Wolf666 07-02-2016 22:52
В опчем, малость не понял я одной вещи. А именно: как на win7 организована функция "запуск с правами администратора". Прочитал статейку, в ней говорится, что запуск с правами администратора - это повышение прав для возможности записи в некоторые системные папки. В связи с этим первый вопрос: в какие именно папки можно писать программе с повышением прав, и нельзя писать без оного, учитывая то, что изначально она запускается пользователем из группы Администраторы.
Далее. Поставил пароли на учётку Администратора и ещё одного пользователя из группы Администраторы. UAC отключен. Захожу под обычным пользователем, жмакаю пкм по экзешнику - запустить от имени администратора - запускает, пароль не спрашивает. В связи с этим ещё несколько вопросов.
1) это получается, что обычный юзверь спокойно может запускать экзешники от имени администратора даже если все админские учётки запаролены? Или же при описанных выше манипуляциях прога запускается без административных прав?
2) Как запретить юзверю запуск от имени администратора, не включая UAC? И не только убрав данный пункт из меню пкм, но и вообще лишив юзера такой возможности, ибо оную могут использовать зловреды-трояны.
3) Или же UAC в данном случае необходим, и без него любой пользователь с помощью правой кнопки может стать админом?
NeiroNx 08-02-2016 12:23
Что-то у вас не работает. У меня последний раз требовало пароль если на админской учетке пароль.
ELForcer 08-02-2016 12:40
1. Нет. Права с отключенным UAC не добавляются. По факту везде будет выходить ошибка доступа, хоть и программа будет думать что она запущена с правами админа.
2. см. Пункт 1.
3. см. Пункт 1.
UAC лучше не отключать. В 7ке более-менее удобно реализовано. Я без затемнения экрана использую его.
THE HEDGEHOG 08-02-2016 10:42
Что-то непонятен смысл этих танцев.
Если я правильно понял, то надо запустить некую программу под профилем пользователя с максимальными правами, то тут на первый взгляд 2 варианта:
1. Дать юзверю на локальном ПК права локального админа;
2. Использовать runas с ключём /savercred и налепить нужные ярлыки на рабочий стол.
з.ы. Да и создать бы отдельную учетку с "урезанными админскими" правами под каждую из задач, что-бы реальную учетку не палить и что-бы путаницы не было.
з.ы. ну еще и MSA глянуть, может какая-нить дельная мысля придет. http://blog.simonw.se/using_st...cheduled_tasks/
Froz 08-02-2016 11:20
Софтина запущенная под юзерской учёткой на системном диске имеет только доступ на запись в папку профиля юзера и в %temp% (если конечно по глупости не меняли ручками дефолтные NTFS-ограничения на запись в системные папки). Ну и как правило на другие несистемные разделы.
UAC в win7 лучше не отключать, использовать без затемнения.
Если есть цель запускать некую софтину из-под юзера но с повышенными правами, то правильнее будет оформить её через шедулер. Читаем тут
ELForcer 08-02-2016 11:23
THE HEDGEHOG , как я понял у автора вопрос был: появляются ли права Админа у Обычного пользователя, если запустить программу с правами администратора с отключенным UAC?
THE HEDGEHOG 08-02-2016 12:50
quote:
Изначально написано ELForcer:
[b]THE HEDGEHOG , как я понял у автора вопрос был: появляются ли права Админа у Обычного пользователя, если запустить программу с правами администратора с отключенным UAC?[/B]
Если вопрос поставлен некорректно,то и найти на него правильный ответ не всегда удается. По этому лучше узнать поставленную задачу, а потом уже от нее и искать пути решения.
Если отбросить нюансы и взять топор, то да права админа у юзверя появляются, но только в текущем процессе и его подпроцессах.
Но какие вот именно права появляются это тот еще вопрос. Для банального сравнения права учетки локального админа и учетки доменного админа с первого взгляда одни и те-же, а если приглядеться то разница есть и причем довольно значительная.
ELForcer 08-02-2016 12:59
Из своего опыта скажу что права не появляются. Если запустить с правами администратора из под Пользовательской учетки, то программа будет думать что запущена с правами администратора, но если выполнить действие, где эти права реально требуются, то выйдет ошибка доступа.
Я сталкивался с этим делом, когда писал прожку на C# и проверку на запуск с правами администратора.
THE HEDGEHOG 08-02-2016 13:14
Суть UAC состоит в том, что даже если юзверь администратор, то он все равно работает с правами юзверя и админские права для нового процесса даются ему только по запросу к пользователю.
