Želite li dopustiti korisnicima sa standardnim računom pokretanje aplikacija s administrativnim ovlastima bez UAC-a ili traženja lozinke? Onda ću ti reći kako to učiniti. Stvorit ćemo prečac pomoću naredbe runas /savecred, koji pohranjuje lozinku. Napominjem da se ovo može smatrati sigurnosnom rupom - običan korisnik će moći koristiti runas / savecred za izvršavanje bilo koje naredbe kao administrator bez unosa lozinke. Međutim, to može biti korisno u nekim situacijama - na primjer, ako želite da vaše dijete sa standardnim računom može pokretati aplikacije kao administrator bez da vas to pita.
Omogući administratorski račun
Prije svega, morate omogućiti ugrađeni račun administrator, koji je prema zadanim postavkama onemogućen. Dakle, desnom tipkom miša kliknite prečac naredbenog retka i odaberite "Pokreni kao administrator".
U prozoru naredbenog retka koji se otvori pokrenite sljedeću naredbu:
net user administrator /aktivno:da
Račun je sada omogućen, iako bez lozinke. Za postavljanje lozinke otvorite upravljačku ploču, odaberite kategoriju Korisnički računi i obiteljska sigurnost, a zatim otvorite izbornik Korisnički računi. Zatim kliknite vezu "Upravljanje drugim računom".
Odaberite administratorski račun, kliknite na gumb Stvori lozinku i stvorite lozinku za administratorski račun.
Napravite oznaku
Sada ćemo napraviti prečac koji će pokrenuti aplikaciju s administratorskim ovlastima. Desnom tipkom miša kliknite radnu površinu, odaberite "Novo" i zatim kliknite na "Prečac".
U prozoru koji se otvori unesite sljedeću naredbu:
runas /korisnik: naziv računala\Administrator /savecred" C:\Put\Do\Program.exe“
Imajte na umu da morate zamijeniti naziv računala na naziv vašeg računala i C:\Put\Do\Program.exe do punog puta do programa koji želite pokrenuti. Na primjer, ako je naziv računala prijenosno računalo, a program koji želite pokrenuti je Auslogics BoostSpeed, unijeli biste sljedeću putanju:
runas /user:Laptop\Administrator /savecred “C:\Program Files\Auslogics\Auslogics BoostSpeed\BoostSpeed.exe"
U sljedećem prozoru unesite naziv prečaca. Po želji, možete odabrati ikonu za novi prečac - desnom tipkom miša kliknite na nju i odaberite "Svojstva".
U dijaloškom okviru "Svojstva" kliknite na gumb "Promijeni ikonu" i odaberite odgovarajuću.
Kada prvi put dvaput kliknete prečac, od vas će se tražiti lozinka za administratorski račun koji ste prethodno stvorili.
Ova lozinka će biti spremljena - sljedeći put kada pokrenete program, nećete je morati ponovno unositi.
Kao što je gore spomenuto, pod standardnim računima korisnici mogu pokrenuti bilo koji program s administratorskim pravima bez unosa lozinke (koristeći naredbu runas /savecred), pa imajte to na umu.
Lozinka administratora pohranjena je u "Upravitelju vjerodajnicama" - ako želite izbrisati spremljenu lozinku, možete to učiniti od tamo.
Često postoji situacija kada trebate pokrenuti cmd s administratorskim pravima. Međutim, to nije tako lako učiniti za nepripremljenog korisnika. Cijeli problem je u tome što se prema zadanim postavkama cmd pokreće kao trenutni korisnik, da biste ga pokrenuli kao administrator, morate se ili prijaviti kao administrator ili napraviti neki trik.
Postoji određena nijansa koju je potrebno učiniti prije pokretanja naredbenog retka kao administrator. Potrebno je provjeriti je li admin account uključen, ako je omogućen dodijeliti mu lozinku. Sada pogledajmo pobliže.
