Mnoho programů vyžaduje zvýšení práv při startu (ikona štítu vedle ikony), ale ve skutečnosti nevyžadují pro svůj běžný provoz administrátorská práva (například jste ručně udělili potřebná práva uživatelům pro adresář programu v ProgramFiles a větve registru, které program používá). V souladu s tím se při spuštění takového programu jako jednoduchý uživatel, pokud je v počítači povolena funkce Řízení uživatelských účtů, zobrazí výzva UAC a uživatel bude požádán o zadání hesla správce. Aby se tento mechanismus obešel, mnozí jednoduše zakážou UAC nebo udělují uživateli administrátorská práva v počítači přidáním do místní skupiny administrátorů. Obě tyto metody jsou přirozeně nebezpečné.
Proč může běžná aplikace potřebovat administrátorská práva
Program může potřebovat administrátorská práva k úpravě určitých souborů (protokolů, konfigurací atd.) ve své vlastní složce v C:\Program Files (x86)\SomeApp). Ve výchozím nastavení nemají uživatelé práva upravovat tento adresář, proto jsou pro normální provoz takového programu vyžadována práva správce. Chcete-li tento problém vyřešit, musíte uživateli (nebo skupině Users) ručně přiřadit práva ke změně/zápisu do složky programu jako správce na úrovni NTFS.
Poznámka. Praxe ukládání měnících se dat aplikace do vlastního adresáře pod C:\Program Files je ve skutečnosti nesprávná. Správnější je ukládat data aplikace do uživatelského profilu. To je ale otázka lenosti a neschopnosti vývojářů.
Spuštění programu, který vyžaduje administrátorská práva od standardního uživatele
Dříve jsme popsali, jak můžete použít parametr RunAsInvoker. Tato metoda však není dostatečně flexibilní. Můžete jej také použít s uložením hesla správce /SAVECRED (také nebezpečné). Zvažme jednodušší způsob, jak vynutit spuštění jakéhokoli programu bez práv správce (a bez zadání hesla správce) s povoleným UAC (4.3 nebo úroveň 2).
Vezměme si například nástroj pro úpravu registru - regedit.exe(je umístěn v adresáři C:\windows\system32). Když spustíte regedit.exe, zobrazí se okno UAC a pokud nepotvrdíte zvýšení oprávnění, Editor registru se nespustí.
Vytvoříme soubor na ploše run-as-non-admin.bat s následujícím textem:
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && začít "" %1"
Chcete-li nyní aplikaci vynutit spuštění bez práv správce a potlačit výzvu UAC, jednoduše přetáhněte požadovaný exe soubor do tohoto souboru bat na ploše.
Poté by se měl spustit Editor registru bez zobrazení výzvy UAC. Otevřete správce procesů a přidejte sloupec Zvýšená(S vyššími oprávněními) uvidíte, že systém má proces regedit.exe s nezvýšeným stavem (běží s uživatelskými právy).
Zkuste upravit libovolný parametr ve větvi HKLM. Jak vidíte, přístup k úpravám registru v této větvi je odepřen (tento uživatel nemá práva k zápisu do větví systémového registru). Klíče ale můžete přidávat a upravovat ve vlastní větvi registru uživatele – HKCU.
Stejným způsobem můžete spustit konkrétní aplikaci prostřednictvím souboru bat, stačí zadat cestu ke spustitelnému souboru.
run-app-as-non-admin.bat
Set ApplicationPath="C:\Program Files\MyApp\testapp.exe"
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && spustit "" %ApplicationPath%"
Můžete také přidat kontextovou nabídku, která přidává možnost spouštění všech aplikací bez nadmořské výšky. Chcete-li to provést, vytvořte následující soubor reg a importujte jej do registru.
Editor registru systému Windows verze 5.00
@="cmd /min /C \"nastavit __COMPAT_LAYER=RUNASINVOKER && spustit \"\" \"%1\"\""
Poté, chcete-li spustit jakoukoli aplikaci bez práv správce, stačí vybrat položku „“ v kontextové nabídce.
