Многие программы при запуске требуют повышения прав (значок щита у иконки), однако на самом деле для их нормальной работы прав администратора не требуется (например, вы вручную предоставили необходимые права пользователям на каталог программы в ProgramFiles и ветки реестра, которые используются программой). Соответственно, при запуске такой программы из-под простого пользователя, если на компьютере включен контроль учетных записей, появится запрос UAC и от пользователя потребует ввести пароль администратора. Чтобы обойти этот механизм многие просто отключают UAC или предоставляют пользователю права администратора на компьютере, добавляя его в группу локальных администраторов. Естественно, оба этих способа небезопасны.
Зачем обычному приложению могут понадобится права администратора
Права администратора могут потребоваться программе для модификации неких файлов (логи, конфигурации и т.д.) в собственной папке в C:\Program Files (x86)\SomeApp). По умолчанию у пользователей нет прав на редактирование данного каталога, соответственно, для нормальной работы такой программы нужны права администратора. Чтобы решить эту проблему, нужно под администратором на уровне NTFS вручную назначить на папку с программой право на изменение/запись для пользователя (или группы Users).
Примечание . На самом деле практика хранения изменяющихся данных приложения в собственном каталоге в C:\Program Files неверна. Правильнее хранить данные приложения в профиле пользователя. Но это вопрос уже о лени и некомпетентности разработчиков.
Запуск программы, требующей права администратора от обычного пользователя
Ранее мы уже описывали, как можно , с помощью параметра RunAsInvoker. Однако этот метод недостаточно гибкий. Также можно воспользоваться с сохранением пароля админа /SAVECRED (также небезопасно). Рассмотрим более простой способ принудительного запуска любой программы без прав администратора (и без ввода пароля админа) при включенном UAC (4,3 или 2 уровень ).
Для примера возьмем утилиту редактирования реестра — regedit.exe (она находится в каталоге C:\windows\system32). При запуске regedit.exe появляется окно UAC и, если не подтвердить повышение привилегии, редактор реестра не запускается.
Создадим на рабочем столе файл run-as-non-admin.bat со следующим текстом:
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %1"
Теперь для принудительного запуска приложения без права администратора и подавления запроса UAC, просто перетащите нужный exe файл на этот bat файл на рабочем столе.
После этого редактор реестра должен запустится без появления запроса UAC. Открыв диспетчер процессов, и добавим столбец Elevated (С более высоким уровнем разрешений), вы увидите, что в системе имеется процесс regedit.exe с неповышенным статусом (запущен с правами пользователя).
Попробуйте отредактировать любой параметр в ветке HKLM. Как вы видите доступ на редактирование реестра в этой ветке запрещен (у данного пользователя нет прав на запись в системные ветки реестра). Но вы можете добавлять и редактировать ключи в собственной ветке реестра пользователя — HKCU.
Аналогичным образом можно запускать через bat файл и конкретное приложение, достаточно указать путь к исполняемому файлу.
run-app-as-non-admin.bat
Set ApplicationPath="C:\Program Files\MyApp\testapp.exe"
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %ApplicationPath%"
Также можно добавить контекстное меню, которое добавляет у всех приложений возможность запуска без повышения прав. Для этого создайте следующий reg файл и импортируйте его в реестр.
Windows Registry Editor Version 5.00
@="cmd /min /C \"set __COMPAT_LAYER=RUNASINVOKER && start \"\" \"%1\"\""
После этого для запуска любого приложения без прав админа достаточно выбрать пункт «» в контекстном меню.
Переменная окружения __COMPAT_LAYER и параметр RunAsInvoker
Переменная окружения __COMPAT_LAYER позволяет устанавливать различные уровни совместимости для приложений (вкладка Совместимость в свойствах exe файла). С помощью этой переменной можно указать настройки совместимости, с которыми нужно запускать программу. Например, для запуска приложения в режиме совместимости с Windows 7 и разрешением 640×480, установите:
set __COMPAT_LAYER=Win7RTM 640x480
Из интересных нам опций переменной __COMPAT_LAYER выделим следующие параметры:
- RunAsInvoker - запуск приложения с привилегиями родительского процесса без запроса UAC.
- RunAsHighest - запуск приложения с максимальными правами, доступными пользователю (запрос UAC появляется если у пользователя есть права администратора).