Najprije morate provjeriti imate li omogućen administratorski račun. Da biste to učinili, otvorite Upravljanje računalom”
idi do točke " Lokalni korisnici i grupe” — “Korisnici“. Kao što vidite, u mom slučaju račun " Administrator” je onemogućen (na ikoni visi strelica).
Dvaput kliknite da biste otvorili svojstva računa i poništite okvir " Onemogući račun”
kliknite " u redu“. Strelica s ikone administratorskog računa je nestala, što znači da je omogućen. Sada postavimo lozinku. Da biste to učinili, desnom tipkom miša kliknite račun " Administrator" i odaberite stavku izbornika " Postavi lozinku...”
U upozorenju o promjeni lozinke kliknite " Nastaviti” i dvaput unesite lozinku
Spreman! Sada imate administratorski račun i znate lozinku za njega. Prijeđimo na sljedeći korak.
Pokrenite CMD s administratorskim pravima
Otvorite naredbeni redak, za to pritisnemo " Početak” — “Trčanje“ ili tipkovnički prečac “ Win+R” i unesite naredbu cmd . U prozoru koji se otvori upišite sljedeće:
runas /profil /korisnik:mymachine\cmd admin
(Gdje moj stroj je naziv vašeg računala)
i pritisnite tipku Enter. Naredbeni redak će od vas tražiti administratorsku lozinku, unesite je i pričekajte da se naredbeni redak pokrene s administratorskim pravima. Sve bi bilo u redu, ali nakon unosa dobio sam grešku:
Ova greška se može pojaviti u dva slučaja. Prvo, unijeli ste krivu lozinku. Drugi je da sustav nikada nije bio prijavljen pod administratorskim računom (moja verzija).
Morate se odjaviti i prijaviti s administratorskim računom, pa sam i učinio
Sada se možete odjaviti i ponovno prijaviti sa svojim računom. Nakon što se prijavite sa svojim računom, pokušajte ponovo pokrenuti cmd kao administrator.
I evo! Drugi prozor naredbenog retka otvorio se pod administratorskim računom. Sada možete pregledavati imenike, pa čak i pokretati aplikacije kao administrator.
Dobar dan dragi posjetitelju. U današnjem članku predlažem da ne razmislite o uobičajenoj instalaciji i konfiguraciji poslužitelja i klijentskih stanica od samog početka, već o uobičajenom svakodnevnom životu administratora sustava. I razmotrit ćemo pokretanje određene aplikacije pod imenom administratora, razmotriti koja rješenja postoje i po čemu se razlikuju. Razlog zbog kojeg se administratori suočavaju s ovim problemom vrlo je jednostavan, u našoj IT outsourcing praksi nerijetko se susrećemo sa situacijom da neka aplikacija (osobito domaćih programera) nije UAC orijentirana, a zašto je tako, pitajte programere aplikacija. Testirat ćemo u virtualnom Hyper-V okruženju na virtualni stroj druge generacije sa sustavom Windows 8.1.
Raznolikost je prisutna
Razmotrit ćemo tri pomoćna programa:
RunAs - Pokreće određene alate i programe s dozvolama koje nisu dodijeljene trenutnim računom. Ovaj uslužni program nije treće strane, uključen je u isporuku Windows OS-a. Pomoć za uslužni program runas /?
Testirat ćemo na ugrađenom uslužnom programu msconfig.exe koji je uključen u Windows OS. Ovaj se uslužni program može pokrenuti samo s računa s administratorskim pravima.
PAŽNJA! Uslužni program će se pokrenuti pod računom administratora domene. U stvarnosti se to ne preporučuje, bolje je stvoriti zaseban račun za takve trenutke.
Dakle, pokušajmo upotrijebiti uređeni uslužni program RunAs, za to pokrećemo naredbeni redak i pišemo sljedeće
Imajte na umu da unesena lozinka neće biti prikazana
Nakon uspješnog unosa lozinke i naziva računa, otvorit će se prozor msconfig.exe
Kreirajmo sada prečac za pokretanje msconfig.exe s administratorskog računa.