Proměnná prostředí __COMPAT_LAYER a parametr RunAsInvoker
Proměnná prostředí __COMPAT_LAYER umožňuje nastavit různé úrovně kompatibility pro aplikace (tab Kompatibilita ve vlastnostech exe souboru). Pomocí této proměnné můžete určit nastavení kompatibility, se kterou má program běžet. Chcete-li například spustit aplikaci v režimu kompatibility se systémem Windows 7 a rozlišením 640 x 480, nastavte:
sada __COMPAT_LAYER=Win7RTM 640x480
Mezi možnostmi proměnné __COMPAT_LAYER, které jsou pro nás zajímavé, zdůrazňujeme následující parametry:
- RunAsInvoker- spuštění aplikace s oprávněními nadřazeného procesu bez požadavku UAC.
- Spustit jako nejvyšší- spuštění aplikace s maximálními právy dostupnými uživateli (požadavek UAC se objeví, pokud má uživatel administrátorská práva).
- RunAsAdmin- spusťte aplikaci s právy správce (vždy se zobrazí výzva AUC).
Tito. Parametr RunAsInvoker neposkytuje administrátorská práva, ale pouze blokuje vzhled okna UAC.
Dobrý den, milý návštěvníku. V dnešním článku navrhuji, abyste se hned od začátku nezabývali běžnou instalací a konfigurací serverů a klientských stanic, ale běžným každodenním životem správce systému. Zvážíme spuštění konkrétní aplikace jako správce, podíváme se, jaká řešení existují a v čem se liší. Důvod, proč se administrátoři setkávají s tímto problémem, je poměrně jednoduchý, v naší praxi outsourcingu IT se poměrně často setkáváme se situací, kdy aplikace (zejména od tuzemských vývojářů) není orientovaná na UAC a proč tomu tak je, zeptejte se vývojářů aplikací. Testovat budeme ve virtuálním prostředí Hyper-V na virtuálním stroji druhé generace s Windows 8.1.
Rozmanitost je přítomna
Budeme zvažovat tři nástroje:
RunAs – Spouští specifické nástroje a programy s oprávněními odlišnými od oprávnění udělených aktuálním účtem. Tento nástroj není třetí strany, je součástí operačního systému Windows. Nápověda pro utilitu runas /?
Testovat budeme pomocí vestavěné utility msconfig.exe, která je součástí OS Windows. Tento nástroj lze spustit pouze z účtu s právy správce.
POZORNOST! Nástroj bude spuštěn z účtu správce domény. Ve skutečnosti se to nedoporučuje, je lepší si pro takové chvíle vytvořit samostatný účet.
Zkusme tedy použít nástroj RunAs, spusťte příkazový řádek a napište následující
.jpg)
Upozorňujeme, že zadané heslo se nezobrazí.
.jpg)
Po úspěšném zadání hesla a názvu účtu se otevře okno msconfig.exe
.jpg)
Nyní vytvoříme zástupce pro spuštění msconfig.exe z účtu správce.
.jpg)
.jpg)
Po úspěšném zadání hesla se spustí již známý msconfig.exe.
Otázka se nabízí sama: umožní administrátor uživateli znát heslo k účtu, který má administrátorská práva, jehož název lze snadno zobrazit ve vlastnostech zástupce?
A přesto bude nutné heslo zadat při každém spuštění zkratky, což pro uživatele není pohodlné, pokud mu ulehčíte život pomocí parametru „/sacred“, vytvoříte obrovskou díru v bezpečnostním systému.
Zde je příklad vytvoření velké díry:
Chcete-li uživateli usnadnit život, přidejte parametr „/sacred“.
