[Конспект админа] Что делать, если программа хочет прав администратора, а вы нет

Как запустить от имени администратора командную строку CMD и любую другую программу на Windows 7, 8, 10. Запуск от имени админа выполняется 10-ю методами.

При запуске программ с повышенными правами возникает окошко, в котором нужно подтвердить запуск – UAC учетных записей. Некоторые пользователи отключают эту функцию вообще. Таким образом страдает безопасность компьютера. Ведь не появись предупреждающее окошко UAC, любая вредоносная зараза сможет стартовать с вашего компьютера от имени администратора. «Плохой» код и пиши пропало.

Чтобы облегчить пользователям запуск программ от имени администратора я подготовил парочку способов.

Нередко бывают моменты, когда в Windows происходят сбои. Это предсказать очень сложно, но исправить возможно. Например, вы хотите запустить программу от имени администратора. По стандарту нажимаете на ярлык правой кнопкой мышки, а пункта, отвечающего за запуск с повышенными привилегиями нет. При этом опция может находиться в меню Win+X.

Бывает так, что открыть программы от имени админа возможно только в случае, если зайти в системный диск и запустить программу оттуда. Например, нужно запустить ярлык, находящийся по пути C:Program Files (x86)AIMP/aimp.exe, а не с рабочего стола.

Самое простое решение – почистить кэш системы. Существует много способов очистки временных мусорных файлов. Делается это следующим образом:

• Открываем Пуск.
• Переходим в меню «Выключение».
• Зажимаем клавишу Shift и щелкаем по кнопке «Завершение работы».
• Готово.

Следующий опыт показал, что проверка системы на целостность системных файлов и восстановление повреждённых возможна при выполнении в командной строке или утилите PowerShell следующих команд:

1. DISM.exe /Online /Cleanup-image /Restorehealth
2. sfc /scannow

Когда пользователь пробует использовать команду запуска с повышенными привилегиями, а она не работает или вовсе отсутствует, тогда в Windows отключен контроль учетных записей UAC. Многие пользователи действительно его отключают, чтобы избавиться от постоянных раздражающих уведомлений.

Попробуйте его включить и проверить, удалось ли исправить проблему.

Для возвращения запуска программ и приложений от имени администратора откройте панель управления Windows. Обычно ее можно найти в меню Пуск, а проще открыть окно «Выполнить» горячими клавишами Win+R. Затем вводим команду control.

На следующем этапе мы переводим режим отображения в «Мелкие значки». Делается справа вверху. Теперь находим раздел «Учетные записи пользователей».

Находим опцию «Изменить параметры контроля учетных записей».

Выставляем ползунок в положении 3 – «Не уведомлять при изменении параметров Windows пользователем». И нажимаем ОК.

Если окно включения контроля учетных записей не работает, попробуйте сделать операцию после перезапуска компьютера и выполнить команду sfc /scannow.

Выводы

Мы рассмотрели кучу способов по запуску программ от имени администратора. Есть варианты, где требуется ввести пароль – это одно из безопасных решений, ведь каждый раз, когда мы вводим пароль, можно особо не бояться за потерю каких-то данных. Вирусные программы также не смогут запустить инструменты Windows таким способом.

Еще мы рассмотрели программы, позволяющие запускать программы с повышенными правами без пароля. Хоть это и удобно, но вирус или человек сможет запросто использовать программу в нехороших целях. Также вирусы способны поменять объект ярлыка на сторонний вредоносный ресурс или на программный код, который будет паразитировать в Windows. В целом очень о многих методах мы узнали, а какой использовать решать только вам. Всем удачи!

Вопрос от пользователя

Здравствуйте.

Мне необходимо установить одну программу, и для этого нужно поменять кое-какие файлы в system32. Windows 10 не позволяет этого сделать и требует права админа (а у меня их нет…). 

Как мою учетку перевести из обычного пользователя в админа? Помогите…

Здравствуйте!

Наиболее логичный ответ — обратиться к вашему администратору, чтобы он расширил вам права ?.

