Cómo configurar una directiva de grupo para permitir registrar librerías DLL

Podrías crearles un acceso directo que abra una ventana de comandos
(cmd.exe) con RunAs y desde ahí registren la librería. El acceso directo
debería ejecutar el comando:

runas /user:administrador /savedcred cmd.exe

La primera vez que hagan doble click sobre ese acceso directo, les pedirá la
contraseña del usuario admintrador; a partir de entonces será abierta sin
solicitarla. Por si te interesa ampliar en este tema:

Por favor, no inicies sesión como administrador, utiliza RunAs
http://freyes.svetlian.com/RunAs/RunAs.htm

Una tentación (más bien error) entre desarrolladores es el trabajar con
usuarios que son administradores locales, para así poder registrar
librerías, por ejemplo. Esto tiene un peligro: de forma inconsciente pueden
acabar desarrollando programas que requieren que el usuario sea
administrador local, pues programan de una forma despreocupada con ese tema.
Si trabajan con usuarios normales y el programa funciona, éste será usable
por cualquier tipo de usuarios, no sólo administradores. ¡A estas alturas
todavía te encuentras programas destinados al usuario que requieren ser
administradro para que funcionen! Eso es, ni más ni menos, una chapuza.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Ronald Espinosa" escribió en el mensaje de noticias
news:%23U$

Muchas gracias por tu respuesta Desiderio,

Me faltó explicar que ellos son los que deben hacer los registros de las
DLL's, esto es una casa de software y constantemente necesitamos
actualizarles componentes que se encuentran de librerías DLL, por lo tanto
lo que ellos hacen es ejecutar el comando REGSVR32 <NombreLibreria.dll>.

Tienes alguna otra alternativa ?

Fernando, que bueno lo del modificador /savedcred, no tenía ni idea...

Si el usuario no conoce el password del administrador es posible utilizar
una herramienta similar, como lsrunase, es como el RUNAS de windows, pero
permite pasarle por parametro el password del administrador encriptado, de
forma que aunque el usuario vea el password no podrán utilizarlo.

Saludos,

"Fernando Reyes [MS MVP]"
escribió en el mensaje
news:

Podrías crearles un acceso directo que abra una ventana de comandos
(cmd.exe) con RunAs y desde ahí registren la librería. El acceso directo
debería ejecutar el comando:

runas /user:administrador /savedcred cmd.exe

La primera vez que hagan doble click sobre ese acceso directo, les pedirá

la

contraseña del usuario admintrador; a partir de entonces será abierta sin
solicitarla. Por si te interesa ampliar en este tema:

Por favor, no inicies sesión como administrador, utiliza RunAs
http://freyes.svetlian.com/RunAs/RunAs.htm

Una tentación (más bien error) entre desarrolladores es el trabajar con
usuarios que son administradores locales, para así poder registrar
librerías, por ejemplo. Esto tiene un peligro: de forma inconsciente

pueden

acabar desarrollando programas que requieren que el usuario sea
administrador local, pues programan de una forma despreocupada con ese

tema.

Si trabajan con usuarios normales y el programa funciona, éste será usable
por cualquier tipo de usuarios, no sólo administradores. ¡A estas alturas
todavía te encuentras programas destinados al usuario que requieren ser
administradro para que funcionen! Eso es, ni más ni menos, una chapuza.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Ronald Espinosa" escribió en el mensaje de

noticias

news:%23U$
> Muchas gracias por tu respuesta Desiderio,
>
> Me faltó explicar que ellos son los que deben hacer los registros de las
> DLL's, esto es una casa de software y constantemente necesitamos
> actualizarles componentes que se encuentran de librerías DLL, por lo

tanto

> lo que ellos hacen es ejecutar el comando REGSVR32 <NombreLibreria.dll>.
>
> Tienes alguna otra alternativa ?
>