.jpg)
Spusťte zástupce a zadejte heslo, při prvním spuštění vás nástroj vyzve k zadání hesla
.jpg)
Zadejte heslo a rozlučte se! Když jej znovu spustíte, nástroj nebude vyžadovat heslo, nebo lépe řečeno, nebude ho vyžadovat vůbec, budete si myslet: „No a co!“ Zkusme změnit spuštěnou utilitu ve vlastnostech zástupce např. na cmd.exe.
.jpg)
Snažíme se spustit a...
.jpg)
"Do prdele! Právě vymazal mezipaměť arp." Myslím, že pokud použijete „/sacred“, pak sotva víte, co je arp cache a že k jejímu vymazání potřebujete administrátorská práva.
Nástroj ExecAs je navržen tak, aby spouštěl jakékoli programy s právy odlišnými od práv aktuálního uživatele. Lze použít ke spuštění programu Locker s právy správce z omezeného účtu. To umožňuje operátorům zabránit v přístupu k databázovým souborům programu Locker a obecně ve spouštění jakýchkoli nežádoucích programů jiných než Locker.
ExecAs je velmi jednoduchá utilita, se kterou zvládne pracovat i školák.
Pozitivní vlastností je jeho jednoduchost.
Negativní vlastností je chybějící práce s doménovými účty.
Po vytvoření lokálního účtu s omezenými právy a účtu s právy administrátora tedy spustíme ExecAs.
.jpg)
Při prvním spuštění vás aplikace okamžitě vyzve k zadání názvu účtu a hesla a také k označení cesty k aplikaci, kterou chcete spustit. Spustíme cmd.exe pod jménem místního správce. Upozorňujeme, že zadávaný účet je uveden bez názvu stroje. Chcete-li přidat aplikaci, klikněte na ikonu složky, která se nachází na konci řádku „Program“.
.jpg)
Klikněte na „Záznam“. Naše aplikace bude mít číslo 1.
(1).jpg)
Zavřete ExecAs a začněte znovu.
.jpg)
Jak vidíme, cmd.exe se spustil okamžitě po spuštění ExecAs. Faktem je, že pokud máte jednu aplikaci v seznamu spuštěných aplikací v ExecAs, tak se tato aplikace spustí okamžitě, to je docela dobré, ale pokud máte například více aplikací?
Otevřete cmd, přejděte do adresáře s aplikací ExecAs a spusťte ji s parametrem níže
.jpg)
Nyní můžeme přidat další aplikaci, například kalkulačku
.jpg)
Nyní, když zavřeme a otevřeme ExecAs, uvidíme okno výše, nemělo by se to stát. K tomu slouží parametr NN - číslo programu, který se má spustit.
Vytvoříme dvě zkratky, jednu pro spuštění cmd a druhou pro kalkulačku.
.jpg)
.jpg)
Spusťte obě zkratky
.jpg)
Nezapomeňte na číslo programu, které lze změnit při přidávání spouštěného programu a které lze zobrazit v seznamu spuštěných programů.
AdmiLink
AdmiLink je utilita, pomocí které může Administrátor vytvořit zástupce umožňující uživatelům s omezenými právy spouštět konkrétní (bez možnosti náhrady!) program s právy Administrátora (nebo jakéhokoli jiného uživatele) bez (interaktivního) zadávání hesla. .
Typickou aplikací programu AdmiLink je správa chráněných systémů, ve které uživatel pracuje převážně pod vlastním omezeným účtem a pod Správcem jsou spouštěny pouze některé funkce přísně omezené Administrátorem, aniž by znal své heslo a bez možnosti spouštět jiné neautorizované programy.
Dalším typickým příkladem je použití AdmiLink ke spouštění potenciálně nebezpečných programů, jako je webový prohlížeč, se sníženými právy bez zadání hesla. Abyste se vyhnuli napadení počítače virem, můžete webový prohlížeč spouštět pod omezeným uživatelským účtem, což výrazně snižuje pravděpodobnost poškození systému. Abyste heslo omezeného uživatele nezadávali pokaždé, můžete na ploše vytvořit zástupce pro spuštění webového prohlížeče pod tímto uživatelem.