- RunAsAdmin - запуск приложение с правами администратора (запрос AUC появляется всегда).
Т.е. параметр RunAsInvoker не предоставляет права администратора, а только блокирует появления окна UAC.
Доброго времени суток уважаемый посетитель. В сегодняшней статье я предлагаю тебе рассмотреть ни как обычно установку и конфигурирование серверов и клиентских станций с самого начала, а обычные будни системного администратора. А рассматривать мы будем запуск определенного приложения из-под имени администратора, рассмотрим какие существуют решения и чем они отличаются. Причиной, по которой администраторы сталкиваются с этой проблемой довольна проста, в нашей практикте ит-аутсорсинга , мы довольно часто сталкиваемся с ситуацией, когда приложение (особенно отечественных разработчиков) не ориентированно на UAC, а почему так, спросите у разработчиков приложения. Тестировать будем в виртуальной среде Hyper-V на виртуальной машине второго поколения с ОС Windows 8.1.
Разнообразие присутствует
Рассматривать мы будем три утилиты:
RunAs - запускает конкретные средства и программы с разрешениями, отличными от тех, которые предоставляет текущая учетная запись. Эта утилита не является сторонней, она входит в поставку ОС Windows. Справка по утилите runas /?
Тестировать будем на встроенной утилите msconfig.exe, которая входит в ОС Windows. Запуск этой утилиты осуществляется только с учетной записи имеющие права администратора.
ВНИМАНИЕ! Запуск утилиты будет осуществляется из-под учетной записи доменного администратора. В реалии не рекомендуется этого делать, лучше создать отдельную учетную запись для подобных моментов.
Итак, попробуем воспользоваться устроенной утилитой RunAs, для этого запустим командную строку и напишем следующее
.jpg)
Попрошу заметить, что вводимый пароль не будет отображаться
.jpg)
После удачного ввода пароля и имени учетной записи, откроется окно msconfig.exe
.jpg)
Теперь создадим ярлык для запуска msconfig.exe из-под учетной записи администратора.
.jpg)
.jpg)
После удачного ввода пароля запустится уже известный msconfig.exe.
Вопрос напрашивается сам собой, позволит ли администратор, пользователю знать пароль от учетной записи имеющей права администратора, имя от которого легко посмотреть в свойствах ярлыка?
И еще, пароль при запуске ярлыка нужно будет вводить каждый раз, что не удобно для пользователя, если вы заходите облегчить жизнь ему, использовав параметр «/savecred», то вы создадите огромную дыру в системе безопасности.
Вот пример для создания огромной дырки:
Вы захотели облегчить жизнь пользователю, добавляем параметр «/savecred»
.jpg)
Запускаем ярлык и вводим пароль, при первом запуске утилита предлагает ввести пароль
.jpg)
Вводим пароль и говорим прощай! При повторном запуске утилита не будет требовать пароль, а точнее она теперь вообще не будет его требовать, вы подумаете «Ну и что!». А давайте попробуем в свойствах ярлыка изменить запускаемую утилиту, например, на cmd.exe.
.jpg)
Пытаемся запустить и ….
.jpg)
«Мать твою! Он только что почистил arp-кэш». Я думаю если вы используете «/savecred», то вы вряд ли знаете, что такое arp-кэш и что для его очистки нужны права администратора.
Утилита ExecAs предназначена для запуска любых программ с правами, отличными от прав текущего пользователя. Можно применять для запуска программы Locker с правами администратора из-под ограниченной учетной записи. Это позволяет запретить операторам доступ к файлам базы данных программы Locker и вообще к запуску любых нежелательных программ кроме Locker-a.
ExecAs очень простая утилита, с которой сможет работать даже школьник.
Положительной чертой является ее простота.
Отрицательной чертой является отсутствие работы с доменными учетными записями.
Итак, после создания локальной ученой записи с ограниченными правами и учетной записи с права администратора, запустим ExecAs.
.jpg)
При первом запуске, приложение сразу предлагает ввести имя учетной записи и пароль, а также указать путь до приложения которое нужно запустить. Будем запускать cmd.exe о имени локального администратора. Попрошу заметить, что вводимая учетная запись указывается без имени машины. Для добавления приложения нажимаем на значок папки, который находится в конце строки «Программа».