Но вообще, конечно, случаи бывают разные: некоторые по случайности удаляют профиль администратора; другие забывают пароль от этого профиля; у третьих — “админ” не вовремя уезжает, или еще что-то…

Ниже рассмотрю несколько вариантов решения подобного вопроса (для самых разных случаев). ?

*

Способы стать администратором (в Windows 10)

Важные ремарки

1) Многие начинающие пользователи интересуются администраторскими правами, чтобы запустить под ними какое-нибудь приложение: ту же командную строку или игру (но самое интересное: у них у самих профиль “админа”, а не “пользователя”).

В общем, для начала рекомендую вам попробовать просто кликнуть правой кнопкой мыши по значку нужного приложения на рабочем столе (или исполняемому файлу EXE) и посмотреть, нет ли там заветного пункта… (?)

Запуск от имени администратора

*

2) Если вы хотите включить встроенную учетную запись администратора, которая позволит не обращаться постоянно к функции “Запуск от имени администратора” (как в примере выше ?) при каждом запуске программ (а будет всегда и всё делать от имени “админа”) — можно поступить иначе…

1. запустить командную строку с администраторскими правами;
2. ввести команду net user администратор /active:yes и нажать Enter (если не сработает: net user administrator /active:yes);

   Команда выполнена успешно

    

3. далее нужно нажать Win+L (это выход в меню выбора пользователя) и загрузиться под профилем администратора (?);

   Администратор

    

4. Важно! Обратите внимание, что постоянно сидеть и работать полностью с администраторскими правами может быть не безопасно! Даже просто нажав на Win+R — вы заметите, что любая ваша команда будет выполнена с наивысшими правами!

   Выполнить

   В любом случае я бы рекомендовал заходить под этим профилем только в случае необходимости что-то изменить…

*

Вариант #1

Теперь к сути: что делать, если нет доступа к профилю администратора и вы сидите под профилем обычного пользователя…

Для этого случая нам понадобиться ? загрузочная LiveCD-флешка (я рекомендую взять версию от Сергея Стрельца). Как ее правильно записать и создать — указано в той же статье, ссылка на которую в предыдущем предложении.

Причем, скорее всего (на 98% ?), создать такую флешку у вас получиться даже с правами обычного пользователя (т.е. не придется искать другой ПК/ноутбук).

*

После, необходимо подключить эту флешку к USB-порту “проблемного” компьютера и загрузиться с нее (? как это сделать (ссылка в помощь для начинающих)).

Входим в загрузочное меню и загружаемся с флешки

Далее дождаться загрузки Windows с LiveCD-флешки и в меню ПУСК найти и запустить утилиту Windows login Unlocker.

Примечание: если вы создадите LiveCD-флешку отличным способом (от рекомендованного мной выше) – эту утилиту вам придется загрузить отдельно (благо, что интернет в WinPE на LiveCD работает)!

Windows login Unlocker – запускаем утилиту

Затем выбираем проблемную Windows (актуально, если у вас их несколько) и создаем нового пользователя (он по умолчанию будет администратором!).

Создаем нового пользователя админа (new user)

После, перезагружаем ПК/ноутбук — Windows нам предложит выбрать профиль для загрузки (т.к. их у нас будет по крайней мере уже 2).

Разумеется, входим под новым пользователем (под админом). ?

Заходим под новым пользователем

Далее можете нажать Win+R, и использовать команду NETPLWIZ в окне “Выполнить”.

После этого у вас откроется окно управления учетными записями — выберите свою и поменяйте у нее членство в группах (с пользователя -> в администраторы). Скрины ниже. ?

Открываем список пользователей

Меняем членство в группах (делаем либо админом, либо простым пользователем)

*

Вариант #2

В некоторых случаях решить вопрос можно через безопасный режим (отмечу: не всегда, зависит от ряда параметров вашей ОС. Но если под-рукой нет LiveCD-флешки — то почему не попробовать?).