Lo malo de usar /savedcred es que almacena la contraseña no sólo para ese
acceso directo, si no para cada llamada que se haga a runas con ese usuario
usando /savedcred. Es decir, despues de abrir la ventana de comandos que
dijimos, si un usuario listillo pone:

runas /user:administrador /savedcred "mmc compmgmt.msc"

podrá abrir como administrador la consola de administración del equipo,
donde podrá hacer "muchas cositas malas". Con esa utilidad que tu dices les
puedes distribuir el acceso directo y, aunque la contraseña esté encriptada,
podrás usar la dupla de usuario contraseña encriptada en subsiguientes
llamadas a Lsrunas, con lo que el efecto es el mismo. La única ventaja que
le veo a ese programa es que te permiteautomatizar un acceso directo que
abra algo como administrador, no es necesario que vayas tecleando la
contraseña una primera vez en cada equipo.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Albert Higueras" escribió en el mensaje de
noticias news:

Fernando, que bueno lo del modificador /savedcred, no tenía ni idea...

Si el usuario no conoce el password del administrador es posible utilizar
una herramienta similar, como lsrunase, es como el RUNAS de windows, pero
permite pasarle por parametro el password del administrador encriptado, de
forma que aunque el usuario vea el password no podrán utilizarlo.

Saludos,

"Fernando Reyes [MS MVP]"
escribió en el mensaje
news:

Podrías crearles un acceso directo que abra una ventana de comandos
(cmd.exe) con RunAs y desde ahí registren la librería. El acceso directo
debería ejecutar el comando:

runas /user:administrador /savedcred cmd.exe

La primera vez que hagan doble click sobre ese acceso directo, les pedirá

la

contraseña del usuario admintrador; a partir de entonces será abierta sin
solicitarla. Por si te interesa ampliar en este tema:

Por favor, no inicies sesión como administrador, utiliza RunAs
http://freyes.svetlian.com/RunAs/RunAs.htm

Una tentación (más bien error) entre desarrolladores es el trabajar con
usuarios que son administradores locales, para así poder registrar
librerías, por ejemplo. Esto tiene un peligro: de forma inconsciente

pueden

acabar desarrollando programas que requieren que el usuario sea
administrador local, pues programan de una forma despreocupada con ese

tema.

Si trabajan con usuarios normales y el programa funciona, éste será
usable
por cualquier tipo de usuarios, no sólo administradores. ¡A estas alturas
todavía te encuentras programas destinados al usuario que requieren ser
administradro para que funcionen! Eso es, ni más ni menos, una chapuza.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Ronald Espinosa" escribió en el mensaje de

noticias

news:%23U$
> Muchas gracias por tu respuesta Desiderio,
>
> Me faltó explicar que ellos son los que deben hacer los registros de
> las
> DLL's, esto es una casa de software y constantemente necesitamos
> actualizarles componentes que se encuentran de librerías DLL, por lo

tanto

> lo que ellos hacen es ejecutar el comando REGSVR32
> <NombreLibreria.dll>.
>
> Tienes alguna otra alternativa ?
>

Tienes razón, no habia caido en la posibilidad que comentas.
Con runas tambien se puede pasar el password, existe un complemento llamado
sanur para pasarle por parametro el pass.

http://www.commandline.co.uk/sanur_...index.html

Saludos,

"Fernando Reyes [MS MVP]"
escribió en el mensaje
news:

Lo malo de usar /savedcred es que almacena la contraseña no sólo para ese
acceso directo, si no para cada llamada que se haga a runas con ese

usuario

usando /savedcred. Es decir, despues de abrir la ventana de comandos que
dijimos, si un usuario listillo pone:

runas /user:administrador /savedcred "mmc compmgmt.msc"

podrá abrir como administrador la consola de administración del equipo,
donde podrá hacer "muchas cositas malas". Con esa utilidad que tu dices

