Запуск программ от имени администратора из-под ограниченной учетной записи

Теги: Windows Безопасность

Любой системный администратор сталкивался с ситуацией, когда бухгалтеру нужно поставить какую-нибудь программу, которая работает только под админом, например, банк-клиент. И часто из всех подходящих способов остается только дать админа и молиться, чтобы бухгалтерша не полезла шариться по форумам и пр. в поисках всякой полезной малвари.

Вариант создания ограниченной учетной записи и выдача пароля от админской учетной записи неудобен по нескольким соображениям:

1) Вводить пароль каждый раз будет неудобно (уж не помню, почему, но от ключа «/savecred» команды «runas» я отказался).
2) Факт владения паролем от админки(!) для бухгалтерши(!!!) открывает ей путь для волшебства. Аськи, плагины и прочие, недоступные ранее радости, теперь доступны. Естественно, это сразу отразиться на работе компьютера.

Выходом из сложившейся ситуации стала программа AdmiLink, создающая ярлык для запуска программы от имени какой-либо учетной записи, введенной ранее. Программа с русским интерфейсом, бесплатная и очень простая в использовании. Приведу цитату с сайта автора:

«AdmiLink - утилита, при помощи которой Администратор может создать ярлык, дающий возможность пользователям с ограниченными правами запускать конкретную (без возможности подмены!) программу с правами Администратора (или любого другого пользователя) без (интерактивного) ввода пароля.

Типичным применением программы AdmiLink является администрирование защищенных систем, в которых пользователь работает в основном под своей ограниченной учетной записью, и только отдельные, строго ограниченные Администратором функции запускает под Администратором, не зная его пароля и не имея возможности запускать другие, несанкционированные программы»

Запуск программ под администратором в Windows 7

Совершенно случайно (см. комментарии kpcp) я узнал, что Admilink при работе в Windows 7 может выдавать ошибку при попытке запуска созданного ярлыка для какой-нибудь программы, которую мы хотим выполнить под админом.

Выглядит это так (здесь и далее скрины и идея с oszone.net):

Происходит это из-за проблем с пресловутым "Контролем учетных записей пользователя" (User Account Control или UAC). Кто-то отключает UAC, но я не стал, все-таки лишний контроль не помешает.

Ладно, а как жить дальше-то? Решение не обычное, сразу сам бы не додумался, наверное:

Нам будет нужна утилита Elevate от Johannes Passing. Эта утилита из командной строки запустит нашу программу, которой нужны права администратора и у которой есть проблемы с поддержкой UAC:

> "C:AdminElevateReleaseElevate.exe" "C:EVERESTPORTABLEEVERESTULTIMATEPORTABLE.exe"

Выведется запрос UAC и приложение запустится от имени администратора.

Вот как это будет выглядеть в программе Admilink:

Вот так вот, желаю всем удачи! Большое спасибо автору программы и замечательной статье на oszone.net, в которой описан способ работы Admilink в Windows 7. Надеюсь, программа поможет многим!

Да, чуть не забыл, сайт программы http://www.crw-daq.ru/ или сразу руководство по установке.

Авторизуйтесь для добавления комментариев!