Что делать по шагам:

1. перезагружаем Windows ? в безопасном режиме;
2. нажимаем Win+R и вводим в строку “открыть” команду NETPLWIZ;
3. далее появится список учетных записей;
4. выбираем одну из них и открываем ее свойства;
5. во вкладке “Членство в группах” переводим ползунок в группу “Администраторы”;

   Членство в группах

6. перезагружаем компьютер (чтобы выйти из безопасного режима).

*

Если вам помог какой-то способ – напишите об этом в комментариях (заранее благодарю). 

Дополнения также приветствуются…

Удачи!

?

RSS  (как читать Rss)

Другие записи:

• Обман при ремонте компьютеров, ноутбуков и др. техники. Как не попасться на удочку…
• Компьютер зависает на 1÷3 сек. через определенное время (что можно сделать с периодическими …
• Как раздать Wi-Fi с ноутбука в любой версии Windows
• Лучшая утилита для автоматического обновления драйверов [Driver Booster 8]
• Как конвертировать видео в MP4 (инструкция по шагам)
• Настройка канала в Wi-Fi роутере, как выбрать свободный: или почему частые обрывы Wi-Fi, низкая …
• Как снизить температуру процессора за счет тонких настроек (до 20°C): отключение Turbo Boost, …
• Как удалить драйвера: старые или лишние

(с) Вася Ложкин.

К сожалению, в работе сисадмина нет-нет да и приходится разрешать пользователям запускать всякий софт с админскими правами. Чаще всего это какие-нибудь странные китайские программы для работы с оборудованием. Но бывают и другие ситуации вроде небезызвестного bnk.exe.

Выдавать пользователю права администратора, чтобы решить проблему быстро и просто, противоречит нормам инфобезопасности. Можно, конечно, дать ему отдельный компьютер и поместить в изолированную сеть, но — это дорого и вообще…

Попробуем разобрать решения, которые позволят и программу запустить, и безопасника с финансистом не обозлить.

Программа может запрашивать права администратора условно в двух случаях:

1. Когда хочет получить доступ туда, куда «простым смертным» нельзя: например, создавать файлы в системных каталогах.
2. Когда программу скомпилировали со специальным флагом «Требовать права администратора».

С первым случаем все понятно: берем в руки замечательную программу Марка Руссиновича Process Monitor, смотрим, что происходит, и куда программа пытается залезть:

Куда это лезет этот 7Zip?

И по результатам исследования выдаем права пользователю на нужный каталог или ветку реестра.

Сложнее, если случай клинический, и так просто выдать права не получится: например, программа требует сильного вмешательства в работу системы вроде установки драйверов. Тогда придется придумывать всякий колхоз, про который речь пойдет в последнем разделе статьи. Пока подробнее освещу второй случай — когда стоит флажок.

Если сильно упростить, то в специальном манифесте программы (к слову, установщики — это тоже программы) могут быть три варианта запуска:

• asInvoker. Программа запускается с теми же правами, что и породивший ее процесс (как правило, это explorer.exe c правами пользователя);
• highestAvailable. Программа попросит максимально доступные пользователю права (у администратора появится окно с запросом повышения UAC, у пользователя — нет);
• requireAdministrator. Программа будет требовать права администратора в любом случае.

Если разработчик твердо решил требовать права администратора, даже если они не нужны, то обойти это можно малой кровью.

В системе Windows, начиная с Vista, появилась служба UAC, которая помимо прочего отвечает за запросы программ на повышение прав. Не все программы «переваривали» работу с этой службой. Поэтому в системе был доработан механизм совместимости приложений, позволяющий прямо задать программе ее поведение — запрашивать права или нет.

Простейшим вариантом работы с этим механизмом будет использование переменных среды.

Рассмотрим пример с редактором реестра. Действительно, запуская regedit.exe под администратором, мы получаем запрос на повышение прав:

Запрос повышение прав.

Если же мы запустим редактор реестра из консоли, предварительно поменяв значение переменной среды __COMPAT_LAYER на:

set __COMPAT_LAYER=RUNASINVOKER 

То запроса UAC не будет, как и административных прав у приложения:

Бесправный редактор реестра.