Jak funguje AdmiLink
Balíček obsahuje dva programy: AdmiRun a AdmiLink.
AdmiRun je jednoduchá konzolová úloha, která umí pouze jednu věc – spouštět další programy jako správce (nebo jakýkoli jiný uživatel). Během instalace je AdmiRun zkopírován do adresáře Windows, takže je dostupný v libovolném adresáři. AdmiRun může pracovat jak v dávkovém režimu (v dávkových souborech), tak interaktivně spouštět programy (prostřednictvím zástupce na ploše). Formát volání lze získat zadáním AdmiRun /? Pro spouštění programů jako správce samozřejmě potřebujete znát heslo. Na druhou stranu z bezpečnostních důvodů nelze heslo otevřeně sdílet, jinak celý bezpečnostní systém ztrácí smysl. Řešením je přenos šifrovaného účtu (účet = uživatel + doména + heslo). AdmiRun obdrží účet demonstrativně otevřeně, přes příkazový řádek, ale nelze z něj nic pochopit - účet se přenáší jako šifrovaný klíč. Klíč je svázán s konkrétním spustitelným souborem bez tohoto souboru, AdmiRun jednoduše nebude schopen účet dešifrovat. Pokud se tedy uživatel pokusí spustit jiný program se stejným klíčem, selže. Navíc, aby byl život pro hackery zábavnější, jsou klíče generovány pomocí náhodných čísel a nikdy se neopakují.
Po instalaci AdmiLink vám tedy doporučuji zrušit zaškrtnutí políčka pro vytvoření všech zástupců během instalace a spustit nástroj pouze z adresáře, kde je nainstalován, spustit AdmiLink.
.jpg)
1) V poli „Nastavit název spustitelného souboru požadovaného programu“ zadejte cestu kliknutím na ikonu diskety. V našem případě to bude cmd.exe
.jpg)
2) Pole „Nastavit příkazový řádek pro spustitelný soubor“ ponechte prázdné.
Tento krok je volitelný, pokud nejsou žádné parametry. Také mějte na paměti, že můžete určit, že šifrování účtu je vázáno na příkazový řádek, takže nemůžete získat práva správce přepsáním parametrů příkazového řádku v zástupce.
Například při vytváření zástupce c:\windows\system32\control.exe timedate.cpl pro opravu systémového času nezapomeňte na příkazový řádek navázat šifrování, jinak úpravou zástupce spustíte např. , c:\windows\system32\control exe nusrmgr.cpl a získat přístup ke správě uživatelů, což není vůbec dobré.
3) Pole „Nastavit počáteční adresář spouštěného programu...“ se obvykle vyplní automaticky
4) Nastavte režim zobrazení okna programu.
- SHOW - spuštění programu viditelného na obrazovce. Toto je normální režim pro interaktivní programy.
- SKRYT – spustí program, který není viditelný na obrazovce. Toto je režim pro nástroje běžící na pozadí.
Přejděte na kartu „Účet“.
5) V poli „Název domény“ uveďte název NetBios nebo úplný název domény, v našem případě test.lan.
.jpg)
6) Do pole „Uživatelské jméno“ můžeme zadat Administrátor nebo kliknout na „…“ a vybrat účet.
7) Zadejte heslo a jeho potvrzení a klikněte na „Test“.
.jpg)
Stiskněte libovolnou klávesu. Pokud se objeví hláška „Účet je dobré používat“, pak je vše v pořádku a jedeme dál.
8) Klikněte na „Generovat spouštěcí klíč AdmiRun“ bez tohoto klíče se aplikace nespustí.
.jpg)
9) Přejděte na kartu „Odkaz“ a pojmenujte zástupce
.jpg)
10) Nastavte adresář a nezapomeňte na účet, pod kterým je AdmiLink spuštěn
11) Nastavte soubor a index obrázku pro zástupce. Toto pole se obvykle vyplňuje automaticky. Ve výchozím nastavení se předpokládá, že obrázek je převzat ze spustitelného souboru programu s indexem 0.