.jpg)
Нажимаем «Записать». Наше приложение будет под номером 1.
(1).jpg)
Закрываем ExecAs и снова запускаем.
.jpg)
Как мы видим, cmd.exe сразу запустилось при запуске ExecAs. Дело в том, что если у вас одно приложение в списке запускаемых приложений в ExecAs, то это приложение будет сразу запускаться, это довольно хорошо, но если у вас к примеру, больше одного приложения?
Открываем cmd, переходим в каталог с приложением ExecAs, и запускаем его с параметром ниже
.jpg)
Теперь мы можем добавить еще одно приложение, к примеру калькулятор
.jpg)
Теперь если мы закроем и откроем ExecAs, мы увидим окно выше, этого не должно произойти. Для этого есть параметр NN – номер запускаемой программы.
Создадим два ярлыка, один для запуска cmd, другой для калькулятора.
.jpg)
.jpg)
Запускаем оба ярлыка
.jpg)
Не забываем про номер программы, который можно изменять при добавлении запускаемой программы, и который можно посмотреть в списке запускаемых программ.
AdmiLink
AdmiLink - утилита, при помощи которой Администратор может создать ярлык, дающий возможность пользователям с ограниченными правами запускать конкретную (без возможности подмены!) программу с правами Администратора (или любого другого пользователя) без (интерактивного) ввода пароля.
Типичным применением программы AdmiLink является администрирование защищенных систем, в которых пользователь работает в основном под своей ограниченной учетной записью, и только отдельные, строго ограниченные Администратором функции запускает под Администратором, не зная его пароля и не имея возможности запускать другие, несанкционированные программы.
Другим типичным примером является использование AdmiLink для запуска потенциально опасных программ, например, Web браузера, с пониженными правами без ввода пароля. Так, чтобы избежать заражения машины вирусом, можно запускать Web браузер под учетной записью ограниченного пользователя, что резко снижает вероятность повреждения системы. Чтобы не вводить каждый раз пароль ограниченного пользователя, на Рабочем Столе можно сделать ярлык для запуска Web браузера под ограниченным пользователем.
Как работает AdmiLink
В состав пакета входит две программы: AdmiRun и AdmiLink.
AdmiRun - простая консольная задачка, которая умеет только одно - запускать другие программы от имени Администратора (или любого другого пользователя). При инсталляции AdmiRun копируется в каталог Windows, чтобы быть доступной в любом каталоге. AdmiRun может работать как в пакетном режиме (в командных файлах), так и для интерактивного запуска программ (через ярлык на Рабочем столе). Формат вызова можно получить, набрав AdmiRun /? Разумеется, для запуска программ от имени Администратора нужно знать пароль. С другой стороны, из соображений безопасности открыто передавать пароль нельзя, иначе вся система защиты лишается смысла. Выход состоит в передаче зашифрованной учетной записи (учетная запись = пользователь + домен + пароль). Учетную запись AdmiRun получает демонстративно открыто, через командную строку, однако понять из нее ничего нельзя - учетная запись передается как зашифрованнный ключ. Ключ привязан к конкретному исполняемому файлу, без этого файла AdmiRun просто не сможет расшифровать учетную запись. Поэтому если пользователь попробует запустить другую программу с таким же ключем, он потерпит неудачу. Более того, для того, чтобы сделать жизнь хакеров повеселее, ключи генерируются с использованием случайных чисел и никогда не повторяются.
Итак, после установки AdmiLink, советую при установке убрать галочку с создания всех ярлыков и запускать утилиту только с каталога где она установлена, запускам AdmiLink.
.jpg)
1) В поле «Задать имя исполняемого файла интересующей программы» укажем путь, нажав на значок дискеты. В нашем случае это будет cmd.exe
.jpg)
2) Поле «Задать командную строку для исполняемого файла» оставим пустым.
Этот шаг необязателен, если параметры отсутствуют. Кроме того, имейте в виду, что можно указать привязку шифрования учетной записи к командной строке, чтобы нельзя было получить права Администратора, подменив параметры командной строки в ярлыке.
