Бажаєте дозволити користувачам зі стандартним обліковим записом запускати програми з правами адміністратора без UAC або запиту на введення пароля? Тоді я розповім, як це зробити. Ми створимо ярлик, який використовує команду runas/savecredяка зберігає пароль. Зауважу, що це можна вважати дірою в безпеці – звичайний користувач зможе використовувати runas / savecred для виконання будь-якої команди від імені адміністратора без введення пароля. Тим не менш, в деяких ситуаціях це може бути корисно – наприклад, якщо ви хочете, щоб ваша дитина з-під стандартного облікового запису могла запускати програми від імені адміністратора не питаючи вас.
Включаємо обліковий запис адміністратора
Насамперед необхідно включити вбудовану обліковий записадміністратора, яка за замовчуванням відключена. Отже, клацніть правою кнопкою миші по ярлику командного рядка та оберіть «Запустити від імені адміністратора».
У вікні командного рядка виконайте наступну команду:
net user administrator /active:yes
Тепер обліковий запис увімкнено, хоча і без пароля. Щоб встановити пароль, відкрийте «Панель керування, виберіть категорію «Облікові записи користувачів та сімейна безпека», а потім відкрийте меню «Облікові записи користувачів». Далі клацніть на посилання «Управління іншим обліковим записом».
Виберіть обліковий запис адміністратора, натисніть кнопку «Створити пароль» і створіть пароль для облікового запису адміністратора.
Створюємо ярлик
Тепер ми створимо ярлик, який запускатиме додаток з адміністраторськими привілеями. Клацніть правою кнопкою миші на робочому столі, виберіть пункт "Створити", а потім натисніть "Ярлик".
У вікні потрібно ввести команду наступного типу:
runas /user: ComputerName\Administrator /savecred “ C:\Path\To\Program.exe“
Зверніть увагу, що вам необхідно замінити ComputerNameна ім'я вашого комп'ютера, а C:\Path\To\Program.exeна повний шлях до програми ви хочете запустити. Наприклад, якщо ім'я комп'ютера Laptop, а програмою, яку ви хочете запустити, є Auslogics BoostSpeed, вам необхідно ввести наступний шлях:
runas /user:Laptop\Administrator /savecred “C:\Program Files\Auslogics\Auslogics BoostSpeed\BoostSpeed.exe"
У наступному вікні введіть ім'я ярлика. За бажанням можна вибрати іконку для нового ярлика – клацніть правою кнопкою миші по ньому і виберіть пункт «Властивості».
У діалоговому вікні «Властивості» натисніть кнопку «Змінити значок» та виберіть відповідний.
Коли ви вперше двічі клацніть по ярлику, вам буде запропоновано ввести пароль від облікового запису адміністратора, який ви створили раніше.
Цей пароль буде збережено – наступного разу, коли ви запускатимете програму, вам уже не доведеться вводити його знову.
Як вже згадувалося вище, з-під стандартних облікових записів користувачі можуть запускати будь-які програми з правами адміністратора без введення пароля (за допомогою команди runas /savecred), так що майте це на увазі.
Пароль адміністратора зберігається в диспетчері облікових даних – якщо ви хочете видалити збережений пароль, ви можете зробити це звідти.
Часто виникає ситуація, коли необхідно запустити cmd з правами адміністратора. Однак не так це просто зробити непідготовленому користувачеві. Вся проблема в тому, що за умовчанням cmd запускається від імені поточного користувача, для запуску від імені адміністратора, потрібно або зайти в систему під логіном адміна, або зробити якусь хитрість.
Є певний нюанс, який потрібно виконати перед тим, як запускати командний рядок від імені адміністратора. Потрібно перевірити чи увімкнено обліковий запис адміну, якщо включено присвоїти їй пароль. А тепер давайте розберемося докладніше.
Для початку потрібно перевірити, чи у вас обліковий запис адміністратора. Для цього відкриваємо “ Керування комп'ютером”
переходимо до пункту “ Локальні користувачі та групи” — “Користувачі“. Як бачите, в моєму випадку обліковий запис “ Адміністратор” вимкнено (на іконці висить стрілка).
Подвійним кліком відкриваємо властивості облікового запису та знімаємо галку з пункту “ Вимкнути обліковий запис”
Тиснемо “ ОК“. Стрілка з іконки адмінського обліку зникла, отже, вона включена. Тепер встановимо пароль. Для цього натисніть правою кнопкою мишки на обліковий запис “ Адміністратор” та виберіть пункт меню “ Задати пароль…”
На попередження про зміну пароля, натисніть “ Продовжити” і двічі введіть пароль
Готово! Тепер у вас є обліковий запис адміністратора, і ви знаєте пароль до неї. Перейдемо до наступного етапу.
