrere Zeichen verwendet werden)
- angezeigter Programmname im Men
- zu startendes Kommando
Trenner ist das Zeichen : (Doppelpunkt). Wenn ein zu startendes Programm
Leerzeichen oder andere Sonderzeichen enthlt, muss man es quoten - in der
Konfigurationsdatei sind je 2 "-Zeichen zu verwenden. Der Internet Explorer
ist z.B. so gequotet enthalten.

Anbei einige CLSIDs, die man als Parameter verwenden kann:
{992CFFA0-F557-101A-88EC-00DD010CCC48} DF-Netzwerk
{FBF23B42-E3F0-101B-8488-00AA003E56F8} Internet Explorer
{645FF040-5081-101B-9F08-00AA002F954E} Papierkorb
{21EC2020-3AEA-1069-A2DD-08002B30309D} Systemsteuerung
{20D04FE0-3AEA-1069-A2D8-08002B30309D} Arbeitsplatz
{208D2C60-3AEA-1069-A2D7-08002B30309D} Netzwerk Nachbarschaft
{2227A280-3AEA-1069-A2DE-08002B30309D} Drucker
{00021400-0000-0000-C000-000000000046} Desktop
{00021401-0000-0000-C000-000000000046} Shortcut
{00020D75-0000-0000-C000-000000000046} PostEingang
{00028B00-0000-0000-C000-000000000046} The Microsoft Network
{450D8FBA-AD25-11D0-98A8-0800361B1103} Eigene Dateien
{D6277990-4C6A-11CF-8D87-00AA0060F5BF} Task Planer
{7BD29E00-76C1-11CF-9DD0-00A0C9034933} Temp. Internet Files
{BD84B380-8CA2-1069-AB1D-08000948F534} Schriftarten
{1A9BA3A0-143A-11CF-8350-444553540000} Favoriten



--- bekannte Probleme

(1)
Wenn der Aufruf des Internet Explorers mit diversen CLSID mit einer
Fehlermeldung quittiert wird, kann man den normalen Explorer verwenden,
indem man sich einmal unter Admin anmeldet, dort im Explorer den Befehl
"Extras/Ordneroptionen" aufruft und auf dem Register "Ansicht" die
Option "Ordnerfenster in einem eigenen Prozess starten" aktiviert.

Dann wieder als normaler Benutzer anmelden und das Admin-Men bearbeiten:
Hier ist mal als Punkt 2 der Arbeitsplatz mit dem normalen Explorer

(...)
1:Arbeitsplatz:""%ProgramFiles%\Internet Explorer\IEXPLORE.EXE""
::{20D04FE0-3AEA-1069-A2D8-08002B30309D}
2:Arbeitsplatz:EXPLORER.EXE ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}
(...)


(2)
Das Skript erkennt zunaechst nur den lokalen Administrator. Wenn man als
Domnenadministrator arbeitet, ist die Konfiguration zu ndern:

set sNetuserParam=/DOMAIN
set sAdminGroup=[Name der Admin-Gruppe]
z.B. set sAdminGroup=Domain Admins


--- EOF