Например, делая ярлык c:\windows\system32\control.exe timedate.cpl для коррекции системного времени, не забудьте привязать шифрование к командной строке, иначе, отредактировав ярлык, можно будет запустить, например, c:\windows\system32\control.exe nusrmgr.cpl и получить доступ к управлению пользователями, что совсем нехорошо.
3) Поле «Задать стартовый каталог запускаемой программы…» обычно заполняется автоматически
4) Задать режим отображения окна программы.
- SHOW - запускать программу, видимую на экране. Это обычный режим для интерактивных программ.
- HIDE - запускать программу, не видимую на экране. Это режим для служебных программ, работающих в фоновом режиме.
Переходим на вкладку «Accout»
5) В поле «Имя домена» указываем NetBios имя или полное имя домена, в нашем случае test.lan.
.jpg)
6) В поле «Имя пользователя» можем вписать Администратор или нажать «…» для выбора учетной записи.
7) Вводим пароль и его подтверждение и жмем «Тестировать».
.jpg)
Нажимаем любую клавишу. Если появилось сообщение «Account is good to use» значит все хорошо и идем дальше.
8) Жмем «Сгенерировать ключ запуска AdmiRun», без этого ключа запуск приложения пройдет неудачно.
.jpg)
9) Переходим на вкладку «Link» и задаем имя ярлыку
.jpg)
10) Задаем каталог, и не забываем про ту учетную запись из-под которой запущен AdmiLink
11) Задать файл и индекс картинки для ярлыка. Обычно это поле заполняется автоматически. По умолчанию предполагается, что картинка берется из исполняемого файла программы с индексом 0.
12) Нажимаем «Сгенерировать командную строку» и видим волшебную абракадабру
.jpg)
13) Жмем «Создать ярлык сейчас»
.jpg)
После нажатия на «Создать ярлык сейчас» создается ярлык и сбрасываются все поля.
Запускаем ярлык
.jpg)
Попробуем изменить запускаемую программу в свойствах ярлыка, например, на калькулятор
.jpg)
Попытаемся запустить ярлык
.jpg)
Попрошу заметить, что привязка к MAC, IP и командной строке не производилась.
К заключению. Не забывайте, что в запущенной программе с правами администратора, можно открыть вкладку «Файл» если она конечно есть и делать с ОС все что угодно. Это уже проблемы безопасности скорее ОС, так что будьте осторожны.
Все, люди, мир Вам!
Начнем с того что некоторые программы и игры некорректно или вообще не работают под Windows 7, хотя софт предназначен для работы именно на Win 7. Причиной тому является недостаточность разрешений из-за некорректной установки или запуска. Дело в том, что в Windows 7 и выше юзер работает не как администратор (по сравнению с Win XP и ниже), а как обычный пользователь с ограниченными правами. Соответственно и весь установленный им софт тоже.
Обратите внимание на значёк на иконках приложений в виде щита (см. увеличенный скриншот). Такие программы нужно обязательно устанавливать от имени администратора.
Если какое то приложение или игра работает некорректно — попробуйте так же переустановить ее или постоянно запускать от админа.
Установка игр и программ от админа
Жмем на иконку запуска правой кнопкой мыши и в контекстном меню выбираем запуск от имени администратора . При запросе контроля учетных записей жмем ОК и далее идет установка обычным путем.
Многие программы, игры и репаки не имеют на стартовом файле специального обозначения. Устанавливаем их в обычном порядке, а запускаем потом правой кнопкой мыши где в контекстном меню выбираем пункт Запуск от имени администратора .
Запуск программ от администратора из панели быстрого доступа
Жмем на иконку нужной программы правой кнопкой мыши
В открывшемся меню управления видим ярлык и название программы и теперь на него тоже жмем правой кнопкой. Вот тут уже в менюшке выбираем запуск от имени администратора.
Запуск от имени администратора командной строки
Тыкаем на кнопку пуск — все программы — стандартные
Находим командную строку и жмем на иконку правой кнопкой мыши. Далее в контекстном меню (почти в самом верху) видим нужную строчку запуска.
Запуск программ от имени администратора постоянно
Если вам довольно часто приходится запускать от админа какую то программу и это вас раздражает то давайте установим для этого софта постоянные дополнительные разрешения.
Жмем на ярлык правой кнопкой мышки. В меню выбираем Исправление неполадок совместимости .