Запускаємо CMD з правами адміністратора
Відкриваємо командний рядок, для цього тиснемо “ Пуск” — “Виконати", або поєднання клавіш" Win+R” та введіть команду cmd. У вікні напишіть наступне:
runas /profile /user:mymachine\Адміністратор cmd
(де mymachine– це ім'я вашого комп'ютера)
та натисніть клавішу Enter. Командний рядок запросить пароль адміністратора, введіть його і дочекайтеся запуску командного рядка з правами адміністратора. Все було б добре, але в мене після введення вилетіла помилка:
Така помилка може виникнути у двох випадках. Перший – ви ввели неправильний пароль. Другий - жодного разу не було виконано входу в систему під обліковим записом адміністратора (мій варіант).
Потрібно вийти з системи і увійти до неї з облікового запису адміністратора, так я і зробив
Тепер можна виходити і знову увійти під своїм обліковим записом. Як тільки увійдете під своїм обліковим записом, спробуйте ще раз запустити cmd під адміністратором.
І вуаля! Відкрилося друге вікно командного рядка з-під облікового запису адміністратора. Тепер можна переглядати каталоги, і навіть запускати програми від імені адміністратора.
Доброго часу доби шановний відвідувач. У сьогоднішній статті я пропоную тобі розглянути ні як зазвичай установку та конфігурування серверів та клієнтських станцій із самого початку, а звичайні будні системного адміністратора. А розглядатимемо ми запуск певного додатка з-під імені адміністратора, розглянемо які існують рішення і чим вони відрізняються. Причиною, через яку адміністратори стикаються з цією проблемою досить проста, в нашій практикі іт-аутсорсингу, ми досить часто стикаємося з ситуацією, коли програма (особливо вітчизняних розробників) не орієнтована на UAC, а чому так, запитайте у розробників додатка. Тестуватимемо у віртуальному середовищі Hyper-V на віртуальній машинідругого покоління з Windows 8.1.
Різноманітність присутня
Розглядатимемо ми три утиліти:
RunAs - запускає конкретні кошти та програми з дозволами, відмінними від тих, які надає поточний обліковий запис. Ця утиліта не є сторонньою, вона входить у постачання Windows. Довідка про утиліту runas /?
Тестуватимемо на вбудованій утиліті msconfig.exe, яка входить до Windows. Запуск цієї утиліти здійснюється лише з облікового запису, що мають права адміністратора.
УВАГА! Запуск утиліти буде здійснено з-під облікового запису доменного адміністратора. У реалії не рекомендується цього робити, краще створити окремий обліковий запис для таких моментів.
Отже, спробуємо скористатися влаштованою утилітою RunAs, для цього запустимо командний рядок і напишемо наступне
Зазначу, що пароль, що вводиться, не відображатиметься
Після вдалого введення пароля та імені облікового запису відкриється вікно msconfig.exe
Тепер створимо ярлик для запуску msconfig.exe з-під облікового запису адміністратора.
Після успішного введення пароля запуститься вже відомий msconfig.exe.
Питання напрошується саме собою, чи дозволить адміністратор, користувачеві знати пароль від облікового запису права адміністратора, ім'я від якого легко подивитися у властивостях ярлика?
І ще, пароль при запуску ярлика потрібно буде вводити щоразу, що не зручно для користувача, якщо ви заходите полегшити життя йому, використовуючи параметр /savecred, то ви створите величезну дірку в системі безпеки.
Ось приклад для створення величезної дірки:
Ви захотіли полегшити життя користувачеві, додаємо параметр «/savecred»
Запускаємо ярлик та вводимо пароль, при першому запуску утиліта пропонує ввести пароль
Вводимо пароль і говоримо прощай! При повторному запуску утиліта не вимагатиме пароль, а точніше вона тепер взагалі його не вимагатиме, ви подумаєте «Ну і що!». А давайте спробуємо у властивостях ярлика змінити утиліту, що запускається, наприклад, на cmd.exe.
Намагаємося запустити та ….
"Мати твою! Він щойно почистив arp-кеш». Я думаю, якщо ви використовуєте "/savecred", то ви навряд чи знаєте, що таке arp-кеш і що для його очищення потрібні права адміністратора.
Утиліта ExecAs призначена для запуску будь-яких програм із правами, відмінними від прав поточного користувача. Можна використовувати для запуску програми Locker з правами адміністратора з-під обмеженого облікового запису. Це дозволяє заборонити операторам доступ до файлів бази даних програми Locker та взагалі до запуску будь-яких небажаних програм крім Locker-a.
ExecAs дуже проста утиліта, з якою зможе працювати навіть школяр
Позитивною рисою є її простота.