Nakon uspješnog unosa lozinke pokrenut će se već poznati msconfig.exe.
Pitanje se postavlja samo po sebi, hoće li administrator dopustiti korisniku da zna lozinku za račun koji ima administratorska prava, čije je ime lako vidjeti u svojstvima prečaca?
Pa ipak, prilikom pokretanja prečaca, lozinku će trebati unijeti svaki put, što nije zgodno za korisnika, ako mu olakšate život pomoću parametra "/ savecred", tada ćete stvoriti ogroman sigurnosna rupa.
Evo primjera za stvaranje ogromne rupe:
Želite li olakšati život korisniku, dodajte parametar "/savecred"
Pokrećemo prečac i unosimo lozinku, prvi put kada vas uslužni program zatraži da unesete lozinku
Unesite lozinku i pozdravite se! Kada se ponovno pokrene, uslužni program neće zahtijevati lozinku, ili bolje rečeno, sada je uopće neće zahtijevati, pomislit ćete "Pa što!". I pokušajmo promijeniti pokrenuti uslužni program u svojstvima prečaca, na primjer, u cmd.exe.
Pokušavam trčati i...
"Jebati! Upravo je očistio arp predmemoriju." Mislim da ako koristite "/savecred", jedva da znate što je arp cache i da su vam potrebna administratorska prava da ga očistite.
Uslužni program ExecAs dizajniran je za pokretanje bilo kojeg programa s pravima koja nisu prava trenutnog korisnika. Može se koristiti za pokretanje programa Locker s administratorskim pravima s ograničenog računa. To vam omogućuje da spriječite operatere da pristupe datotekama baze podataka Locker programa i, općenito, da pokrenu neželjene programe osim Lockera.
Execas vrlo jednostavan uslužni program s kojim može raditi i školarac.
Njegova pozitivna osobina je jednostavnost.
Negativna značajka je nedostatak rada s računima domene.
Dakle, nakon stvaranja lokalnog računa s ograničenim pravima i računa s administratorskim pravima, pokrenimo ExecAs.
Prilikom prvog pokretanja, aplikacija vas odmah traži da unesete ime računa i lozinku, kao i da navedete put do aplikacije koju želite pokrenuti. Pokrenut ćemo cmd.exe s imenom lokalnog administratora. Imajte na umu da je račun koji se unosi naveden bez naziva stroja. Za dodavanje aplikacije kliknite na ikonu mape koja se nalazi na kraju retka "Program".
Pritisnemo "Snimi". Naša aplikacija će biti pod brojem 1.
Zatvorite ExecAs i pokrenite ga ponovno.
Kao što vidimo, cmd.exe se pokrenuo odmah pri pokretanju ExecAs-a. Činjenica je da ako imate jednu aplikaciju na popisu aplikacija za pokretanje u ExecAsu, onda će se ova aplikacija odmah pokrenuti, što je prilično dobro, ali ako imate više od jedne aplikacije, na primjer?
Otvorite cmd, idite u direktorij s aplikacijom ExecAs i pokrenite je s parametrom ispod
Sada možemo dodati još jednu aplikaciju, na primjer kalkulator
Sada ako zatvorimo i otvorimo ExecAs vidjet ćemo prozor iznad, to se ne bi trebalo dogoditi. Da biste to učinili, postoji parametar NN - broj programa koji se pokreće.
Kreirajmo dvije oznake, jednu za pokrenite cmd, još jedan za kalkulator.
Pokrenite oba prečaca
Ne zaboravite na broj programa koji se može promijeniti prilikom dodavanja programa za pokretanje, a koji se može vidjeti na popisu programa za pokretanje.
AdmiLink
AdmiLink je uslužni program pomoću kojeg Administrator može kreirati prečac koji ograničenim korisnicima omogućuje pokretanje određenog (bez mogućnosti zamjene!) programa s Administratorskim (ili bilo kojim drugim korisničkim) pravima bez (interaktivnog) unosa lozinke.