12) Klikněte na „Generovat příkazový řádek“ a podívejte se na kouzelný žvanec
.jpg)
13) Klikněte na „Vytvořit zástupce nyní“
.jpg)
Kliknutím na „Vytvořit zástupce nyní“ vytvoříte zástupce a resetujete všechna pole.
Spusťte zástupce
.jpg)
Zkusme změnit spuštěný program ve vlastnostech zástupce např. na kalkulačku
.jpg)
Zkusme spustit zkratku
.jpg)
Vezměte prosím na vědomí, že vazba na MAC, IP a příkazový řádek nebyla provedena.
K závěru. Nezapomeňte, že ve spuštěném programu s právy správce můžete otevřít kartu „Soubor“, pokud samozřejmě existuje, a dělat s OS, co chcete. Jedná se spíše o bezpečnostní problémy OS, takže buďte opatrní.
Všichni lidé, pokoj vám!
Začněme tím, že některé programy a hry nefungují správně nebo vůbec pod Windows 7, ačkoliv je software navržen tak, aby fungoval speciálně na Win 7. Důvodem jsou nedostatečná oprávnění z důvodu nesprávné instalace nebo spuštění. Ve Windows 7 a vyšších totiž uživatel nepracuje jako administrátor (oproti Win XP a nižší), ale jako běžný uživatel s omezenými právy. Podle toho také veškerý software, který nainstaloval.
Věnujte pozornost ikoně na ikonách aplikací ve formě štítu (viz zvětšený snímek obrazovky). Takové programy musí být nainstalovány jako správce.
Pokud některá aplikace nebo hra nefunguje správně, zkuste ji přeinstalovat nebo ji neustále spouštět jako správce.
Instalace her a programů od správce
Klepněte pravým tlačítkem myši na ikonu spuštění a vyberte z kontextové nabídky spustit jako administrátor. Po zobrazení výzvy Řízení uživatelských účtů klikněte na OK a instalace pokračuje obvyklým způsobem.
Mnoho programů, her a repacků nemá na startovacím souboru speciální označení. Nainstalujeme je v obvyklém pořadí a poté je spustíme pravým tlačítkem myši, kde v kontextovém menu vybereme položku Spustit jako administrátor.
Spouštění programů jako správce z panelu nástrojů Rychlý přístup
Klepněte pravým tlačítkem myši na ikonu požadovaného programu
V ovládací nabídce, která se otevře, vidíme zástupce a název programu a nyní na něj také klikneme pravým tlačítkem. Zde vybíráme z nabídky spustit jako administrátor.
Spustit jako správce příkazového řádku
Klikněte na tlačítko start - všechny programy jsou standardní
Najděte příkazový řádek a klikněte pravým tlačítkem na ikonu. Dále v kontextové nabídce (téměř úplně nahoře) vidíme požadovaný spouštěcí řádek.
Po celou dobu spuštěné programy jako správce
Pokud poměrně často musíte spouštět nějaký program jako správce a to vás obtěžuje, nastavme tomuto softwaru trvalá další oprávnění.
Klepněte pravým tlačítkem myši na zástupce. Vyberte z nabídky Oprava problémů s kompatibilitou.
V další fázi nebudete moci stisknout další tlačítko, dokud neprovedete zkušební provoz programu. Takže stiskneme tlačítko Spuštění programu, zkontrolujeme, zda vše funguje jak má. Pokud vám výsledky vyhovují, zavřete aplikaci a klikněte na další tlačítko dole.
