Любой пользователь Windows может запустить в своей сессии программу от имени другого пользователя
с помощью Run As
. Благодаря этому вы можете выполнить скрипт (.bat, .cmd, .vbs, .ps1), запустить исполняемый .exe файл или установку приложения (.msi, .cab) с полномочиями другого пользователя.
Например, вы можете использовать RunAs для установки программ или запуска программ/скриптов/MMC оснасток с правами администратора непосредственно в сессии обычного непривилегированного пользователя. Также через RunAs вы можете запустить приложение, настроенное в профиле другого пользователя (приложение загрузится с настройки из профиля другого пользователя).
За возможность запуска программ от имени другого пользователя в Windows отвечает служба Вторичный вход в систему
(Secondary Log-on). Если эта служба остановлена, тогда все описанные методы runas работать не будут. Вы можете проверить, что служба запущена с помощью следующей команды PowerShell
:
В Windows есть несколько способов запустить программу или процесс от имени другого пользователя.
Запуск программы от имени другого пользователя из Проводника Windows (File Explorer)
Примечание
. Если пункт меню « Запуск от имени другого пользователя
» отсутствует, см. следующий раздел.
В появившемся окне Windows Security нужно указать имя и пароль пользователя, под чьей учетной записью нужно запустить программу и нажать кнопку ОК
.
- Если нужно запустить программу от имени пользователя Active Directory, нужно указать его имя в формате userPrincipalName
(
[email protected]) или samAccountName (
DomainName\UserName);
- Если ваш компьютер добавлен в домен AD, то для запуска программы от имени локальной учетной записи пользователя ее имя нужно указать в формате:
.\localusername.
Важно
. Вы можете запустить программу от имени другого пользователя только, если для него задан пароль. Использовать Runas для пользователя с пустым паролем не получится.
Откройте Диспетчер задач и убедитесь, что приложение запущенно под указанным пользователем.
Запуск программ от имени из командной строки
В Windows есть консольная утилита runas.exe
, которую можно использовать для запуска приложений от имени другого пользователя из командной строки. Также команда runas позволяет сохранить пароль пользователя в Windows Credential Manager, чтобы его не приходилось набирать каждый раз.
Совет
. Если имя пользователя содержит пробелы, его нужно взять в кавычки:
Можно, например, открыть панель управления под другим пользователем:
Введите пароль для corp\server_admin: Попытка запуска C:\Windows\notepad.exe C:\tmp\2871997x64.txt от имени пользователя "corp\server_admin" .
Если указали несуществующее имя пользователя или неверный пароль, появится ошибка:
RUNAS ERROR: Unable to run - yourcommand 1326: The user name or password is incorrect.
RUNAS ERROR: Unable to acquire user password
Иногда нужно запустить программу от имени доменного пользователя с компьютера, который не добавлен в домен AD
. В этом случае нужно использовать такую команду (при условии, что в сетевых настройках
вашего компьютера указан DNS сервер, который может отрезолвить этот домен):
Если для запуска программы от другого пользователя не нужно загружать его профиль, используйте параметр /noprofile
. При этом приложение запускается намного быстрее, но может вызвать некорректную работу программ, которые хранят данные в профиле пользователя.
Использование RunAs в PowerShell
Если вам нужно запускать программы/процессы от имени другого пользователя из PowerShell, вы можете использовать командлет Start-Process ( управление процессами с помощью PowerShell
). Сначала нужно запросить учетную запись и пароль пользователя:
$Cred = (Get-Credential)
Для запуска процесса от имени другого пользователя можно использовать:
Start-Process -FilePath "powershell.exe" -Credential $Cred
Либо можно запросить учетную запись и пароль интерактивно через Windows Security:
Если вам нужно запустить программу через runas от имени другого администратора в привилегированном режиме (по умолчанию UAC запускает программу в not-elevated пользовательском контексте), можно использовать такую команду PowerShell:
Или стороннюю утилиту ShelExec:
ShelExec /Verb:runas cmd.exe
Запуск программ от имени другого пользователя без ввода пароля
Вы можете сохранить пароль пользователя, который вы вводите. Для этого используется параметр /savecred
.
После указания пароля он сохранится в диспетчере паролей Windows
.
При следующем запуске команды runas под этим же пользователем с ключом
/savecred
Windows автоматически получит сохраненный пароль из Credential Manager
, и не будет запрашивать его повторно.
Чтобы вывести список всех пользователей, для которых сохранены пароли, используется команда:
Однако использование параметра /savecred не безопасно, т.к. пользователь, в чьем профиле сохранен чужой пароль может использовать его для запуска любой
команды под данными привилегиями, или даже сменить
чужой пароль. Кроме того, сохраненные пароли из Credential Manager можно легко украсть, поэтом лучше запретить использование сохраненных паролей
(а тем более нельзя сохранять пароль привилегированной административной учетной записи
).