Tipična primjena programa AdmiLink je administracija sigurnih sustava u kojima korisnik uglavnom radi pod svojim ograničenim računom, a pod Administratorom se pokreću samo određene funkcije strogo ograničene od strane Administratora, bez poznavanja njegove lozinke i nemogućnosti pokretanja druge, neovlaštene programe.
Još jedan tipičan primjer je korištenje AdmiLinka za pokretanje potencijalno opasnih programa, kao što su web-preglednik, sa smanjenim pravima bez unosa lozinke. Na primjer, kako biste izbjegli zarazu stroja virusom, možete pokrenuti web preglednik pod ograničenim korisničkim računom, što dramatično smanjuje mogućnost oštećenja sustava. Kako ne biste svaki put unosili lozinku ograničenog korisnika, možete napraviti prečac na radnoj površini za pokretanje web preglednika pod ograničenim korisnikom.
Kako radi Admilink
Paket uključuje dva programa: AdmiRun i AdmiLink.
AdmiRun je jednostavan konzolni zadatak koji može raditi samo jednu stvar - pokretati druge programe u ime Administratora (ili bilo kojeg drugog korisnika). Tijekom instalacije AdmiRun se kopira u Windows direktorij tako da mu se može pristupiti iz bilo kojeg direktorija. AdmiRun može raditi iu batch modu (u skupne datoteke), te za interaktivno pokretanje programa (putem prečaca na radnoj površini). Format poziva može se dobiti upisivanjem AdmiRun /? Naravno, za pokretanje programa kao administrator morate znati lozinku. S druge strane, iz sigurnosnih razloga nemoguće je otvoreno prenijeti lozinku jer u protivnom cijeli sigurnosni sustav gubi smisao. Rješenje je prijenos kriptiranog računa (račun = korisnik + domena + lozinka). AdmiRun prima račun prkosno otvoreno, preko naredbenog retka, ali se iz njega ništa ne može razumjeti - račun se prenosi kao šifrirani ključ. Ključ je vezan uz određenu izvršnu datoteku, bez te datoteke AdmiRun jednostavno neće moći dešifrirati račun. Stoga, ako korisnik pokuša pokrenuti drugi program s istim ključem, neće uspjeti. Štoviše, kako bi život hakera bio zabavniji, ključevi se generiraju pomoću slučajnih brojeva i nikada se ne ponavljaju.
Dakle, nakon instaliranja AdmiLinka, savjetujem vam da poništite stvaranje svih prečaca tijekom instalacije i pokrenete uslužni program samo iz direktorija u kojem je instaliran, pokrećući AdmiLink.
1) U polju "Postavite naziv izvršne datoteke programa od interesa", navedite stazu klikom na ikonu diskete. U našem slučaju to će biti cmd.exe
2) Polje "Postavi naredbeni redak za izvršnu datoteku" ostavite prazno.
Ovaj korak nije obavezan ako nema parametara. Također, imajte na umu da možete odrediti vezanje enkripcije računa na naredbeni redak, tako da ne možete dobiti administratorska prava promjenom parametara naredbenog retka u prečacu.
Na primjer, kada pravite prečac c:\windows\system32\control.exe timedate.cpl za ispravljanje sistemskog vremena, ne zaboravite priložiti enkripciju na naredbeni redak, inače uređivanjem prečaca možete pokrenuti npr. , c:\windows\system32\control.exe nusrmgr.cpl i dobiti pristup upravljanju korisnicima, što nikako nije dobro.
3) Polje "Postavite početni direktorij programa koji će se pokrenuti..." obično se popunjava automatski
4) Postavite način prikaza prozora programa.
- SHOW - pokretanje programa vidljivog na ekranu. Ovaj normalni mod za interaktivne programe.
- SAKRIJ - pokreni program koji nije vidljiv na ekranu. Ovo je način rada za pomoćne programe koji rade u pozadini.
Idite na karticu "Račun".
5) U polju "Naziv domene" navedite NetBios naziv ili puni naziv domene, u našem slučaju test.lan.