На следующем этапе кнопку далее нажать не получится пока вы не сделаете тестовый запуск программы. Поэтому жмем кнопку Запуск программы , проверяем все ли работает как надо. Если результаты вас устраивают то закрываем приложение и внизу уже жмем кнопку далее .
Вот и все, теперь вам не нужно будет каждый раз запускать программу с ярлыка от имени администратора
http://сайт/wp-content/uploads/administrator_windows_7.png http://сайт/wp-content/uploads/administrator_windows_7-150x150.png 2018-04-15T22:23:59+00:00 Уроки Начнем с того что некоторые программы и игры некорректно или вообще не работают под Windows 7, хотя софт предназначен для работы именно на Win 7. Причиной тому является недостаточность разрешений из-за некорректной установки или запуска. Дело в том, что в Windows 7 и выше юзер работает не как администратор... User сайт - Компьютер для чайников30.01.2010 18:25
В этой статье рассказывается, как запустить программу от имени администратора или другого пользователя Windows 7, не завершая текущий сеанс.
1. Чтобы запустить программу от имени администратора, щелкните правой кнопкой мыши по исполняемому файлу (с расширением.exe) и в появившемся контекстном меню выберите .
2. Чтобы определенная программа всегда запускалась от имени администратора, щелкните по исполняемому файлу правой кнопкой мыши и выберите пункт .
3. Щелкните правой кнопкой мыши по созданному ярлыку и выберите .
4. В открывшемся окне, на вкладке Ярлык нажмите кнопку .
5. Установите флажок .
Примечание . Данная программа будет запускаться от имени администратора только с помощью этого ярлыка. Двойной щелчок по исполняемому файлу или по другому ярлыку этой программы, запустит её от имени вашей учетной записи, без повышенных привилегий (если, конечно, вы вошли в Windows 7 не как администратор).
Запуск программы от имени другого пользователя
1. Нажмите клавишу Shift , и удерживая её, щелкните правой кнопкой мыши по исполняемому файлу.
2. В появившемся контекстном меню выберите .
Но что дает запуск от Администратора? Больше прав. А вся суть в том, что вирусы могут сделать так, что они будут запускаться от имени Системы, тогда вы их даже в Диспетчере задач не сможете удалить, вообще никак, так как у вас на это просто не будет прав. А программы, которые вы запускаете, они имеют такие же права, как и вы, поэтому в Диспетчере задач и написано что запущено от вашего имени (вернее пользователя).
Что делать? Все очень просто, давайте представим, что мы хотим чтобы браузер Mozilla Firefox всегда запускался с расширенными правами, что будем делать? Открываем свойства ярлыка:
Теперь в этом окне переходим на вкладку Совместимость, там внизу будет галочка по поводу запуска от имени Администратора, соответственно ставим ее и нажимаем ОК:
Теперь, когда вы будете запускать Mozilla Firefox, он будет всегда работать от имени Администратора.
Но это просто пример, разумеется что для браузера такая фишка не к чему, а вот для утилит, которые удаляют рекламные вирусы — в самый раз. Но есть и обратная сторона, не всегда так нужно делать, например если вы любите играть в игры, то наверно знаете что такое трейнеры, вот как раз их ни в коем случае нельзя запускать от имени Администратора, и если честно, то эти трейнеры часто в себе содержат вирусы (впрочем как и всякие кейгены). Не даром на них ругаются многие антивирусы, мол это потенциально опасное ПО.
Как найти программы и компоненты в Windows 10?
Ну и вот я думаю, нужно написать еще и о том, как открыть это окно, где установлен софт весь. Ну то есть окно Программы и компоненты. Надеюсь, что кому-то эта инфа все таки пригодится
Итак, смотрите, тут все просто — вам нужно нажать по значку Пуск правой кнопкой, там будет менюшка, вот тут вверху выбираем пункт Программы и компоненты:
Кстати, это меню также можно вызвать и кнопками Win + X! Вот зажимаете их и меню появляется!
После этого откроется окно с таким вот списком:
Вот видите, все что тут есть, это все весь ваш софт. Просто так тут ничего я не советую удалять, ибо это, ну могут быть глюки серьезные. Также, если вы вдруг более-менее продвинутый юзер, то я вам советую использовать для удаления утилиту