To je vše, nyní již nebudete muset pokaždé spouštět program ze zástupce jako správce
http://site/wp-content/uploads/administrator_windows_7.pnghttp://site/wp-content/uploads/administrator_windows_7-150x150.png 2018-04-15T22:23:59+00:00 Lekce Začněme tím, že některé programy a hry nefungují správně nebo vůbec pod Windows 7, ačkoliv je software navržen tak, aby fungoval speciálně na Win 7. Důvodem jsou nedostatečná oprávnění z důvodu nesprávné instalace nebo spuštění. Faktem je, že ve Windows 7 a vyšších uživatel nepracuje jako správce... Uživatel webové stránky - Počítač pro figuríny30.01.2010 18:25
Tento článek vysvětluje, jak spustit program jako správce nebo jiný uživatel Windows 7 bez odhlášení z aktuální relace.
1. Chcete-li spustit program jako správce, klikněte pravým tlačítkem myši na spustitelný soubor (s příponou .exe) a v zobrazené kontextové nabídce vyberte možnost.
2. Chcete-li vždy spouštět konkrétní program jako správce, klepněte pravým tlačítkem myši na spustitelný soubor a vyberte možnost .
3. Klikněte pravým tlačítkem na vytvořeného zástupce a vyberte .
4. V okně, které se otevře, na záložce Označení klikněte na tlačítko .
5. Zaškrtněte políčko.
Poznámka. Tento program bude spuštěn jako správce pouze pomocí této zkratky. Poklepáním na spustitelný soubor nebo jinou zkratku tohoto programu jej spustíte pod vaším účtem, bez zvýšených oprávnění (pokud ovšem nejste přihlášeni do Windows 7 jako správce).
Spuštění programu jako jiný uživatel
1. Stiskněte klávesu Shift a podržte ji a klikněte pravým tlačítkem myši na spustitelný soubor.
2. V kontextové nabídce, která se zobrazí, vyberte .
Co ale běh jako správce dává? Více práv. Ale celá podstata je v tom, že viry to dokážou udělat tak, že budou spouštěny jménem Systému, pak je nebudeš moct smazat ani ve Správci úloh, vůbec žádným způsobem, protože prostě nebudeš mít práva tak učinit. A programy, které spouštíte, mají stejná práva jako vy, proto je ve Správci úloh uvedeno, že běží vaším jménem (nebo spíše uživatelem).
Co dělat? Je to velmi jednoduché, představme si, že chceme, aby prohlížeč Mozilla Firefox vždy běžel s rozšířenými právy, co uděláme? Otevřete vlastnosti zástupce:
Nyní v tomto okně přejděte na kartu Kompatibilita, ve spodní části bude zaškrtávací políčko o spuštění jako správce, podle toho jej zaškrtněte a klikněte na OK:
Nyní, když spustíte Mozilla Firefox, bude vždy běžet jako správce.
Ale to je samozřejmě jen příklad, taková funkce není pro prohlížeč k ničemu, ale pro nástroje, které odstraňují reklamní viry, je to správné. Má to ale i nevýhodu, nemusíte to dělat vždy, například pokud rádi hrajete hry, pak pravděpodobně víte, co jsou trenažéry, ale v žádném případě je nespouštějte jako správce a upřímně, tyto trenažéry často obsahují viry (stejně jako jakékoli keygeny). Ne nadarmo si na ně mnoho antivirů stěžuje a říká, že jde o potenciálně nebezpečný software.
Jak najít programy a funkce ve Windows 10?
No, myslím, že musím také napsat o tom, jak otevřít toto okno, kde je nainstalován veškerý software. Tedy okno Programy a funkce. Doufám, že tyto informace budou pro někoho užitečné
Podívejte se, vše je zde jednoduché - musíte kliknout pravým tlačítkem na ikonu Start, objeví se nabídka, zde nahoře vybereme Programy a funkce:
Mimochodem, toto menu lze vyvolat i tlačítky Win + X! Takže je stisknete a zobrazí se nabídka!
Poté se otevře okno s následujícím seznamem:
Vidíte, vše, co je zde, je veškerý váš software. Nedoporučuji zde nic mazat jen tak, protože to mohou být vážné závady. Také, pokud jste náhle více či méně pokročilý uživatel, doporučuji vám použít nástroj pro odstranění