Этим можно пользоваться, запуская программы батниками или добавляя контекстное меню через реестр. Подробнее читайте в материале How to Run Program without Admin Privileges and to Bypass UAC Prompt?

С конкретным примером такой неприятной программы можно столкнуться при загрузке классификаторов банков из 1С с сайта РБК по ссылке http://cbrates.rbc.ru/bnk/bnk.exe. Если обновление классификаторов отдается на откуп самим пользователям и нет возможности поменять загрузку на bnk.zip (а современные 1С это поддерживают), то приходится придумывать костыли. Ведь bnk.exe — самораспаковывающийся архив, в котором зачем-то прописано «Требовать права администратора».

Поскольку ярлычками тут обойтись не выйдет, ведь 1С сама скачивает файл и запускает его, то придется применять тяжелую артиллерию — Microsoft Application Compatibility Toolkit.

Документация к ПО, как обычно, доступна на официальном сайте, загрузить можно как часть Windows Assessment and Deployment Kit. Сам процесс решения проблемы несложен.

Необходимо поставить утилиту, запустить Compatibility Administrator и создать Application Fix в новой или имеющейся базе данных:

Создаем исправление приложения.

Имя и издатель значения не имеют. Имеет значение только расположение файла — тут нужно указать реальный проблемный bnk.exe (где он будет лежать на самом деле — не важно).

Далее необходимо в списке исправлений выбрать RunAsInvoker.

Выбираем нужный фикс.

Все остальное оставляем по умолчанию, сохраняем базу данных. Должно получиться примерно так:

Созданный фикс для bnk.exe.

После этого достаточно будет установить базу данных, щелкнув по ней правой кнопкой и выбрав Install. Теперь пользователи смогут сами грузить классификаторы банков.

Все становится хуже, если приложению действительно нужны права админа. Тогда добавление прав на системные объекты и исправления не помогают.

Казалось бы, самым очевидным решением для запуска нашего странного ПО выглядит использование встроенной утилиты Runas. Документация доступна на сайте Microsoft.

Ну, посмотрим, что из этого выйдет.

Команда:

runas /savecred /user:Администратор "C:Program Files7-Zip7zFM.exe"  

Действительно, RunAs запустит 7zip с правами учетной записи «Администратор», спросит пароль и запомнит его. Потом ярлык с такой строкой запуска будет запускать 7zip под Администратором без вопросов.

)

Вводим пароль.

Есть один существенный недостаток: пароль запоминается на уровне системы, и теперь, используя команду Runas, можно будет запускать абсолютно любую программу. Это мало чем отличается от прямого предоставления админских прав сотрудникам, так что использовать это решение не стоит.

Зато runas может быть полезен, когда сотрудник знает пароль администратора, но работает под ограниченной учетной записью (по идее так должен делать каждый системный администратор).

Если мы начали с консольных команд, то перейдем к более высокоуровневым скриптам. Интересное решение было предложено в статье «Планктонная Windows», где упомянутый выше Runas обвязывался js-скриптом и пропускался через обфускатор. У решения есть и очевидный минус — скрипт можно раскодировать.

Чуть более интересным методом в 2к20 являются возможности PowerShell и его работа с паролями. Подробнее можно почитать в материале «Защита и шифрование паролей в скриптах PowerShell».

Если вкратце: в PS работа с паролями производится через специальный тип данных SecureString и объект PSCredential. Например, можно ввести пароль интерактивно:

$Cred = Get-Credential 

Затем сохранить пароль в зашифрованном виде в файл:

$Cred.Password | ConvertFrom-SecureString | Set-Content c:pass.txt 

И теперь использовать этот файл для неинтерактивной работы:

$username = "DomainАдминистратор"  $pass = Get-Content C:pass.txt | ConvertTo-SecureString  $creds = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $username, $pass 

К сожалению, файл этот можно использовать только на том ПК, на котором его создали. Чтобы этого избежать, можно сделать отдельный ключ шифрования. Например так:

$AESKey = New-Object Byte[] 32  [Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($AESKey)  $AESKey | out-file C:password_aes.key 

Теперь при помощи этого ключа пароль можно зашифровать:

$Cred.Password| ConvertFrom-SecureString -Key (get-content C:password_aes.key  )| Set-Content C:pass.txt 

И расшифровать:

$pass = Get-Content C:pass.txt | ConvertTo-SecureString -Key (get-content C:password_aes.key) 

К сожалению, с безопасностью дела обстоят так же печально: утащить пароль не составляет трудностей, если есть доступ к файлу с ключом шифрования и зашифрованным паролем. Да, можно добавить обфускации и скомпилировать скрипт в .exe вместе с нужными файлами. Но нужно понимать, что это — полумеры.

В свое время я использовал для решения подобных задач свой любимый AutoIt, где компилировал скрипт с командой RunAs и радовался… До тех пор, пока не узнал, что AutoIt (особенно старых версий) декомпилируется на раз-два.

Другим интересным вариантом может быть применение назначенных заданий — если создать назначенное задание от админского аккаунта, пользователю для работы будет достаточно его запуска. К сожалению, для интерактивной работы с приложением это решение не подходит.

На свете существует несколько сторонних решений, призванных решить задачу. Остановлюсь на парочке из них.

Пожалуй, одна из самых известных утилит — это AdmiLink, разработанная Алексеем Курякиным для нужд ядерной физики. Программа и принципы ее работы описаны на официальном сайте. Я, как обычно, позволю себе более краткое описание.

Программа состоит из трех модулей. AdmiLink — это графическое окно, где можно создать ярлык на нужное приложение (в принципе, в ряде случаев достаточно только его).

Основное окно программы.

Помимо непосредственно создания ярлыка (и да, запрос UAC тоже можно подавлять), есть и дополнительные функции вроде калькулятора, терминала и удобных настроек политик безопасности. Со всеми возможностями программы читателю предлагается разобраться самостоятельно.

Второй модуль называется AdmiRun и представляет из себя консольную утилиту. Она умеет запускать приложения от имени администратора, получив в качестве одного из параметров строку, созданную через AdmiLink. В строке шифруется имя пользователя и пароль, при этом участвует и путь к программе.

На первый взгляд все выглядит безопасно, но, к сожалению, код программ закрыт, и насколько можно доверять разработчику — вопрос.

Третий модуль — AdmiLaunch — отвечает за запуск окон в разных режимах, и он используется для запуска AdmiRun, если создавать ярлык через AdmiLink.

В целом, решение проверено годами и поколениями отечественных системных администраторов. Но добавлю и альтернативу из-за рубежа.

RunAsRob — довольно интересное ПО за авторством немецкого разработчика Оливера Хессинга (Oliver Hessing). В отличие от AdmiLink, ПО устанавливается как служба, запускаемая под привилегированной учетной записью (администратора или системы). Как следствие, подготовленный ярлык обращается к службе, которая уже в свою очередь запускает заданное ПО.

Особенность программы в том, что есть возможность авторизовать не только программы, но и папки (включая сетевые). А хранение настроек в реестре позволило добавить шаблоны групповых политик, примерно как мы писали в статье «Погружение в шаблоны и приручение GPO Windows». Благодаря этому при необходимости настройки можно применять прямо из Active Directory.

Основное окно программы.

Программа богато документирована на официальном сайте.

У этого автора есть еще и программа RunAsSpc, позволяющая запускать исполняемые файлы под правами другого пользователя, передавая учетные данные через зашифрованный файл.

Мне остается только добавить, что это ПО бесплатно только для личного использования.

Но учтите, что из программы, запущенной под административными правами, можно натворить бед. Например, запустить привилегированную командную консоль через диалог Файл — Открыть.

Запускаем cmd.exe прямо из редактора реестра.

Немного защититься помогут политики запрета контекстного меню и прочих диспетчеров задач, часть из которых может настроить AdmiLink. Но в любом случае следует быть осторожным.

А вам приходилось городить странные костыли? Предлагаю делиться историями в комментариях.