Негативною рисою є відсутність роботи з доменними обліковими записами.
Отже, після створення локального вченого запису з обмеженими правами та облікового запису з права адміністратора, запустимо ExecAs.
При першому запуску, програма відразу пропонує ввести ім'я облікового запису та пароль, а також вказати шлях до програми, яку потрібно запустити. Запускатимемо cmd.exe про ім'я локального адміністратора. Слід зазначити, що обліковий запис, що вводиться, вказується без імені машини. Щоб додати програму, натискаємо на значок папки, який знаходиться в кінці рядка «Програма».
Натискаємо "Записати". Наша програма буде під номером 1.
Закриваємо ExecAs і знову запускаємо.
Як бачимо, cmd.exe відразу запустилося під час запуску ExecAs. Справа в тому, що якщо у вас одна програма в списку програм, що запускаються в ExecAs, то ця програма буде відразу запускатися, це досить добре, але якщо у вас наприклад, більше одного програми?
Відкриваємо cmd, переходимо в каталог із додатком ExecAs, і запускаємо його з параметром нижче
Тепер ми можемо додати ще одну програму, наприклад калькулятор
Тепер якщо ми закриємо та відкриємо ExecAs, ми побачимо вікно вище, цього не має статися. Для цього є параметр NN – номер програми, що запускається.
Створимо два ярлики, один для запуску cmd, інший для калькулятора.
Запускаємо обидва ярлики
Не забуваємо про номер програми, який можна змінювати при додаванні програми, що запускається, і який можна подивитися в списку програм, що запускаються.
AdmiLink
AdmiLink - утиліта, за допомогою якої Адміністратор може створити ярлик, що дозволяє користувачам з обмеженими правами запускати конкретну (без можливості підміни!) програму з правами Адміністратора (або будь-якого іншого користувача) без (інтерактивного) введення пароля.
Типовим застосуванням програми AdmiLink є адміністрування захищених систем, в яких користувач працює в основному під своїм обмеженим обліковим записом, і лише окремі, суворо обмежені Адміністратором функції запускає під Адміністратором, не знаючи його пароля та не маючи можливості запускати інші, несанкціоновані програми.
Іншим типовим прикладом є використання AdmiLink для запуску потенційно небезпечних програм, наприклад, Web браузера, зі зниженими правами без введення пароля Так, щоб уникнути зараження машини вірусом, можна запускати Web браузер під обліком обмеженого користувача, що різко знижує ймовірність пошкодження системи. Щоб не вводити пароль обмеженого користувача щоразу, на Робочому Столі можна зробити ярлик для запуску Webбраузера під обмеженим користувачем
Як працює AdmiLink
До складу пакету входить дві програми: AdmiRun та AdmiLink.
AdmiRun - просте консольне завдання, яке вміє лише одне - запускати інші програми від імені Адміністратора (або будь-якого іншого користувача). При інсталяції AdmiRun копіюється до каталогу Windows, щоб бути доступним у будь-якому каталозі. AdmiRun може працювати як у пакетному режимі (у командних файлах), так і для інтерактивного запуску програм (через ярлик на робочому столі). Формат виклику можна отримати, набравши AdmiRun/? Очевидно, для запуску програм від імені Адміністратора потрібно знати пароль. З іншого боку, з міркувань безпеки відкрито передавати пароль не можна, інакше вся система захисту втрачає сенс. Вихід полягає у передачі зашифрованого облікового запису (обліковий запис = користувач + домен + пароль). Обліковий запис AdmiRun отримує демонстративно відкрито через командний рядок, проте зрозуміти з нього нічого не можна - обліковий запис передається як зашифрований ключ. Ключ прив'язаний до конкретного файлу, без цього файлу AdmiRun просто не зможе розшифрувати обліковий запис. Тому якщо користувач спробує запустити іншу програму з таким самим ключем, він зазнає невдачі. Більше того, щоб зробити життя хакерів веселіше, ключі генеруються з використанням випадкових чиселі ніколи не повторюються.
Отже, після встановлення AdmiLink, раджу при установці прибрати галочку зі створення всіх ярликів і запускати утиліту тільки з каталогу, де вона встановлена, запускам AdmiLink.
1) У полі «Задати ім'я виконуваного файлу програми, що цікавить» вкажемо шлях, натиснувши на значок дискети. У нашому випадку, це буде cmd.exe
2) Поле «Задати командний рядок для файлу, що виконується» залишимо порожнім.
Цей крок є обов'язковим, якщо параметри відсутні. Крім того, майте на увазі, що можна вказати прив'язку шифрування облікового запису до командному рядку, щоб не можна було отримати права адміністратора, підмінивши параметри командного рядка в ярлику.