Примечание
. Кроме того, ключ /savecred не работает в Home редакциях Windows.
Аналогичным образом можно запустить любую другую оснастку (главное знать ее имя).
Ярлык с запуском программы от имени другого пользователя
Вы можете создать на рабочем столе ярлык для запуска программы от имени другого пользователя. Просто создайте новый ярлык, в окне с адресом объекта которого укажите команду
с нужными параметрами:
При запуске такого ярлыка будет запрашиваться пароль пользователя.
Если в ярлыке runas добавить параметр
, то пароль будет запрошен только один раз. После этого пароль будет сохранен в Credential Manager и автоматически подставляться при запуске ярлыка от имени другого пользователя без запроса пароля.
Такие ярлыки довольно часто используются для запуска программ, которые требуют прав администратора для запуска. Однако есть более безопасные способы запуска программы без прав администратора
, или отключения запроса UAC для определенного приложения
.
В проводнике Windows отсутствует пункт “Запуск от имени другого пользователя”
В Windows вы можете скрыть или показать в проводнике пункт меню RunAs с помощью двух параметров реестра:
- Параметр HideRunAsVerb
(тип REG_DWORD) в ветке реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer (1 – скрыть пункт runas, 0 – показать) - Параметр EnableSecureCredentialPrompting
(REG_DWORD) в HKLM\ Software\Microsoft\Windows\CurrentVersion\Policies\CredUI (1 – скрыть, 0 – показать)
Второму параметру реестра соответствует отдельная опция GPO.
Как добавить пункт “Запуск от имени” для программ в меню Пуск?
Осталось обновить групповые политики
(gpupdate /force) и убедиться, что у программ в меню Пуск появится новое контекстное меню Дополнительно
-> Запуск от имени другого пользователя
.
Пункт “запуск от имени” отсутствует у Universal Windows Platform (UWP) приложения из Microsoft Store. Вы можете запустить UWP приложение от другого пользователя из командной строки с помощью runas.exe.
Выведите список приложений Microsoft Store на компьютере с помощью PowerShell:
Можно найти конкретное приложение
Найдите имя нужного приложения в списке. Например, для запуска встроенного клиента Microsoft Teams Chat
от другого пользователя, выполните:
При запуске многие программы требуют повышения прав, хотя на самом деле им не нужны права администратора для их нормальной работы. При запуске такой программы под учетной записью обычного пользователя (если на компьютере включен контроль учетных записей пользователей) появится приглашение UAC, и пользователю потребуется ввести пароль администратора. Чтобы обойти этот механизм, многие пользователи просто отключают UAC или предоставляют привилегии администратора пользователю на компьютере, добавляя учетную запись пользователя в локальную группу «Администраторы». Конечно, оба метода небезопасны.
Почему некоторые приложения Windows не работают под обычными пользователями и требуют прав администратора?
Приложению могут потребоваться права администратора для изменения некоторых файлов (журналов, конфигураций и т. д.) В своей папке C:\Program Files (x86)\Приложение.
По умолчанию пользователи не имеют прав на редактирование (запись и изменение) этого каталога. Для нормальной работы этой программы требуются права администратора. Чтобы решить эту проблему, необходимо вручную предоставить разрешение на изменение
и/или запись
для пользователя (или группы пользователей) в папке приложения на уровне NTFS.
Как запустить программу, которая требует прав администратора под обычным пользователем?
Ранее мы описывали
, как запустить программу с сохраненным паролем администратора, используя опцию /SAVECRED. Данное действие небезопасно.
Давайте рассмотрим более простой способ заставить любую программу работать без ввода пароля администратора и с включенным UAC.
В качестве примера возьмем редактор реестра – regedit.exe
. Когда вы запускаете regedit.exe, появляется окно UAC, и если вы не подтвердите повышение прав, редактор реестра не запустится.
Вариант 1.
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %1"
Чтобы принудительно запустить regedit.exe без прав администратора и подавить приглашение UAC, просто перетащите файл EXE, который вы хотите запустить, на этот файл BAT на рабочем столе.
Редактор реестра запуститься без запроса UAC. Если вы откроете Диспетчер задач и перейдете на вкладку Подробности
, вы увидите, что в системе существует процесс regedit.exe, запущенный с правами обычного пользователя.
Таким же образом вы можете запустить любое приложение, используя файл BAT. Просто укажите путь к исполняемому файлу.
Вариант 2.
Рассмотрим еще один способ. Вы можете добавить контекстное меню, которое позволяет запускать все приложения без повышения прав. Для этого создайте следующий файл REG и импортируйте его в реестр.
Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\*\shell\forcerunasinvoker] @="Run as user without UAC privilege elevation" [HKEY_CLASSES_ROOT\*\shell\forcerunasinvoker\command] @="cmd /min /C \"set __COMPAT_LAYER=RUNASINVOKER && start \"\" \"%1\"\""
2008 R2 – AD – Разрешение запуска некоторого ПО с правами администратора
С помощью простого трюка вы можете позволить пользователям, не являющимся администраторами, запускать программы, требующие прав администратора, без фактического указания им пароля. Позвольте мне показать вам, как это сделать.
Если вы используете общий компьютер или у вас есть пользователи, использующие стандартную учетную запись, у них не будет разрешения на запуск приложений, требующих прав администратора. В общем, это ограничение является хорошим, поскольку чаще всего программе, требующей административных привилегий, требуется доступ или изменение системных настроек или файлов.
При этом могут возникнуть ситуации, когда вы необходимо разрешить обычным пользователям запускать программы, требующие прав администратора. В таких случаях вместо того, чтобы каждый раз вручную вводить пароль администратора или предоставлять им полные административные привилегии, вы можете использовать функцию запуска от имени и диспетчера учетных данных Windows.
Без лишних слов, позвольте мне покажу, как это делается.
Примечание: я предполагаю, что вы знаете имя своего компьютера. Если нет, введите «Системная информация» в меню «Пуск» и откройте его. Вы увидите имя своего компьютера рядом с «Имя системы».
Запускать программы от имени администратора без пароля
Чтобы позволить пользователю без прав администратора запускать приложения администратора, вам нужно создать специальный ярлык, который использует команду runas
. Если вы последуете этому подходу, вам просто нужно будет ввести пароль администратора один раз. Со следующего раза Windows не будет запрашивать пароль для этого конкретного ярлыка приложения.
Хотя звучит сложно, это довольно просто. Просто следуйте инструкциям, и все будет хорошо.
2. В пустое поле введите следующий код. Не забудьте заменить имя компьютера, имя пользователя и путь к приложению фактическим именем компьютера, именем пользователя и путем к исполняемому файлу приложения, которое вы хотите запустить с правами администратора.
Нажмите кнопку «Далее», чтобы продолжить.
runas/user: ComputerName Username/savecred "C: path to app.exe
3. Теперь назовите ярлык как хотите. Нажмите кнопку «Готово».
4. Вышеупомянутое действие создаст ваш собственный ярлык.
5. Как я сказал ранее, в первый раз вам нужно введите пароль администратора. Итак, дважды щелкните вновь созданный ярлык. Вы увидите окно командной строки. Введите пароль своей учетной записи и нажмите кнопку Enter на клавиатуре.
6. Приложение будет работать с правами администратора.
С этого момента любой пользователь, не являющийся администратором, может использовать ярлык для запуска целевой программы от имени администратора без ввода пароля администратора.
Когда вам больше не нужна функциональность, просто удалите ярлык, и все готово.
Заключение
Как видите, довольно просто разрешить стандартным пользователям запускать программы с правами администратора. Как бы хорош ни был трюк, используйте его только тогда, когда это абсолютно необходимо и когда вы доверяете и пользователю, и приложению.
Надеюсь, что это поможет. Если вы застряли или вам нужна помощь, прокомментируйте ниже, и я постараюсь помочь в максимально возможной степени.
Если вам понравилась эта статья, узнайте, как включить скрытую учетную запись администратора и как просмотреть полные данные учетной записи пользователя в Windows 10.
Как разрешить установку программы?
-
Вопрос заданболее трёх лет назад
Вы при первом запуске компьютера должны были придумать пароль администратора.
Если бы вы ничего не придумали это сообщение не появилось бы.
Для снятия изображений с экрана используйте не камеру, а программу “Ножницы”.
Пуск->Все программы->Стандартные->Ножницы
P. S. Извините если я вас не понял, что значит “Клиентской”?
открыть свойство компа в “компьютерах и пользователях домена” и указать кем управляется(закладка есть там)
это если надо дать права пользователю рулить компом.
Но программы проще (и лучше) устанавливать через GPO
Что бы всегда разрешить этому пользователю устанавливать программы на его пк.
Откройте управление компьютером (панель управления-администрирование- управление компьютером “запуск от имени администратора”). Вводим пароль админа домена. Далее пользователи и группы – группы, добавляем в группу администраторов.
Это делает пользвоателя админом чисто на его пк, не давая прав на весь домен.
12 авг. 2023, в 05:44
5000 руб./за проект
12 авг. 2023, в 02:44
500 руб./в час
12 авг. 2023, в 00:10
25000 руб./за проект