Для того, чтобы открыть программу или какую-либо игру от имени администратора, у пользователя может быть несколько причин:1.Приложение не запускается в обычном режиме;2.Урезанный функциона в обычном режиме, а необходимые функции можно выполнять только от имени администратора;3.Ограничен доступ к игре или программе.На самом деле причин гораздо больше, просто основными, с которыми может столкнуться обычный рядовой юзер, являются эти три.Существует множество всевозможных программ, дополнений, расширений, чтобы настраивать права при открытии того или иного файла. Но как показывает практика, чаще всего достаточно обычных стандартных нескольких способов настройки запуска, чтобы окончательно решить все возникающие проблемы.

Запуск от имени администратора при помощи контекстного меню

Это самый просто и самый распространенный способ запуска программ от имени администратора, поскольку не требует от пользователя абсолютно никаких лишних усилий или знаний. Нужно нажать на нужный ярлык правой кнопкой мыши и найти там пункт «запуск от имени администратора», после нажатия на который программа начнет автоматически запускаться. При открытии программы вы не заметите особых изменений, т.к. отличия будут только на программном уровне. В итоге, для вас могут открыться некоторые дополнительные функции. Рассмотрим на примере программы UltraIso. Этой программой легко можно пользоваться и обычно, но запуск записи образа диска на флеш-карту возможен только от имени администратора.

Настройка постоянного запуска от имени администратора

Некоторые программы нужно всегда запускать от имени администратора, поэтому лучше настроить их автоматически. Эти настройки производятся для того, чтобы не забыть о том, что такой запуск требуется и не потерять время на работу не в том режиме.Чтобы произвести эти настройки, нужно: 1.Нажать правой кнопкой мыши на иконку программы или игры, которую необходимо всегда запускать от имени администратора и в выпавшем меню нажать на кнопку «Свойства»;2.Перед вами открыто окно всех свойств программы. В верхней части которых расположены подкатегории, из которых нужно выбрать «Совместимость»;3.В этой подкатегории нужно найти пункт «Уровень прав», в котором поставить галочку возле пункта «Выполнять эту программу от имени администратора»Добавил admin7 лет и 11 месяцев назад142355 просмотровПорой требуется запустить файл или программу с повышенными привилегиями – от имени администратора и с его правами. Это вовсе не вирус требует, а значит сама программа выполняет некие действия, от которых компьютер может некорректно начать работать (разумеется при неправильном использовании). И чтобы этого избежать, существует своего рода защита – запуск от администратора, с помощью которой и производятся все “рискованные” операции с компьютером. Особенно часто это касается командной строки (cmd).Чтобы открыть программу с правами администратора, нужно кликнуть ПКМ на файле и в меню выбрать Запуск от имени администраторапоявится UAC окно (контроль учетных записей) в котором нужно подтвердить запуск, а так же (если потребуется) ввести пароль администратора.Ничего сложного. Таким образом можно запускать программы как с рабочего стола и папок в проводнике, так и напрямую с меню “Пуск”.А что делать если нужно запускать программу всегда с правами администратора? Ну не запускать же каждый раз таким образом, можно и забыть когда то про это. И специально для того, чтобы всегда запускать программу от имени администратора, существует специальный флажок в Свойствах программы.Итак, щелкаем ПКМ по нужной программе или ярлыку, выбираем в контекстном меню Свойства и переходим на вкладку Совместимость.В строке Уровень прав ставим галочку напротив “Выполнять эту программу от имени администратора” и нажимаем Применить и Ок.как запустить программу от имени администратора3 комментарияИспользуемые источники:

• https://computerinfo.ru/zapusk-ot-imeni-administratora/
• https://ocomp.info/prava-admina-win10.html
• https://habr.com/ru/company/pc-administrator/blog/485958/
• https://itportal.pro/windows/289-kak-otkryt-fayl-ot-imeni-administratora.html
• http://vindavoz.ru/windows7/admin7/243-kak-zapustit-programmu-ili-fayl-ot-imeni-administratora.html