Если же UAC отключен то права процессу запущенному от админской учетки будут по дефолту уже админскими. И еще раз повторю админ админу рознь.
Wolf666 08-02-2016 14:46
quote:
Изначально написано THE HEDGEHOG:
По этому лучше узнать поставленную задачу, а потом уже от нее и искать пути решения.
Миль пардон за неточное изложение задачи. Короче, задачи две. 1) Настроить безантивирусную систему для себя, в которой по умолчанию грузится учётка пользователя и из-под неё сидится и работается, а в случае необходимости можно было бы запустить необходимую софтину от имени пользователя из группы Администраторы с вводом пароля. Выставить при этом ограничение на запуск программ в локальных политиках безопасности, чтоб ни одна исполняемая зараза не могла запуститься без моего ведома, даже если в её коде присутствует runas. Пример: из-под юзера выставляется запрет на запуск gpedit.msc, создаётся её ярлык с runas, далее из-под юзера щёлкается этот ярлык, вводится пароль - и вот мы рулим групповую политику с правами админа.
2) То же самое, но для другого пользователя. Чтоб он сидел из-под своей учётки и при всём желании не мог получить админских прав. А когда они нужны - прихожу я, запускаю из-под той же учётки прогу с runas и далее по сценарию)
ELForcer 08-02-2016 14:59
quote:
Изначально написано Wolf666:
1) Настроить безантивирусную систему для себя, в которой по умолчанию грузится учётка пользователя и из-под неё сидится и работается, а в случае необходимости можно было бы запустить необходимую софтину от имени пользователя из группы Администраторы с вводом пароля.
Включи UAC. Иначе запроса пароля не будет и из под Юзера всё равно будет с правами Юзера, даже если запускать с правами администратора. (Для админа все приложения сразу с правами админа запускаются). Для удобства поставь без отображать UAC без затемнения.
В противном случае нужно заходить непосредственно в учетку с правами администратора и оттуда запускать программу.
THE HEDGEHOG 08-02-2016 15:20
А в сторону "Политики ограниченного использования программ" смотрели ?
Wolf666 08-02-2016 15:44
quote:
Изначально написано ELForcer:Включи UAC. Иначе запроса пароля не будет и из под Юзера всё равно будет с правами Юзера, даже если запускать с правами администратора. (Для админа все приложения сразу с правами админа запускаются). Для удобства поставь без отображать UAC без затемнения.
Ога, уже убедился) Из-под юзера запустил эксплорер с правами админа - хренушки, в програмфайлс писать не даёт. Хотя запрос пароля был.
quote:
Изначально написано THE HEDGEHOG:
в сторону "Политики ограниченного использования программ" смотрели ?
Сопсснна, с её помощью и собираюсь ограничить запуск экзешников и иже с ними.
Просто для работы без антивируса проще применить unix-way: откуда можно запускать, туда нельзя записывать. Куда можно писать, оттуда нельзя запускать. Ограничение запуска - вышеуказанной политикой, ограничение записи - правами ntfs. В теории всё идеально))
RuiL 08-02-2016 16:44
quote:
Изначально написано Wolf666:
Ограничение запуска - вышеуказанной политикой, ограничение записи - правами ntfs. В теории всё идеально))
Да, работает у меня в нескольких местах. В целом всё нормально, но некоторые подводные камни есть.
Wolf666 08-02-2016 17:35
quote:
Изначально написано RuiL:
некоторые подводные камни есть.
Ну да, есть такое. Напримэр, дикий софт, которому ни жить ни быть надо писать в свою папку в program files. Тут уже точечная настройка нужна.
RuiL 08-02-2016 18:51
quote:
Originally posted by Wolf666:
дикий софт
Ага, он самый
Wolf666 01-03-2016 22:46
Подниму темку. В общем, решил я сделать два ярлыка запуска одной и той же проги. (Total Commander, если кому интересно). один ярлык запускает её от обычного пользователя, другой - от админа. В свойствах админского ярлыка в совместимости ставлю галку "запускать от имени администратора" и БАЦ! - та же галка ставится и в самом экзешнике, и во втором его ярлыке. В чём причина и лечится ли это?
THE HEDGEHOG 02-03-2016 07:50
quote:
Изначально написано Wolf666:
Подниму темку. В общем, решил я сделать два ярлыка запуска одной и той же проги. (Total Commander, если кому интересно). один ярлык запускает её от обычного пользователя, другой - от админа. В свойствах админского ярлыка в совместимости ставлю галку "запускать от имени администратора" и БАЦ! - та же галка ставится и в самом экзешнике, и во втором его ярлыке. В чём причина и лечится ли это?