6) U polje "Korisničko ime" možemo unijeti Administrator ili kliknuti "..." za odabir računa.
7) Unesite lozinku i njezinu potvrdu te kliknite "Test".
Pritisnemo bilo koju tipku. Ako se pojavi poruka "Račun je dobar za korištenje", onda je sve u redu i nastavite dalje.
8) Kliknite "Generate AdmiRun launch key", bez ovog ključa, pokretanje aplikacije neće uspjeti.
9) Idite na karticu "Veza" i dodijelite naziv prečacu
10) Postavite direktorij, i ne zaboravite na račun pod kojim je pokrenut AdmiLink
11) Postavite indeks datoteke i slike za prečac. Ovo polje se obično popunjava automatski. Prema zadanim postavkama, pretpostavlja se da je slika preuzeta iz izvršne datoteke programa s indeksom 0.
12) Pritisnite "Generiraj naredbeni redak" i pogledajte čarobnu abrakadabru
13) Kliknite "Stvori prečac sada"
Nakon klika na "Create Label Now", naljepnica se stvara i sva se polja poništavaju.
Pokretanje prečaca
Pokušajmo promijeniti pokrenuti program u svojstvima prečaca, na primjer, na kalkulator
Pokušajmo pokrenuti prečac
Imajte na umu da vezanje na MAC, IP i naredbeni redak nije izvršeno.
Do zaključka. Ne zaboravite to u pokrenuti program s administratorskim pravima možete otvoriti karticu "Datoteka", ako je, naravno, i raditi što god želite s OS-om. Ovo je više sigurnosni problem za OS, stoga budite oprezni.
Svi ljudi, mir s vama!
Neki programi na Windows 7 ili Windows 8 zahtijevaju više prava i pokreću se samo kao administrator.
Za pokretanje programa kao administrator svakako morate znati lozinku ako ste prijavljeni pod standardnim korisničkim računom, inače nećete moći dovršiti ovaj postupak.
To nije sve. Možete se prijaviti u Windows 7 ili Windows 8 kao administrator, neki programi će i dalje davati pogrešku, na primjer, "Run time error 10".
To se rijetko događa, ali se događa. Zatim morate dodatno potvrditi administratorska prava.
To je lako učiniti, bez obzira na Windows koji se koristi: Windows 7 ili Windows 8 ili čak Windows 10.
Da biste to učinili, kliknite desnom tipkom miša ili, ako imate prijenosno računalo, na dodirnoj podlozi, odnosno na prečacu programa koji se pokreće.
Nakon toga će se na monitoru računala ili prijenosnog računala pojaviti prozor s kontekstnim izbornikom.
U njemu, gotovo na samom vrhu, kliknite na liniju pokrenuti kao administrator, kao na slici ispod.
Kako uvijek pokrenuti program s administratorskim ovlastima
Ako često koristite program koji zahtijeva administratorska prava, ne morate uvijek pozivati kontekstni izbornik.
Ova se operacija može postaviti na "automatski", a zatim pokrenuti program kao i obično.
Da biste to učinili, desnom tipkom miša kliknite prečac i u izborniku koji se pojavi kliknite na redak "svojstva" (na samom dnu).
Nakon toga, na samom vrhu kliknite na liniju "kompatibilnost" iu kartici koja se pojavi stavite ptičicu ispred linije: "pokreni ovaj program kao administrator", zatim (na samom dnu) "primijeni" i "OK".
Sada će uvijek raditi s odgovarajućim pravima bez vaše intervencije.
Ovdje ćete, kao iu prvom slučaju, trebati lozinku ako ste prijavljeni na svoj račun kao obični korisnik.
Obično aplikacije u sustavu Windows 8 (8.1) zahtijevaju više prava, sedam je jednostavniji u tom pogledu.
Kako biste malo olakšali korištenje računala, možete promijeniti postavke kontrole korisničkog računa.
Postoji klizač - spustite ga do samog dna, tada će sustav biti manje izbirljiv. Sretno.