les

puedes distribuir el acceso directo y, aunque la contraseña esté

encriptada,

podrás usar la dupla de usuario contraseña encriptada en subsiguientes
llamadas a Lsrunas, con lo que el efecto es el mismo. La única ventaja que
le veo a ese programa es que te permiteautomatizar un acceso directo que
abra algo como administrador, no es necesario que vayas tecleando la
contraseña una primera vez en cada equipo.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Albert Higueras" escribió en el mensaje de
noticias news:
> Fernando, que bueno lo del modificador /savedcred, no tenía ni idea...
>
> Si el usuario no conoce el password del administrador es posible

utilizar

> una herramienta similar, como lsrunase, es como el RUNAS de windows,

pero

> permite pasarle por parametro el password del administrador encriptado,

de

> forma que aunque el usuario vea el password no podrán utilizarlo.
>
> Saludos,
>
> "Fernando Reyes [MS MVP]"

> escribió en el mensaje
> news:
>> Podrías crearles un acceso directo que abra una ventana de comandos
>> (cmd.exe) con RunAs y desde ahí registren la librería. El acceso

directo

>> debería ejecutar el comando:
>>
>> runas /user:administrador /savedcred cmd.exe
>>
>> La primera vez que hagan doble click sobre ese acceso directo, les

pedirá

> la
>> contraseña del usuario admintrador; a partir de entonces será abierta

sin

>> solicitarla. Por si te interesa ampliar en este tema:
>>
>> Por favor, no inicies sesión como administrador, utiliza RunAs
>> http://freyes.svetlian.com/RunAs/RunAs.htm
>>
>> Una tentación (más bien error) entre desarrolladores es el trabajar con
>> usuarios que son administradores locales, para así poder registrar
>> librerías, por ejemplo. Esto tiene un peligro: de forma inconsciente
> pueden
>> acabar desarrollando programas que requieren que el usuario sea
>> administrador local, pues programan de una forma despreocupada con ese
> tema.
>> Si trabajan con usuarios normales y el programa funciona, éste será
>> usable
>> por cualquier tipo de usuarios, no sólo administradores. ¡A estas

alturas

>> todavía te encuentras programas destinados al usuario que requieren ser
>> administradro para que funcionen! Eso es, ni más ni menos, una chapuza.
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://urpiano.wordpress.com
>> RSS: http://urpiano.wordpress.com/feed
>> freyes.champú@champú.mvps.org
>> (Aclárate la cabeza si quieres escribirme)
>>
>>
>> "Ronald Espinosa" escribió en el mensaje de
> noticias
>> news:%23U$
>> > Muchas gracias por tu respuesta Desiderio,
>> >
>> > Me faltó explicar que ellos son los que deben hacer los registros de
>> > las
>> > DLL's, esto es una casa de software y constantemente necesitamos
>> > actualizarles componentes que se encuentran de librerías DLL, por lo
> tanto
>> > lo que ellos hacen es ejecutar el comando REGSVR32
>> > <NombreLibreria.dll>.
>> >
>> > Tienes alguna otra alternativa ?
>> >
>>
>
>

Está muy bien tambien peeeero ¡dejas la contraseña en el acceso directo!
Este sanur lo veo bien para cuando haces un bat, siempre y cuando los
usuarios no lo puedan leer. Se podría fortalecer usando un VBScript que
llamase por medio del objeto Shell una línea de runas |sanur, y encriptando
el vbs com vbe, pero eso sigue siendo débil, pues desencriptar un vbe es una
tarea de niños:

Encriptación de Scripts VBScript: SCRENC.EXE
http://urpiano.wordpress.com/2006/1...screncexe/

La verdad es que los desarrolladores es para echarles de comer a parte, o te
fías de su competencia en el trato de su equipo como administradores (al
menos , si no saben mucho, que no sean aventureros) o tienes que hçestar
pasando por sus equipos haciendo tareas administrativas cada vez que lo
requieran (o les haces administradores locales, cosa nada recomendable; yo
no soy administrador ni de mi propio equipo, uso RunAs para hacer las cosas,
de hecho, ni siquiera me logo nunca como administrador del domino en un
equipo, para que no vaya a quedar su contraseña cacheada).
Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Albert Higueras" escribió en el mensaje de
noticias news:

Tienes razón, no habia caido en la posibilidad que comentas.
Con runas tambien se puede pasar el password, existe un complemento
llamado
sanur para pasarle por parametro el pass.

http://www.commandline.co.uk/sanur_...index.html

Saludos,

"Fernando Reyes [MS MVP]"
escribió en el mensaje
news:

Lo malo de usar /savedcred es que almacena la contraseña no sólo para ese
acceso directo, si no para cada llamada que se haga a runas con ese

usuario

usando /savedcred. Es decir, despues de abrir la ventana de comandos que
dijimos, si un usuario listillo pone:

runas /user:administrador /savedcred "mmc compmgmt.msc"

podrá abrir como administrador la consola de administración del equipo,
donde podrá hacer "muchas cositas malas". Con esa utilidad que tu dices

les

puedes distribuir el acceso directo y, aunque la contraseña esté

encriptada,

podrás usar la dupla de usuario contraseña encriptada en subsiguientes
llamadas a Lsrunas, con lo que el efecto es el mismo. La única ventaja
que
le veo a ese programa es que te permiteautomatizar un acceso directo que
abra algo como administrador, no es necesario que vayas tecleando la
contraseña una primera vez en cada equipo.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Albert Higueras" escribió en el mensaje de
noticias news:
> Fernando, que bueno lo del modificador /savedcred, no tenía ni idea...
>
> Si el usuario no conoce el password del administrador es posible

utilizar

> una herramienta similar, como lsrunase, es como el RUNAS de windows,

pero

> permite pasarle por parametro el password del administrador encriptado,

de

> forma que aunque el usuario vea el password no podrán utilizarlo.
>
> Saludos,
>
> "Fernando Reyes [MS MVP]"

> escribió en el mensaje
> news:
>> Podrías crearles un acceso directo que abra una ventana de comandos
>> (cmd.exe) con RunAs y desde ahí registren la librería. El acceso

directo

>> debería ejecutar el comando:
>>
>> runas /user:administrador /savedcred cmd.exe
>>
>> La primera vez que hagan doble click sobre ese acceso directo, les

pedirá

> la
>> contraseña del usuario admintrador; a partir de entonces será abierta

sin

>> solicitarla. Por si te interesa ampliar en este tema:
>>
>> Por favor, no inicies sesión como administrador, utiliza RunAs
>> http://freyes.svetlian.com/RunAs/RunAs.htm
>>
>> Una tentación (más bien error) entre desarrolladores es el trabajar
>> con
>> usuarios que son administradores locales, para así poder registrar
>> librerías, por ejemplo. Esto tiene un peligro: de forma inconsciente
> pueden
>> acabar desarrollando programas que requieren que el usuario sea
>> administrador local, pues programan de una forma despreocupada con ese
> tema.
>> Si trabajan con usuarios normales y el programa funciona, éste será
>> usable
>> por cualquier tipo de usuarios, no sólo administradores. ¡A estas

alturas

>> todavía te encuentras programas destinados al usuario que requieren
>> ser
>> administradro para que funcionen! Eso es, ni más ni menos, una
>> chapuza.
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://urpiano.wordpress.com
>> RSS: http://urpiano.wordpress.com/feed
>> freyes.champú@champú.mvps.org
>> (Aclárate la cabeza si quieres escribirme)
>>
>>
>> "Ronald Espinosa" escribió en el mensaje de
> noticias
>> news:%23U$
>> > Muchas gracias por tu respuesta Desiderio,
>> >
>> > Me faltó explicar que ellos son los que deben hacer los registros de
>> > las
>> > DLL's, esto es una casa de software y constantemente necesitamos
>> > actualizarles componentes que se encuentran de librerías DLL, por lo
> tanto
>> > lo que ellos hacen es ejecutar el comando REGSVR32
>> > <NombreLibreria.dll>.
>> >
>> > Tienes alguna otra alternativa ?
>> >
>>
>
>