Странно, все это. Мб что-то напутали ?
Попробуйте два разных ярлыка с runass /sevecred
Froz 02-03-2016 09:54
У фара удобно сделано - ползаешь юзером, а когда нужно повышение прав вылазит окошко где ставишь галку "ввести админский пасс и больше не спрашивать в этой сессии". И фар становится админским (с красной буквой А в углу). И не нужно возиться с ярлыками.
ELForcer 02-03-2016 10:01
@Wolf666 можно еще сделать батник, который можно запускать с правами админа, который будет запускать программу (естественно тоже с правами админа).
Wolf666 02-03-2016 11:35
quote:
Originally posted by THE HEDGEHOG:
Мб что-то напутали ?
Да, действительно) Не там галку ставил:
(пилять, опять чото намудили с редактироанием сообщений. Как нынче картинки вставлять, подскажите люди добрые!)
...короче, в свойства ярлыка - совместимость - запускать с правами администратора. А не так как у вас показано.
Wolf666 02-03-2016 11:43
quote:
Originally posted by ELForcer:
@Wolf666 можно еще сделать батник, который можно запускать с правами админа, который будет запускать программу (естественно тоже с правами админа).
Тут у меня тоже загвоздка возникла. Так как винда русская, пользователь называется по-русски Администратор. И когда запускаешь батник, где указано runas /user:Администратор то в командной строке вместо русских букв - крякозяблы. Есснна, такого пользователя нет, и запуск не происходит. Редактировалось в Блокноте. Вопрос: как сие решить? Смены кодовых страниц в блокноте нет.
CheBurashka 02-03-2016 13:34
Использовать например notepad++, либо менять кодировку в консоли
Froz 02-03-2016 14:32
батник должен иметь codepage 866
Tips 02-03-2016 16:31
или банально прямо из cmd в батник записать те самые крякозябры которые являются Администратором через >C:\1.txt
например набрав ping Администратор>C:\1.txt
и найдя админа сравнив текст в консоли и в файле
Wolf666 02-03-2016 21:39
Спасибо! Бум пробовать.
Wolf666 07-03-2016 17:26
Дабы опять новую тему не создавать...
Можно ли как-то создать ярлык на конкретную ветку gpedit.msc? Скажем, чтоб по клику на оный сразу открывалась ветка "политики ограниченного использования программ" допустим.
И ещё: как настроить, чтоб размеры окна и последний путь gpedit сохранялись?
Tips 07-03-2016 19:47
ммм а зачем в него так часто ползать?
Wolf666 08-03-2016 18:34
quote:
Изначально написано Tips:
ммм а зачем в него так часто ползать?
Надо установить новую прогу, а политика закручена для всех экзешников окромя дозволенных.
Открутил политику - установил прогу - закрутил политику. А при настройке свежей системы сия итерация повторяется over100500 раз.
THE HEDGEHOG 08-03-2016 20:21
quote:
Изначально написано Wolf666:
Надо установить новую прогу, а политика закручена для всех экзешников окромя дозволенных.
Открутил политику - установил прогу - закрутил политику. А при настройке свежей системы сия итерация повторяется over100500 раз.
А сначала все поставить, а потом в домен включить ?
Tips 08-03-2016 20:31
quote:
А при настройке свежей системы сия итерация повторяется over100500 раз.
с чего бы, в самом начале
quote:
Открутил политику
все поставил
quote:
закрутил политику.
но еще проще сделать политику вседозволенной директории, и сам доступ в таковую без прав отрубить (обычно таковой является сетевая шара, так что там и так без ху из ху не влезть). Или вообще через wsus втыкать
RuiL 08-03-2016 22:06
quote:
Изначально написано Wolf666:
Надо установить новую прогу, а политика закручена для всех экзешников окромя дозволенных.
Сделайте ещё одну политику, действующую на группу администраторов, которым разрешён запуск любого приложения. Ну и устанавливайте приложения от имени пользователя, входящего в эту группу.
Wolf666 09-03-2016 13:44
quote:
Изначально написано THE HEDGEHOG:
в домен включить
Профессор, мы ещё это не проходили. Виноват, исправлюсь, уже иду в библиотеку.
quote:
Изначально написано Tips:
все поставил
Да я тут