Наприклад, роблячи ярлик c:\windows\system32\control.exe timedate.cpl для корекції системного часу, не забудьте прив'язати шифрування до командного рядка, інакше, відредагувавши ярлик, можна буде запустити, наприклад, c:\windows\system32\control. exe nusrmgr.cpl і отримати доступ до управління користувачами, що зовсім недобре.
3) Поле «Задати стартовий каталог програми, що запускається…» зазвичай заповнюється автоматично
4) Задати режим відображення вікна програми.
- SHOW - запускати програму, яка відображається на екрані. Це звичайний режимдля інтерактивних програм.
- HIDE – запускати програму, не видиму на екрані. Це режим для службових програм, які працюють у фоновому режимі.
Переходимо на вкладку «Accout»
5) У полі "Ім'я домену" вказуємо NetBios ім'я або повне ім'я домену, у нашому випадку test.lan.
6) У полі "Ім'я користувача" можемо вписати Адміністратор або натиснути "..." для вибору облікового запису.
7) Вводимо пароль та його підтвердження та тиснемо «Тестувати».
Натискаємо будь-яку клавішу. Якщо з'явилося повідомлення "Account is good to use" означає все добре і йдемо далі.
8) Тиснемо "Сгенерувати ключ запуску AdmiRun", без цього ключа запуск програми пройде невдало.
9) Переходимо на вкладку «Link» і задаємо ім'я ярлику
10) Задаємо каталог, і не забуваємо про той обліковий запис з-під якого запущено AdmiLink
11) Задати файл та індекс картинки для ярлика. Зазвичай це поле заповнюється автоматично. За умовчанням передбачається, що картинка береться з файлу програми, що виконується, з індексом 0.
12) Натискаємо «Сгенерувати командний рядок» та бачимо чарівну абракадабру
13) Тиснемо «Створити ярлик зараз»
Після натискання «Створити ярлик зараз» створюється ярлик і скидаються всі поля.
Запускаємо ярлик
Спробуємо змінити програму, що запускається, у властивостях ярлика, наприклад, на калькулятор
Спробуємо запустити ярлик
Слід зазначити, що прив'язка до MAC, IP та командного рядка не проводилася.
До висновку. Не забувайте, що в запущеній програміз правами адміністратора, можна відкрити вкладку "Файл" якщо вона звичайно є і робити з ОС все, що завгодно. Це вже проблеми безпеки швидше за ОС, так що будьте обережні.
Все, люди, вам світ!
Деякі програми на windows 7 або windows 8 вимагають більше прав і запускаються лише від імені адміністратора.
Щоб запустити програму від імені адміністратора, вам обов'язково потрібно знати пароль, якщо ви увійшли під обліком звичайного користувача, інакше виконати цю процедуру не вийде.
Це ще не все. Ви можете увійти в віндовс 7 або віндовс 8 як адміністратор, деякі програми все ж таки видадуть помилку, наприклад, «Run time error 10».
Таке трапляється рідко, але буває. Тоді вам необхідно додатково підтвердити права адміністратора.
Зробити це легко, незалежно від використовуваної виндовс: windows 7 або windows 8 або навіть виндовс 10.
Для цього клацніть правою клавішею мишки або якщо у вас ноутбук відповідно на тачпаді по ярлику програми, що запускається.
Після цього на моніторі комп'ютера або екрані ноутбука з'явиться вікно з контекстним меню.
У ньому майже на самому верху натисніть на рядок запуск від імені адміністратора, як на малюнку нижче.
Як завжди запускати програму з правами адміністратора
Якщо ви програмою, яка вимагає прав адміністратора, користуєтеся дуже часто, то вам нема чого завжди викликати контекстне меню.
Цю операцію можна поставити на "автомат" і надалі запускати програму як завжди.
Для цього клацніть по ярлику правою клавішею і в меню натисніть на рядок «властивості» (в самому низу).
Після цього в самому верху клацніть на рядок «сумісність» і в вкладці, що з'явилася, поставте пташку навпроти рядка: «виконувати цю програму від імені адміністратора», потім (в самому низу) «застосувати» і «ОК».
Тепер вона завжди запускатиметься з відповідними правами без вашого втручання.
Тут, як і в першому випадку, вам знадобиться пароль, якщо ви увійшли в обліковий запис як звичайний користувач.
Зазвичай більше прав вимагають додатків у windows 8 (8.1), сімка в цьому відношенні простіше.
Щоб спростити використання комп'ютера, можна змінити параметри контролю облікових записів.
Там є повзунок - опустіть його в сам низ, тоді система буде менш прискіпливою. Успіхів.
